DMZ und Portkonflikte

Fragen, Antworten und Hilfen rund um die Konfiguration

Beitragvon Feodor » Sa 17.11.2001 - 18:23

Hallo,

ich habe eine Frage zu DMZ:

Schritt 1: Ein LAN-Client sei in der-"DMZ"-Zone. Er ist zunächst der einzige Klient im LAN. D.h. er bekommt vom Router *alle* Pakete zugeschickt, die aus dem Internet stammen.

Schritt 2: ICh starte einen Server auf diesem LAN-Klienten. Der Server horcht auf einem Port >32768.

Schritt 3: Ich aktiviere einen zweiten Klienten im LAN und surfe über diesen intensiv im Internet.

Preisfrage: Geht das immer gut? Können beide Klienten ihren Verkehr ins Internet störungsfrei über den Router abwickeln?

Meine Frage zielt auf Portkonflikte, die in dieser Situation m.E. zumindest nicht auszuschließen sind.

Der Router vergibt ja beim Surfen Quellen-Ports über 32767 (nach NAT/PAT/IP-Masq) für die Pakete aus dem LAN, um die Verbindungen der Clients auseinanderhalten zu können. Mein Punkt ist der, dass ein Port in der NAT-Tabelle einen Server maskieren kann, der auf dem gleichen Port im LAN auf Pakete wartet.

Wenn also der Surf-Client im Router einen Pseudo-Quellen-Port >32768 bekommt, auf dem auch der Server auf Pakete wartet, kann der Server in der DMZ gar nichts mehr empfangen, wenn der Router bei rein kommende Paketen *nur* nach dem Port schaut. Gut gehen könnte es nur dann, wenn der DMZ-Server seine Daten von einer anderen IP-Adresse bekommt als der Surf-Client *und* der Router dies auch auswertet.

Was ist Sache?

Gruß
Feodor
Benutzeravatar
Feodor
Ambitionierter User
 
Beiträge: 69
Registriert: Mo 20.08.2001 - 18:40
Wohnort: bei Darmstadt

Beitragvon bundr » So 18.11.2001 - 10:17

Hallo Feodor,

Interessante Fragen. Das gleiche Problem müsste auch bei Port-Redirection bestehen.

Gruss
BundR
Benutzeravatar
bundr
Power-User
 
Beiträge: 113
Registriert: Sa 02.06.2001 - 15:41

Beitragvon Feodor » So 18.11.2001 - 14:36

Das denke ich auch, Bundr.
Zusätzlich kann man noch "Open Ports" danebenstellen.
Das hab' ich nur alles weggelassen, damit's nicht zu lang wird.

Gruß
Feodor
Benutzeravatar
Feodor
Ambitionierter User
 
Beiträge: 69
Registriert: Mo 20.08.2001 - 18:40
Wohnort: bei Darmstadt

Beitragvon Feodor » So 18.11.2001 - 16:53

Hallo nochmal,

mein Beitrag ist zwar recht lang, die Beantwortung kann aber sehr kurz sein. :-)
Ich möchte wissen, welche von zwei Möglichkeiten zutrifft.
In der Art "Möglichkeit 1 trifft zu" oder "Möglichkeit 2 trifft zu".

Ich möchte auch ein Beispiel geben. Die Adressen sind künstlich einfach, um die Lesbarkeit zu verbessern. Die Paketadressierung ist hierbei immer: Quellen-IP:Port -> Ziel-IP:Port

Beispiel:
IP eines Internet-URL = 212.100.100.100
IP des ersten LAN-Clients = 192.168.1.3 (Surf-Client)
IP des zweiten LAN-Clients = 192.168.1.2 (Server-Client)
Vigor-Router-IP = 212.50.50.50

Der Surf-Client macht eine DNS-Anfrage:
192.168.1.3:1025 -> 212.100.100.100:53
Der Router macht daraus 212.50.50.50:33333 -> 212.100.100.100:53

Die Antwortpakete kommen nun wieder am Router an:
Paket von Client eins kommt mit IP/Port 212.50.50.50:33333 an
Der Router weiß jetzt, dass 212.50.50.50:33333 einen Anfrage von 192.168.1.3:1025
war und sendet die Paket wieder dahin zurueck.

