[HaBo]

lightf · 09.07.11, 19:47

Hi,

Ich habe einen Server programmiert. Nun verbindet es sich mit einem Port und wartet auf Clientanfragen. Das Problem: Wenn eine Firewall oder ein Router vorhanden ist, so muss der Port extra freigegeben werden. Gibt es nicht irgendeine Methode, womit man die Firewall, Router.. umgehen kann?

lg

she3p · 09.07.11, 19:50

Nein, da hat deine Implementation keinen Einfluss darauf. Andere Ebene.

Anzeige

- Anzeige -

**lightsaver** · 09.07.11, 19:56

Klingt für mich nach UPnP. Gucke doch mal, ob das was für dich ist und ob es bereits Libs für die Sprache gibt, die du verwendet hast.

**bitmuncher** · 10.07.11, 03:44

UPnP muss aber vom Router unterstützt werden und aktiviert sein.

Serow · 10.07.11, 11:29

Das würde ja den ganzen Sinn und Zweck von Firewalls untergraben wenn man sie einfach umgehen könnte ^^

**Chromatin** · 11.07.11, 11:59

Zitat:

Das würde ja den ganzen Sinn und Zweck von Firewalls untergraben wenn man sie einfach umgehen könnte ^^

Der Lochtrick | heise Security

+++ATH0 · 11.07.11, 12:53

Wo ist das Problem? Mach die Verbindung doch andersherum. Also programmiere deine Software in eine Reverse Connection um.
Also so, dass der Server eben nicht hinter der Firewall ist, bzw. wo Port Forwarding möglich ist. Der Client braucht ja kein Port Forwarding.
Es gibt nur einen Unterschied. Normalerweise läuft der Server ständig und der Client verbindet zu bestimmten Zeitpunkten.
Baut man die Software zu einer Reverse Connection um (getautschte Rollen), dann muss der Client eben periodisch versuchen die Verbindung zum Server selbstgesteuert aufzunehmen, bis dieser startet und auf seinem Port lauscht.

Sind jedoch sowohl Client und Server hinter einer Firewall bzw. hinter einer NAT, wo Ports geforwardet werden müssen, dann muss man zu anderen Mitteln greifen.

Zu empfehlen wären NAT Traversal Verfahren, wie STUN, TURN oder ICE, wie sie auch für VOIP-Dienste genutzt werden.
Der Nachteil: Man benötigt einen dritten Vermittlungsserver. Es gibt aber auch beispielsweise öffentliche STUN Server [1].
Ganz ohne dritte Vermittlungsinstanz geht es mit pwnnat [2], wo ICMP Echo Antworten zu einer fix gewählten nichtexistenten IP blind zu dem Server hinter der NAT beantwortet werden und somit der Server die IP kennenlernt.
Sind sich beide bekannt, tauschen danach beide gegenseitg den öffentlichen UDP Port voneinander aus mittels UDP Hole Punching [3].

Zwar werden solche Techniken regelmäßig für VOIP und von anderer Peer2Peer Software benutzt, aber ich sah bisher noch keinen ach so elitären Trojaner, der so etwas kann.

Oder kennt jemand einen? (Außer lame Reverse Connection)

[1] STUN - voip-info.org
[2] pwnat - NAT to NAT client-server communication
[3] UDP hole punching - Wikipedia, the free encyclopedia

**CDW** · 11.07.11, 14:11

Anmerkung zu STUN: der erste Entwurf war zwar tatsächlich :"simple traversal of blub", wurde aber in der zweiten Revision ganz schnell in "Session Traversal Utilities for NAT" umbenannt

.
Damit kann man afaik "nur" Informationen ermitteln - ob und welche Art von NATs (full cone, restricted blub usw) vor dem Client geschaltet sind, öffentliche IP, ein paar Timings usw. Aber als rendezvous Server lassen die sich afaik nicht "missbrauchen".

