Re: Routing in ein privates geNATetes Netzes?
On Sat, Jan 10, 2009 at 07:33:50PM +0100, Christian Knorr wrote:
> Wenn ich z.B. "mein_server.no-ip.com" dafür verwende um meinen Webserver der
> Außenwelt zur Verfügung zu stellen, dann ist das nicht nur Port 80, sondern
> IMHO alle Ports. Also auch Port 22 für ssh.
Nein. no-ip (als Beispiel, bei den anderen funktioniert das ganz
genauso) funktioniert so:
Du hast auf dem "zu überwachenden" Rechner eine Software,
typischerweise IMHO ddclient. Die meldet sich bei no-ip (oder dnydns
oderoderoder) und teilt dem die eigene aktuelle IP mit. no-ip trägt die
dann in eine eigene "Liste" ein. Rufst Du jetzt (womit auch immer) die
Adresse beispiel.no-ip.com auf, so guckt der in seiner Liste nach,
welche IP das grad ist, und leitet die Anfrage dorthin weiter. Ein
dynamischer IP-Service eben. Es wird _gar_kein Port weitergeleitet, es
wird nur die Anfrage an beispiel.no-ip.com auf die gerade aktuelle IP
1.2.3.4 umgeleitet. Auf welchem Port 1.2.3.4 antwortet/reagiert, hängt
natürlich von 1.2.3.4 ab. Wenn auf diesem ein ssh und ein Webserver
laufen, dann kann man, wenn man beispiel.no-ip.com kennt, natürlich
auf beides zugreifen.
Das Portforwarding in diesem thread hier dient nur dazu, vom beim
entsprechenden Rechner vorgeschalteten Router die Ports vom Internet
an den Rechner durchzureichen und nicht "im Router" enden zu lassen.
> Will heißen, _wenn_ ich _sowohl_ Webserver, _als auch_ Fernwartung haben
> will/muss, geht das nicht, dass ich das eine bekannt mache und das andere
> geheim halte.
So gesehen stimmt das, ja.
> > Niemand "leitet" irgendwelche Ports auf den Rechner.
> Nicht? Es werden also nicht alle Ports vom DynDNS-Namen zu meiner IP
> weitergeleitet? Wie funktioniert das denn dann?
Nein. S.o.
> > Welchen SPAM auf ssh???
> Der war nicht auf ssh bezogen, sondern auf den Webserver (Gästebuch, Forum..).
Ehm. Dann betreibt man das eben dergestalt, daß man sich vor
unerwünschten Einträgen schützt. Nur ein "Nicht-Kennen" schützt nicht
vor unerwünschten Einträgen. Auch ohne einen Service wie no-ip.com kann
jemand zufällig an den Rechner geraten (einfach in dem er IP-Bereiche
absucht) und dann dort solche unerwünschten Einträge platzieren. So
lange, bis das entdeckt und der Dienst beendet wird, oder bis der
Rechner automatisch vom Provider eine neue IP erhält. Der vermeintliche
Schutz, den Du durch Nichtnutzung von dynamischen DNS-Diensten
erreichen willst, existiert nur in Deiner Phantasie.
> Angenommen (!) ich hätte einen Webserver, und müsste den Rechner fernwarten.
> Möchte aber nicht, dass sich jemand an der Fernwartung zu schaffen machen
> kann (außer, er kennt die IP). Kannst Du mit 2 dyndns/noip-Namen die Dienste
> trennen? Für die Öffentlichkeit okay, da nehme ich ja auch dyndns. Aber für
> ssh würde ich die EMail-Variante bevorzugen.
Eh? An der Fernwartung durch einen ssh-Tunnel kann sich sowieso niemand
"zu schaffen machen", weil ssh nunmal eine Athentifizierung verlangt,
ohne die man keinen Zugriff bekommt. Jegliche Art der Fernwartung ist
normaler- und sinnvollerweise mindestens durch eine Passwortabfrage
oder einen key gesichert - alles andere wäre grob fahrlässig und dumm.
So langsam bekomme ich den Eindruck, daß Du Dich hier entweder extra
unwissend stellst oder besser keine Dienste öffentlich anbieten
solltest...
Paul Muster hat es vollkommen korrekt ausgedrückt: "Security by
obscurity" funktioniert nicht, hat nie funktioniert und wird auch nie
funktionieren.
ciao, Dirk
Reply to: