Port weiterleitung - ich komme da nicht weiter...

#16 @Asgard

Hier nun ein wenig Grundlage für dich:

TCP (Transmission Control Protocol)

Das TCP ist ein zuverlässiges verbindungsorientiertes, Bytestrom Protokoll. Die Hauptaufgabe von TCP besteht ind der Bereitstellung eines sicheren Transports von Daten durch das Netzwerk/Internet.
Zum aufbauen einer Verbindung sendet ein Host (Host 1) einem anderen Host (Host 2) , mit dem er eine Verbindung aufbauen will, ein Segment in dem das SYN-Flag gesetzt ist. Mit diesem Segment teilt Host1 Host2 mit, das der Aufbau einer Verbindung gewünscht wird. Die Sequenznummer des von Host1 gesendeten Segemnts gibt Host2 außerdem an, welche Sequenznummer Host 1 zur Datenübertragung verwendet. Sequenznummern sind notwendig, um sicherzustellen, dass die Daten vom Sender in der richtigen Reihenfolge beim Empfänger ankommen. Der empfangende Host 2 kann die Verbindung nun Annehmen oder Ablehnen. Nimmt er die Verbindung an, wird ein Bestätigungssegment gesendet. In diesem Segment sind das SYN-bit und das ACK-bit gesetzt. Im Feld für die Quittungsnummer bestätigt Host2 die Squenznummer von Host1, dadurch, dass die um Eins erhöhte Sequenznummer von Host1 gesendet wird.

UDP (User Datagram Protocol)

UDP ist ein unzuverlässiges verbindungsloses Protokoll. Wie zuvor schon gesagt bedeutet unzuverlässig in diesem Zusammenhang nicht, dass die Daten evntl. fehlerhaft beim Zielrechner akommen, sondern dass das protokoll keinerlei Mechanismen zur Verfügung stellt, die sichern, dass die Daten tatsächlich beim Zielrechner ankommen. Sind die Daten angekommen so sind sie auch korekkt. Ich könnte nun noch etwas über die einzelen Header strukturen erzählen aber das will ich nicht ich glaube auch nicht das es dich interessiert. Fakt ist jedenfalls das UDP dafür ein geringeren Overhead als TCP hat mit anderen worten eine geringere Netz belastung. Da gibts noch mehr protokolle aber diese 2 Protokolle werden für die Hauptsächliche Datenübertragung im Internet oder auch im Netzwerk genutzt.

Jeder dieser Protokolle hat Ports. Ein Port ist eine abstraktion von einer art Ausgangspunkt oder auch Eingangspunkt im Netzwerk. es gibt maximal 65535 Ports die ersten 1024 sind reserviert und spezifiziert die darüberliegenden ports nennt man highports und werden von diversen programmen genutzt oder auch nicht genutzt. Sie haben keine spezifikation. Wobei dies nicht bedeutet das man einen lowport nicht für ein anderes protokoll/programm nutzen könnte. ein Programm öffnet einen port am quellrechner und stellt über TCP oder UDP oder einem anderen Protokoll eine Verbindung zu einem Port an einem Zielrechner her. Dafür sind Ports. Es gibt halt Programme wie ICQ oder E m u l e die feste Ports besitzen. Nun erscheint es auch logisch das du nicht 2 Clients den ein und den selben Port benutzen können. Nein ich glaube nicht das du zu doof bist aber dir fehlt sicherlich eine menge Wissen und somit wird dir auch nicht alles von vornerein klar.

@Emba
Nein ich nutze kein freebsd, und ich gehe auch nicht von der ipf von NetBSD aus. man iptables beantwortet deine Fragen.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#17 @xeper

hehe, naja so schlau mit der man war ich auch schon, hab nur nicht richtig geschaut

jedenfall hab ich das hier in der docu gefunden:

iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.1.1-192.168.1.10

Explanation
The --to-destination option tells the DNAT mechanism which Destination IP to set in the IP header, and where to send packets that are matched. The above example would send on all packets destined for IP address 15.45.23.67 to a range of LAN IP's, namely 192.168.1.1 through 10. Note, as described previously, that a single stream will always use the same host, and that each stream will randomly be given an IP address that it will always be Destined for, within that stream. We could also have specified only one IP address, in which case we would always be connected to the same host. Also note that we may add a port or port range to which the traffic would be redirected to. This is done by adding, for example, an :80 statement to the IP addresses to which we want to DNAT the packets. A rule could then look like --to-destination 192.168.1.1:80 for example, or like --to-destination 192.168.1.1:80-100 if we wanted to specify a port range. As you can see, the syntax is pretty much the same for the DNAT target, as for the SNAT target even though they do two totally different things. Do note that port specifications are only valid for rules that specify the TCP or UDP protocols with the --protocol option.