Anzeige

- Anzeige -

09.07.11, 19:47	#1 (permalink)
lightf Registriert seit: 29.06.11 Likes: 0	Port Anzeige Hi, Ich habe einen Server programmiert. Nun verbindet es sich mit einem Port und wartet auf Clientanfragen. Das Problem: Wenn eine Firewall oder ein Router vorhanden ist, so muss der Port extra freigegeben werden. Gibt es nicht irgendeine Methode, womit man die Firewall, Router.. umgehen kann? lg

09.07.11, 19:50	#2 (permalink)
she3p Registriert seit: 07.05.07 Likes: 19	Nein, da hat deine Implementation keinen Einfluss darauf. Andere Ebene. __________________ #Twitter Anteater Bugtracker (in progress..)

10.07.11, 03:44	#4 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 442	UPnP muss aber vom Router unterstützt werden und aktiviert sein. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

11.07.11, 12:53	#7 (permalink)
+++ATH0 Member of Honour Registriert seit: 02.04.05 Likes: 76	Wo ist das Problem? Mach die Verbindung doch andersherum. Also programmiere deine Software in eine Reverse Connection um. Also so, dass der Server eben nicht hinter der Firewall ist, bzw. wo Port Forwarding möglich ist. Der Client braucht ja kein Port Forwarding. Es gibt nur einen Unterschied. Normalerweise läuft der Server ständig und der Client verbindet zu bestimmten Zeitpunkten. Baut man die Software zu einer Reverse Connection um (getautschte Rollen), dann muss der Client eben periodisch versuchen die Verbindung zum Server selbstgesteuert aufzunehmen, bis dieser startet und auf seinem Port lauscht. Sind jedoch sowohl Client und Server hinter einer Firewall bzw. hinter einer NAT, wo Ports geforwardet werden müssen, dann muss man zu anderen Mitteln greifen. Zu empfehlen wären NAT Traversal Verfahren, wie STUN, TURN oder ICE, wie sie auch für VOIP-Dienste genutzt werden. Der Nachteil: Man benötigt einen dritten Vermittlungsserver. Es gibt aber auch beispielsweise öffentliche STUN Server [1]. Ganz ohne dritte Vermittlungsinstanz geht es mit pwnnat [2], wo ICMP Echo Antworten zu einer fix gewählten nichtexistenten IP blind zu dem Server hinter der NAT beantwortet werden und somit der Server die IP kennenlernt. Sind sich beide bekannt, tauschen danach beide gegenseitg den öffentlichen UDP Port voneinander aus mittels UDP Hole Punching [3]. Zwar werden solche Techniken regelmäßig für VOIP und von anderer Peer2Peer Software benutzt, aber ich sah bisher noch keinen ach so elitären Trojaner, der so etwas kann. Oder kennt jemand einen? (Außer lame Reverse Connection) [1] STUN - voip-info.org [2] pwnat - NAT to NAT client-server communication [3] UDP hole punching - Wikipedia, the free encyclopedia bitmuncher and she3p like this.

11.07.11, 14:11	#8 (permalink)
CDW Moderator Registriert seit: 20.07.05 Likes: 202	Anmerkung zu STUN: der erste Entwurf war zwar tatsächlich :"simple traversal of blub", wurde aber in der zweiten Revision ganz schnell in "Session Traversal Utilities for NAT" umbenannt . Damit kann man afaik "nur" Informationen ermitteln - ob und welche Art von NATs (full cone, restricted blub usw) vor dem Client geschaltet sind, öffentliche IP, ein paar Timings usw. Aber als rendezvous Server lassen die sich afaik nicht "missbrauchen". +++ATH0 likes this. __________________ Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf! Selig, wer nichts zu sagen hat und trotzdem schweigt.

09.07.11, 19:56	#3 (permalink)
lightsaver Moderator Registriert seit: 19.06.06 Likes: 52	Klingt für mich nach UPnP. Gucke doch mal, ob das was für dich ist und ob es bereits Libs für die Sprache gibt, die du verwendet hast.

10.07.11, 11:29	#5 (permalink)
Serow Senior Member Registriert seit: 26.03.06 Likes: 16	Das würde ja den ganzen Sinn und Zweck von Firewalls untergraben wenn man sie einfach umgehen könnte ^^

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

[HaBo]

Port