Topic: mehrere Ports dauerhaft öffnen

[e[nt]e]

Hallo,

ich habe schon mehrfach hier im Forum gesucht und auch schon etwas gefunden, was allerdings mein Problem nicht wirklich löst.

Ich muss auf meinem Server mehrere Ports, sowohl TCP als auch UDP, öffnen. In den FAQ im Wiki habe ich folgendes gefunden:

    * Wie wird der öffentliche Zugang zu einem neuen Dienst auf dem SME 7 erreicht?

Dazu stellt der SME 7 extra eine einfache Prozedur bereit. Heißt der neue Dienst beispielsweise manta und der gewünschte Port, der für diesen Dienst freigeschaltet werden soll, hat die Nummer nnn, nehmen Sie als Benutzer root an der Serverkonsole folgende Einstellung vor:

config set manta service access public status enabled TCPPort nnn

Für UDP-Dienste verwenden Sie anstelle des Ausdrucks TCPPort den Ausdruck UDPPort. Mit den Ausdrücken ~AllowHosts und ~DenyHosts können Sie den Zugriff beschränken.

config setprop manta ~AllowHosts 1.2.3.4,10.11.12.0/24
config setprop manta ~DenyHosts 16.17.18.18

Anschließend aktualisieren Sie die SME Einstellungen.

signal-event remoteaccess-update

Nun habe ich diese Schritte jeweils wiederholt für jeden freizugebenden Port. Scheinbar funktioniert das aber nicht. Wenn ich allerdings nur einen Port freigebe, dann funktioniert es.
Der Server läuft im server-only mode und steht hinter einem Router. Auf dem Router sind die Ports aber weitergeleitet an den Server.

Sehr merkwürdig meiner Meinung nach...ich freue mich also über jeden Hinweis.

Niklas

[capri]

Sehr wahrscheinlich wird das nur im 'Server und Gateway' Modus funktionieren, du kannst aber deinen Router auch im 'Server und Gateway' Modus dranlassen, hast halt dann ein zweifache Firewall.

PS: Gibt es eigentlich schon einen detailierten Eintrag in der Wiki, der die Unterschiede der verschiedenen SME7 Modis ausführlich erklärt? Meine da kommt es immer wieder zu Mißverständnissen bezüglich der Fähigkeiten der einzelnen Modi.

[e[nt]e]

Hallo,
danke erstmal für die Antwort.

Mhm, dann ist es doch aber komisch, dass das Öffnen eines Ports nach dieser Methode funktioniert. Nur eben bei mehreren Ports bleibt, soweit ich das getestet habe, immer nur der jeweils letzte freigeschaltete Port offen.

Zu den verschiedenen Modi:
Ja das habe ich mir im Wiki auch durchgelesen, bevor ich den Server eingerichtet habe. Da ich aber mit dem Router eigentlich sehr zufrieden war und bin hatte ich mich entschieden die Aufgaben wie DHCP usw. weiter dem Router zu überlassen. Und außerdem habe ich in dem Server auch nur eine Netzwerkkarte, wobei das ja kein allzu großes Problem wäre.

[Reinhold]

...vermutlich gibst du immer das Kommando (nur) den einen port zu öffnen 
(Die Dinger machen nun mal was man ihnen sagt - nicht unbedingt was man will  )

versuch mal:
config set manta service access public status enabled TCPPort 8883,8885,8889
... sollte 8883, -5 und -9 öffnen (wildes Beispiel!)

Gruß
Reinhold

[capri]

Und außerdem habe ich in dem Server auch nur eine Netzwerkkarte, wobei das ja kein allzu großes Problem wäre.

Wie willst du aber ein Mehrwege Routing mit nur einer Netzwerkkarte bewerkstelligen? Klar von Prinzip geht es aber das schaffen wohl nur extreme Linux Profis.

Leute informiert euch halt mal über die technische Seite bevor ihr loslegt.

Zwei Netzwerkkarten, Server und Gateway Modus, auf den Router kann man dann die IP der SME7 externen Schnittstelle als DMZ freigeben, oder auch nicht je nach Gusto und ein 'zwei Netzwerke Routing' ist möglich, mit einer Karte ist das nicht, auch dein Router hat im Prinzip zwei interne Netzwerkarten, nur sieht man das den Routern nicht an

By the way, die internen Sicherheitsmechnismen des SME7 gehen über das hinaus was Low Cost Router können, da muss es schon was in der Preisklasse jenseits von 200 Euro sein um eventuell besser zu sein, und ein Applikation Firewall (Selinux) ist dann immer noch nicht dabei.