So weit alles Klar. Jetzt wird es interessant!
Der Server-Client 192.168.1.2 ist in der DMZ. Auf ihm wurde ein Server gestartet.
Dieser Server erwartet Pakete auf dem Port 33333. (Obacht dieser Port wurde gerade von Router verwendet und in die NAT-Tabelle eingetragen.)

Ein Client 212.111.111.111 im Internet will auf den Server zugreifen.
Er sendet ein Paket 212.111.111.111:1033 -> 212.50.50.50:33333

Welchem Client schickt der Router nun das Paket??

Möglichkeit 1:

Der Router richtet sich nur nach dem Port 33333. Und da findet er den NAT-Eintrag für den Surf-Client 192.168.1.3. Der Router sendet also in LAN das Paket
212.111.111.111:1033 -> 192.168.1.3:1025
Das wäre dann falsch!

Möglichkeit 2:

Der Router stellt zwar fest, dass bei Port 33333 eine Verbindung eingetragen ist.
Aber er merkt, dass dort als Internet-IP nicht 212.111.111.111 (das ist die Quellen-IP des rein kommenden Pakets) sondern 212.100.100.100 (das war die IP, die der Surf-Client ansteuerte) eingetragen ist.
Also stellt er fest, dass das Paket nicht zu einer aktiven NAT-Verbindung gehört und schickte es daher dem Server-Client (da er ja in der DMZ steht). Also schickt er
212.111.111.111:1033 -> 192.168.1.2:33333 weiter.
Das wäre richtig!


Zusammengefasst: Wertet der Router die Quellen-IPs von Paketen aus, die aus dem Internet ins LAN wollen?

Und jetzt noch die Bonusfrage!

212.111.111.111 und 212.100.100.100 haben die gleiche IP (z.B. da die Gegenstellen im selben LAN sind).

In diesem Falle blockiert wohl der Surf-Client im Router den Server-Port, da der Router ja nur den jetzt passenden NAT-Eintrag des Surf-Clients kennt.

Gruß
Feodor

PS: Für die Kenner jetzt noch der Superbonus ;-) Bei Port Redirection und Open Ports gib es ja Tabelleneinträge im Router. D.h. für den gleichen Sockel IP/Port existieren zwei Einträge - einer in der active Session-Table und einer bei PR oder OP. Tja welcher Eintrag hat Priorität?
Benutzeravatar
Feodor
Ambitionierter User
 
Beiträge: 69
Registriert: Mo 20.08.2001 - 18:40
Wohnort: bei Darmstadt

Beitragvon Juergen » So 18.11.2001 - 17:13

@Feodor
Hi,
nein hab leider nicht die Antwort auf Deine "einfache" Frage, schlag mich grade mit dem DMZ/IP-Filter-Problem rum. Aber auch hier ist die Prioritäts-Frage entscheidend.
Wir bräuchten eine komplette (möglichst grafische) Darstellung wann, welche Parameter durch was beinflusst und priorisiert werden.
Bitte dokumentiere Deine Ergebnisse, dann können wir vielleicht am Ende ein "Gesamt-Kunstwerk" zusammenstellen.
MfG Jürgen http://www.vigor-users.de --> Da führt kein Click dran vorbei !
Benutzeravatar
Juergen
Ambitionierter User
 
Beiträge: 82
Registriert: So 19.08.2001 - 08:57
Wohnort: Köln

Beitragvon Feodor » So 18.11.2001 - 22:21

@Jürgen:
Ja, stimmt, es wäre nett, wenn man nicht jede Priorisierungsregel selbst durch eine Messanordnung erforschen müsste.

Gruß
Feodor
Benutzeravatar
Feodor
Ambitionierter User
 
Beiträge: 69
Registriert: Mo 20.08.2001 - 18:40
Wohnort: bei Darmstadt

Beitragvon Rhigster » Mo 26.11.2001 - 14:51

@Feodor
In der Tat gibt es hier reichnlich Raum für Kollisionen, und dafür habe ich sogar ein ganz konkretes Beispiel.
Hehehe ist mein Standard Beispiel mit dem ich bereits nen halbes Jahr kämpfe.

