Ich habe auf meinem pc ein dial-up (isdn) Adapter als auch eine Ethernetkarte (client im lan) gleichzeit laufen. das dial-up adapter ist direct mit dem internet verbunden, hingegen die ethernet netzwerkkarte in ein masquiertes lan eingebunden (als client!) ist und deshalb keine öffentliche ip-adresse hat.
Nun möchte ich mit dieser Konfiguration einen Ftp-Server einrichten, auf den vom Internet aus zugegriffen werden kann. Da der Computer über die Netzwerkkarte ein Client im Lan ohne öffentliche ip ist, muss der Zugriff auf den Server vom Internet aus über die Ip Adresse des Dial-up Adapters (Isdn) erfolgen.
Um dennoch die Bandbreite des Lan’s zu nutzen stelle ich mir vor dass der vom Ftp-Server initierte ausgehende traffic auch wenn über den Dial-up Adapter initiert über den Ethernetadapter und damit über den Gateway des Lan’s ins Internet (zum Ftp-Client)geroutet wird.
Mich würde interessieren ob dieses Scenario realisierbar ist und - wenn ja - wie.
Nun möchte ich mit dieser Konfiguration einen Ftp-Server
einrichten, auf den vom Internet aus zugegriffen werden kann.
Da der Computer über die Netzwerkkarte ein Client im Lan ohne
öffentliche ip ist, muss der Zugriff auf den Server vom
Internet aus über die Ip Adresse des Dial-up Adapters (Isdn)
erfolgen.
Um dennoch die Bandbreite des Lan’s zu nutzen stelle ich mir
vor dass der vom Ftp-Server initierte ausgehende traffic auch
wenn über den Dial-up Adapter initiert über den
Ethernetadapter und damit über den Gateway des Lan’s ins
Internet (zum Ftp-Client)geroutet wird.
Hä? Deine einzige Verbindung ins Internet besteht über die ISDN Karte, also muß der komplette Traffic ins Internet auch über diese gehen.
Du kannst den ftp Server auf einem Rechner im internen Netz installieren und auf dem Gateway ins Internet ein Portforwarding einrichten, so dass FTP-Anfragen an deine ISDN-Karte zum FTP-Server im internen Netz geforwarded (welch schöne Wortschöpfung) werden. Die Dtaen gehen dann im internen Netz über das Ethernet und nach aussen über ISDN.
Portforwarding ist möglich. Unter Linux z.B. mit ipchains oder iptables.
mhhh, vielleicht war hab ich das scenario nicht ganz verständlich dargestellt…also nochaml im klartext:
Mein Pc befindet sich im Netz unserer Universität. Alle Clients im Netzwerk haben über Dhcp/Nat private Ip-Adressen (10.173.*.*).
Das Netz ist über ein Nat Gateway ans Internet angeschlossen.
Folglich kann von ausserhalb des Netzes (also vom Internet) nicht auf Clients innerhalb des Lan’s zugegriffen werden, ohne vom Gateway eine portmap zum Client zu legen.
Da dies nicht möglich ist, habe ich eben die Idee auf meinem Pc einen zweiten Tcp-ip Adapter - in meinem Fall eine Isdn Karte - zu installieren über die ich mich über einen provider mit dem Internet verbinde. Da hab ich dann zwei Ip’s auf dem Pc: Einmal die private Ip des Uni-Lan’s (10.173.*.*) für die Ethernetkarte und eine dynamische öffentliche Ip-Adresse für den Dial-up Adapter (zb. 62.182.*.*).
Foglich kann vom Internet aus über die Ip des Dial-up Adapters mit dem Ftp-Server auf meinem Computer kommuniziert werden.
Wenn nun ein FtpClient eine Datei von meinem Ftp-Server anfordert sollen aber diese Ip-Packete nicht wie normal auch über den Dial-up Adapter der Isdn-Karte versendet werden sondern über die Ethernetkarte und damit über den Gateway des Uninetzes an den Ftp-Client geschickt werden (höhere Bandbreite).
Ich hoffe, dass ich das so einigermassen verständlich erklärt habe und freue mich über Eure Ratschläge !
Steffen
Hä? Deine einzige Verbindung ins Internet besteht über die
ISDN Karte, also muß der komplette Traffic ins Internet auch
über diese gehen.