Vergeßt einfach mal die Methode DSL Router als DHCP und daran Server und Klienten hängen, das ist zwar prinzipiell möglich aber nur mit teuren 3 Schnittstellen Routern sinnvoll.

Für lokales Netzwerk ans Internet angebunden ist die Lösung Router/Modem -> Server -> Hub/Switch -> Kleinten einfach mal die Beste, zumindest für übliche kleine Netzwerke.


 

[e[nt]e]

...vermutlich gibst du immer das Kommando (nur) den einen port zu öffnen 
(Die Dinger machen nun mal was man ihnen sagt - nicht unbedingt was man will  )

versuch mal:
config set manta service access public status enabled TCPPort 8883,8885,8889
... sollte 8883, -5 und -9 öffnen (wildes Beispiel!)

das klingt ja schonmal gut... werd ich morgen wenn ich Zeit habe mal ausprobieren.

Wie willst du aber ein Mehrwege Routing mit nur einer Netzwerkkarte bewerkstelligen?

Ok...entschuldige wenn ich frage...wozu brauche ich ein Mehrwege Routing?

Ansonsten...ja vielleicht ändere ich ja noch was an meiner Konfiguration. Aber meinst du, dass der Server und Gateway Modus mein Problem löst?

Gruß
Niklas

[capri]

Ok...entschuldige wenn ich frage...wozu brauche ich ein Mehrwege Routing?

Im Normallfall ist jeder Netzwerkarte nur eine IP Adresse zuordenbar (Ausnahmen gibt es, aber sehr komplexes Thema), das Routing basiert auf IP Adressen, also kann man keine zwei Netzwerke (Lokal und Extern) sicher über eine IP Adresse unterscheiden/leiten, deshalb stellt jede Netzwerkarte ein Netzwerk (IP Adresse) dar, die Eine eben für das Interne, die Andere für das Externe, das Routing ist dadurch so einstellbar das eine Trennung möglich ist, Port XY ist im lokalen Netzwerk frei, aber auf den Externen nur ausgehend usw.

Das ganze ist besondeers wichtig für die Filterung und Sperrung, so kann man es einrichten das z.B. im Lokalen Netzwerk alles erlaubt ist, wären nach Außen zum Internet oder von Internet nach Innen nur Wenig.

Aber ich kann das nur mässig beschreiben dazu findest du auf WIKIPEDIA viel bessere und ausführlichere Beschreibungen die die Grundlagen des Routings erklären.

Ansonsten...ja vielleicht ändere ich ja noch was an meiner Konfiguration. Aber meinst du, dass der Server und Gateway Modus mein Problem löst?

Ich denke sehr wahrscheinlich Ja, den edurch den aktiven DHCP Server im Router übergibst du die IP Verwaltung und das Routing ja praktisch dem Router und der SME7 Server hat darauf keinen großen Einfluss mehr.

[e[nt]e]

Gut danke erstmal für die Erklärung. 
Allerdings glaube ich, dass ich eigentlich kein externes und internes Netz brauche, da das Netzwerk an sich ja durch den Router gegen Zugriffe von außen geschützt ist. Und somit lege ich ja im Router durch Portweiterleitungen fest, welche Dienste auf dem Server aus dem Internet erreichbar sind.

Ich denke sehr wahrscheinlich Ja, den edurch den aktiven DHCP Server im Router übergibst du die IP Verwaltung und das Routing ja praktisch dem Router und der SME7 Server hat darauf keinen großen Einfluss mehr.

Ok, dann werde ich das mal ausprobieren, wenn der Tip von Reinhold nicht funktioniert. Ich bin bis jetzt leider noch nicht dazu gekommen es auszuprobieren.

Ansonsten schonmal Danke euch beiden.
Ich melde mich dann wieder, ob es geklappt hat.

[e[nt]e]

Also scheinbar hat es geklappt. Und zwar so:

Code: [Select]

config set ucc-bin service access public status enabled TCPPort 8883,8885 UDPPort 8887,8886(die Portnummern nur um das Beispiel von Reinhold wieder aufzugreifen.)
und dann:

Code: [Select]

signal-event remoteaccess-update
So, also nochmal Vielen Dank 

Niklas

[FraunhoferIFF]

füge das bitte , nach Prüfung, dem Wiki hinzu.

dann haben alle etwas von der Lösung.

Marcel

[e[nt]e]

Gut, werde ich machen, wenn ich es nochmal richtig getestet habe.

Niklas