Netzwerkfrage

[Greg 10]

Hallöchen zusammen

 

Mag ne dumme Frage sein, aber ich weiss es trotzdem nicht:

 

Ich hab hier die folgende Adresse von einem unserer

Lieferanten: (Natürlich geändert...)

 

http://78.116.145.212:9090/BLUME

 

Meine Frage also: Die Verbindung wird ja jetzt über den

Port 9090 zum Zielserver aufgebaut. Geschieht nun die Kommunikation zurück an den anfragenden Client auch

über den Port 9090 ???

 

Gruss Greg

[CoolAce 17]

Hy

 

keine dumme Frage sonder viel Interesse auch an Kleinigkeiten :D

 

Zu deiner Frage, Nein der Client benutzt nicht den selben Port das handeln die während der Kommunikation selbst aus d.h. einer hat halt einen festen den 9090 der andere von mir aus den 8070 Port.

 

mfg

 

CoolAce :cool:

[Greg 10]

Hallöchen CoolAce

 

Danke erst mal für die Antwort.

 

Wie ist das jetzt über die Firewall zu lösen. Wir haben

hier ne DMZ. Von LAN --> WAN ist alles offen aber von

WAN --> LAN ist logischerweise fast alles zu.

 

Kann ich den Server gegenüber dazu motivieren einen Port

zu nutzen den wir offen haben ???

 

 

Gruss Greg

[edv-olaf 10]

Hallo,

 

in der FW muss folgende Regel eingebaut werden:

- erlaube neue, bestehende Verbindungen (TCP+UDP) von einem Highport auf Port 9090 von intern nach extern,

- erlaube bestehende Verbindungen (TCP+UDP) von Port 9090 auf einen Highport von extern nach intern.

 

Erklärung

Highport=1024:65535

neu=new

bestehend=established

 

SNAT sollte natürlich auch konfiguriert sein (dürfte aber, sonst könntet ihr ja nicht auf Port 80 Surfen)

 

Grüße

Olaf

[CoolAce 17]

Da hätte ich auch noch eine kleine Frage das ich nicht dumm sterbe.

 

Kann ich auch in der Registry im LAN sagen das die Anwendungen nur über den Port auf einem Server auf den Port zugreifen sollen

 

mfg

 

CoolAce

[edv-olaf 10]

@coolace

Ähh, wie jetzt? Du meinst, dass am Client die Progs nur vom Port xy aus "starten"? Nein, das geht nicht.

 

Grüße

Olaf

[zuschauer 10]

Hi !

@CoolAce: Wenn es Dir darum geht, nicht Proxy-fähige Programme über einen Proxy zu "helfen", das geht in bestimmten Fällen mit Sockcaps von NEC (war früher Free- jetzt - Shareware oder so).

[Annette 10]

Eine stateful Firewall, und ich kenne eigentlich keine halbwegs aktuelle, die es nicht wäre, öffnet die eingehenden Ports auf nach aussen gesendete Abfragen automatisch, weil sie sozusagen drauf wartet.

 

Ein Browser ist so konfiguriert, dass er als Zielport 80 wählt, oder eben einen anderen angegebenen, hier 9090. Als Absenderport wählt er irgendeinen auf dem Client freien Port > 1023, auf den er die Antwortpakete vom HTTP-Server will. Eine stateful Firewall, leitet (bei entsprechender Rule für 9090 in dem Fall!!!) das Paket weiter und wartet auf die eingehende Antwort auf dem Port aussen, den der Client als Absendeport angegeben hat. Dieser wird dann nur für das eingehende Paket und die anderen, die da noch folgen, solange die TCP-Verbindung nicht wieder abgebaut ist (F-Flag gesetzt und bestätigt), dynamisch geöffnet.

Also: keine spezielle eingehende Rule nötig ;)

[Greg 10]

Ja hallo

 

Erst mal danke für Eure Antworten. Da wir eine

"Managed Firewall" von unserem Telecom-Anbieter

haben, werde ich das mit den Damen und Herren mal

ansprechen.

 

Aber jetzt doch noch ne Frage:

Warum gibt denn der Server die Antworten nicht einfach

auf den Port 80 zurück ??? Wär doch die einfachste Lösung.

Dann müsste man nicht an der Firewall rumschrauben ???

 

Gruss Greg

[edv-olaf 10]

Weil Port 80 nicht zum Absenden von Requests vom Client zulässig ist. Außerdem wäre das die falsche Richtung (rausgehend), das wäre eh gesperrt. Es sind nur ausgehende Highports in der FW zulässig und an die wird auch die Antwort gesendet.

 

Grüße

Olaf