Du kannst den ftp Server auf einem Rechner im internen Netz
installieren und auf dem Gateway ins Internet ein
Portforwarding einrichten, so dass FTP-Anfragen an deine
ISDN-Karte zum FTP-Server im internen Netz geforwarded (welch
schöne Wortschöpfung) werden. Die Dtaen gehen dann im internen
Netz über das Ethernet und nach aussen über ISDN.
Portforwarding ist möglich. Unter Linux z.B. mit ipchains oder
iptables.
Jetzt ist mir deine Situation klar geworden. Dürfte aber nach meinem Verständnis nicht funktionieren.
Da in den Paket-Headern die Source und Destinationadresse eingetragen ist, kann die Verbindung nur über einen Netzwerkadapter funktionieren. Der anfragende Client wartet auf eine Antwort vom ISDN Device, da er hier die Anfrage gestellt hat. Genauer gesagt hörcht er erstmal auf dem Port auf dem die Anfrage an den Server rausging auf eine simple Anwort, dass der FTP-Dienst auf dem entfernten Rechner läuft und Verbindungen annimmt (siehe 3-Way-Handshake im RFC793 http://rfc.net/rfc793.html).
Du könntest die Pakete auf deinem Rechner evtl. so umbiegen, dass die Antwort über die Ethernetkarte rausgeschickt wird. Somit erhält der Client dann, wegen NAT, die IP-Adresse und Port des UNI-Gateways über dass er sich nun weiter unterhalten möchte. An das Gateway stellt er dann auch seine nächste Anfrage und kommt nicht weiter.
Wie gesagt, nach meinem Verständnis…muss also nicht unbedingt stimmen, klingt aber in meinen Ohren recht plausibel.
ja du hast recht. ich hab nicht daran gedacht dass die packete wenn über den ethernetadapter verschickt auch den header mit der internent ip bekommen…schön blöd !
vielleicht könnte man aber den header dieser packete spoofen und ihm die ip adresse des isdn adapters verpassen !?
aber wahrscheinlich werden die packete dann vom gateway des netzwerkes nicht akzeptiert…
trotzem danke für deine tips,
Steffen
Hallo
Jetzt ist mir deine Situation klar geworden. Dürfte aber nach
meinem Verständnis nicht funktionieren.
Da in den Paket-Headern die Source und Destinationadresse
eingetragen ist, kann die Verbindung nur über einen
Netzwerkadapter funktionieren. Der anfragende Client wartet
Hast Du Dein Vorhaben mit dem Rechenzentrum abgeklärt? Ich vermute mal nicht, denn Du erzeugst hier ein ernstzunehmendes Sicherheitsproblem:
Mein Pc befindet sich im Netz unserer Universität. Alle
Clients im Netzwerk haben über Dhcp/Nat private Ip-Adressen
(10.173.*.*).
Das Netz ist über ein Nat Gateway ans Internet angeschlossen.
Folglich kann von ausserhalb des Netzes (also vom Internet)
nicht auf Clients innerhalb des Lan’s zugegriffen werden, ohne
vom Gateway eine portmap zum Client zu legen.
Das Portmapping verhindert einen wesentlichen Teil der unerwünschten Zugriffe von außen. Dies ist offenbar ein Teil des Sicherheitskonzeptes der Uni.
Da dies nicht möglich ist, habe ich eben die Idee auf meinem
Pc einen zweiten Tcp-ip Adapter - in meinem Fall eine Isdn
Karte - zu installieren über die ich mich über einen provider
mit dem Internet verbinde.
Wenn ich mal davon ausgehe, daß an Deiner Uni in diesem Fall nicht anders verfahren wird als an der Uni Kiel, dann hat dieses Vorhaben ernstzunehmende Konsequenzen. Es ist hier aus gutem Grund (s.o.) verboten, Dial-Up Adapter zu betreiben.
Unabhängig von den Sicherheitsproblemen stellst Du mit der gewünschten Konstruktion dritten Personen die Bandbreite des Deutschen Forschungsnetzes zur Verfügung. Benötigst Du die Funktionalität für Deine Arbeit an der Uni, so wird das RZ sicher keine Einwände haben, ein Portmapping einzurichten. Ein FTP-Server für private Zwecke ist jedoch nicht statthaft.