OP Setup 1 "Server"
Hier soll der BattleCom Server laufen. Er lausch auf hereinkommende Chatteilnehmer auf den folgenden Ports: TCP 2300-2400

OP Setup 2 "Games"
Die MS GamingZone startet ein Spiel vom Internet aus. Das Initialkommande kommt also herein, dafür benutzt wird die Direkt X Range.
TCP: 2300-2400

Sind beide OPs aktiv, wird kein Spiel gestartet. Die Pakete gehen also scheinbar unbeeindruckt weiter an den BattleCom. Schalte ich vorrübergehend den OP 1 ab klappts auch mit dem Spielen.
Rhig
Benutzeravatar
Rhigster
Grünschnabel
 
Beiträge: 5
Registriert: Mi 30.05.2001 - 08:26
Wohnort: Berlin

Beitragvon Feodor » Di 27.11.2001 - 11:31

@Rhigster:

Es scheint mir wichtig zu sein, dass du verstehst,
was passiert, wenn du beide OPs aktiv hast:
Ich schätze die Cracks wissen das alle, aber bisher waren die wohl alle zu faul, es dir zu erklären ;-) . (Ich bezeichne mich nicht als solcher, ich hab' ja auch den Online-Namen BeginnersMind ;-D )

Aalsooo:

Wenn ein Paket aus dem Internet beim Vigor eintrifft, das nicht zu einer bestehenden Verbindung gehört, arbeitet der Router die OP-Regeln eine nach der anderen ab, in der Reihenfolge, die du im Setup spezifiziert hast. Die erste Routing-Regel, die zutrifft, wird ausgeführt. Danach ist der Router fertig mit dem Paket.

Wenn also in deinem OP Setup 1 "Server" steht, dass alle DirectPlay-Pakete zum einem speziellen Client in deinem Netz geschickt werden sollen, dann macht er das für alle DirectPlay-Pakete. D.h. der Router kann bei diesen Paketen (Port Range 2300-2400) niemals bis OP Setup 2 "Games" kommen, da letzere Routing-Regel vollständig von der vorher abgearbeiteten Regel maskiert wird.

Praktische Schlussfolgerung für alle Zocker:

Es kann nur eine gleichzeitig geben! (DirectPlay-Anwenung die Pakete der Port Range 2300-2400 vom Internet her ind private Netz drückt.)

Das ist kein Bug, sondern eine prinzipielle Beschrängung jeglichen "inverse IP-Masquerade"- bzw. "Port Mapping"-Leistungsmerkmals eines NAT/PAT-Routers.

Das Maximum an Flexibilität, das man verlangen könnte, wären "triggered maps", aber das ist eine andere Geschichte. Der Vigor kann das auch (bisher) nicht.

Gruß
Feodor

--
"Fire in the hole" (CampingIsNoCrime)
Benutzeravatar
Feodor
Ambitionierter User
 
Beiträge: 69
Registriert: Mo 20.08.2001 - 18:40
Wohnort: bei Darmstadt

Beitragvon sbellon » Mi 28.11.2001 - 00:06

Zitat von Feodor am 11:31 am am Nov. 27, 2001

"Fire in the hole" (CampingIsNoCrime)


ROTFLOL! Noch einer dieser Axis-Camper! ;-)

Gruß, sbellon.
sbellon
Ambitionierter User
 
Beiträge: 80
Registriert: Mi 22.08.2001 - 18:48

Beitragvon Feodor » Mi 28.11.2001 - 00:15

Hehe,
noch ein Zocker? :-) Ich bin aber Clan-los und Gelegenheitsspieler, tja ... uralt im Vergleich zum Hauptfeld .. aber immer noch lernfähig (hoffentlich) ;-)

Gruß
Feodor
Benutzeravatar
Feodor
Ambitionierter User
 
Beiträge: 69
Registriert: Mo 20.08.2001 - 18:40
Wohnort: bei Darmstadt

Beitragvon sbellon » Mi 28.11.2001 - 23:12

Nee, Informatik-Student, der zwischen der Studien- und der Diplomarbeit ein bisschen entspannen will. Und in unseren Poolräumen geht das sooo gut. ;-)

Grüße, sbellon.
sbellon
Ambitionierter User
 
Beiträge: 80
Registriert: Mi 22.08.2001 - 18:48


Zurück zu DrayTek Vigor 2200 (X/E/W) Router - Konfiguration

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste

cron