das könnte es doch sein *klatsch*

greez

#18 Nunja sicher doch aber das ziel wird ja zufällig ausgewählt. Was bringt es dir also?
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#19 mh...

okay, wenn es das nicht ist, dann belege bitte deine aussagen:

"Hmm nun ja also möglich ja" und "man iptables beantwortet deine Fragen."

da dies wahrlich nach dem random prinzip geschieht beim dnat ist es dann wohl doch nicht möglich, einen port _definiert_ an einen client weiterzuleiten, der die verbindung auch initiiert hat - und was anderes zu dem thema steht in der man/docu nich

greez

#20 Doch es ist möglich aber nicht sinnvoll, ich sachte ja das es zufällig ausgewählt ist dann ist es auch möglich genau das meint ich damit. Das heißt aber nicht das es sinnvoll ist.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#21 naja, okay, wenn du das meinst

für mich heißt diese variante aber auch _sinnlos_ und nicht zu gebrauchen
ergo: nicht möglich, so wie der threadstarter das wollte

greez

#22 Womit wir wieder auf Feld 0 stehen.

Moin erstmal, bin noch neu hier. Aber nicht neu am Rechner, meine ersten Algol-Sources hab ich noch an ner Z22 mit Roehren - CPU uebersetzt, so um '67 rum...

Mein Problem ist mit dem des Threadstarters deckungsgleich, dito der Wissens- und Erfahrungsstand bzgl. Linux, Firewall- und Ipcop-Konfiguration. Trotzdem hoffe ich hier, wie schon einige Male aus dem blossen Lesen des Forums, substantielle Hilfe zu bekommen. Dafuer schon mal herzlichen Dank vorab.

Also, nach vielem Rumfummeln in IPCop an Portweiterleitung und 'Fernwartung' (klingt wie eine alte Siemens-Produktbezeichnung ) sowie am XP-client in einem sehr heterogenen lokalen Netz (vom musealen win3.11-Rechner, der ab und an auch noch mal aktiviert wird, bis XP) bewegten sich gestern abend die ersten Bytes auf den Esel-Client. Schoen, aber nun moechte ich auf einem anderen Rechner auch noch einen Esel laufen lassen (kein Wunder, dass dieser Name gewaehlt wurde, das Vieh ist stoerrisch!).
Und dabei stiess ich an die gleiche Fehlermeldung wie der OP.

Ist folgender Gedanke tragfaehig? e muh l erlaubt ja, die ports fuer tcp und udp zu aendern. Die Portweiterleitung in IPCop beinhaltet doch auch eine Port-Uebersetzung, wenn ich das richtig verstehe. Kann ich also den 2. Esel durch port 5662 traben lassen und den durch IPCop nach aussen auf 4662 uebersetzen (macht die Portweiterleitung das bidirektional? Oder muss ich das auch in der 'Fernwartung' aendern? ) lassen?

Selbst wenn das geht, bleibt aber noch das Laden der Serverdateien. Die werden auf IPs mit ports 4161, 4242 und anderen angeboten. Und da wird es mit der Uebersetzung beim Aufruf vom Client schon schwieriger, weil die sich nicht so leicht modifizieren lassen (die Bit-Pinzette liegt zwar noch irgendwo rum, aber...)

Bitte berücksichtigt bei Euren Kommentaren, dass ich die Linux/FW/TCP etc. - Nomenklatur kaum beherrsche.
Einerseits schaetze ich die Vorteile eines wirklich stabil und gut laufenden Proxies samt Firewall im Vergleich zu den vorher verwendeten T-DSL-Anbindungen (Jaxaserver etc.), andererseits moechte ich natuerlich gern auch moeglichst unkompliziert einige gewohnte Anwendungen weiterlaufen lassen. Ein Buch mit sieben Siegeln ist noch Webcamnow (www.webcamnow.com). Die von denen angegebenen Ports weiterzuleiten hat nix gebracht. Superscan sah dort oberhalb von 1000 nur den Port 1028 offen.
Dito WinMX (bekanntermassen auch ein P2P-Client)

Gibt es ein Werkzeug (unter Windows), das gezielt nachsehen und darstellen kann, welche Ports zumindest vom Client zur Firewall benutzt werden? So ein Gegenstueck zu Superscan sozusagen, i.S. von eavesdropping?

Viele Fragen, ich schliess das hier erstmal ab. Und wirklich herzlichen Dank schon mal vorab fuer alles, was weiterhilft.

Gruss,
Ulli