Hallo zusammen,
angenommen ich habe einen lokalen Rechner 192.168.0.250. Dieser befindet sich im Internet und der Standardport für MySQL ist Firewall-geschützt (Windows 2003 Server). Es soll trotzdem möglich sein auf diesen Rechner zuzugreifen. Wie?
Gruß
h.
Hallo zusammen,
angenommen ich habe einen lokalen Rechner 192.168.0.250.
Dieser befindet sich im Internet und der Standardport für
MySQL ist Firewall-geschützt (Windows 2003 Server). Es soll
trotzdem möglich sein auf diesen Rechner zuzugreifen. Wie?
Ich möchte auf die MySQL Daten zugreifen…
Gruß
h.
Mir scheint zwischen „ich habe einen lokalen Rechner“ und „Dieser befindet sich im Internet“ ein kleiner Widerspruch zu bestehen. Und auch das Konzept mit dem „Firewall-Schutz“ kann ich nicht ganz nachvollziehen. Ist hiermit ein MS-ISA-Server gemeint, oder meinst du einen w2k3-Portfilter auf dem SQL-Server?
Vielleicht solltest du die Architektur ein bisschen aussagekräftiger beschreiben.
Gruss
Schorsch
Hallo zusammen,
angenommen ich habe einen lokalen Rechner 192.168.0.250.
Dieser befindet sich im Internet und der Standardport für
MySQL ist Firewall-geschützt (Windows 2003 Server). Es soll
trotzdem möglich sein auf diesen Rechner zuzugreifen. Wie?Ich möchte auf die MySQL Daten zugreifen…
„Richtige“ Firewall oder Personal Firewall auf dem 2003 Server?
192.168.0.250 ist eine private Netzwerkadresse, dein Router muss also NAT aktiviert haben. Damit legst Du den MySQL Port auf dem Rechner logisch auf irgendeinen Port des Routers. Von aussen kontaktierst Du also den Router, nicht den PC an sich.
Trotzdem muss der Router natürlich die Datenbank kontaktieren können.
By the way: NAT macht eine Firewall eigentlich überflüssig.
Hallo zusammen,
angenommen ich habe einen lokalen Rechner 192.168.0.250.
Dieser befindet sich im Internet und der Standardport für
MySQL ist Firewall-geschützt (Windows 2003 Server). Es soll
trotzdem möglich sein auf diesen Rechner zuzugreifen. Wie?Ich möchte auf die MySQL Daten zugreifen…
„Richtige“ Firewall oder Personal Firewall auf dem 2003
Server?
die vom Rechner lokal.
192.168.0.250 ist eine private Netzwerkadresse, dein Router
muss also NAT aktiviert haben. Damit legst Du den MySQL Port
auf dem Rechner logisch auf irgendeinen Port des Routers. Von
aussen kontaktierst Du also den Router, nicht den PC an sich.
Hmm, verstehe ich da vielleicht was falsch…
Ich gebe z.B. www.pillepalle.net an. Das kommt am Router an. Der sagt „Du willst auf die mysql DB zugreifen - geh mal über Port 1234 weiter.“
DA ist doch aber eben der mySQL Port geschlosen… dreh ich mich da nicht im Kreis…? *knotenimkopp*
Trotzdem muss der Router natürlich die Datenbank kontaktieren
können.
Das nehme ich mal als gegeben an 
gruß
h.
Hallo Schorsch,
mit lokal meinte ich, das der sozusagen hier neben mir steht
Es soll eine angenommene Maschine sein, deren Port 3306 nach aussen hin zu ist (W2K3).
Gruß
h.
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
„Richtige“ Firewall oder Personal Firewall auf dem 2003
Server?die vom Rechner lokal.
Dann bringt die dir eh nichts. Wenn deine Bedrohung schon im LAN selbst ist kann eh nicht mehr viel helfen, und von aussen schützt dich dein Router. Durch NAT sind eh nur die Ports erreichbar, die die konfigurierst.
Hmm, verstehe ich da vielleicht was falsch…
Ich gebe z.B. www.pillepalle.net an. Das kommt am Router an.
Ganau, z.b. IP 100.100.100.100, Port 80. Das ist z.B. die IP des Routers von aussen, die „echte“ Ip Adresse im Internet. Aus deinem Lan heraus wäre er unter der internen IP erreichbar, z.B. 192.168.0.1.
Router, die Netzwerke verbinden, haben eigentlich immer so viele IP Adressen wie sie Netze verbinden.
Der sagt „Du willst auf die mysql DB zugreifen - geh mal über
Port 1234 weiter.“
So in etwa, NAT pflegt erst mal nichts anderes als eine Tabelle, die sagt: Was auf IP 100.100.100.100, Port 80 ankommt wird an 192.168.0.100, Port 92 weitergeleitet (da TCP verbindungsorientiert ist ist das praktisch weitaus komplizierter, ist aber hier egal).
Wenn in deinem LAN ein zweiter Webserver wäre, müsste dieser unter einem anderen Port auf 100.100.100.100 erreichbar sein, z.B. Port 8080.
DA ist doch aber eben der mySQL Port geschlosen… dreh ich
mich da nicht im Kreis…? *knotenimkopp*
Der lokale MySQL Port auf dem Server, sagen wir 192.168.0.100:3306 muss immer erreichbar sein, wie soll sonst eine Verbindung aufgebaut werden können?
Durch NAT wird dieser Port aber nun von der internen IP deines Routers aus angesprochen, sagen wir 192.168.0.1.
Die -unnütze- lokale Firewall auf deinem 2003 Server müsste also den Zugriff auf den MySQL Port mindestens von der internen IP deines Routers zulassen, sonst geht es nicht.
Alles klar?
Trotzdem muss der Router natürlich die Datenbank kontaktieren
können.Das nehme ich mal als gegeben an
Nicht wenn der Port durch die Firewall geschlossen ist.
Fangen wir mal von vorne an: Wenn es dir um Zugriffe zum Zwecke der Fernwartung geht, ohne dass der Server für dritte aus dem Internet erreichbar ist, solltest du eine VPN-Schicht dazwischenlegen oder MySQL, wie du dir möglicherweise bereits überlegt hast (zumindest deine Fragestellung im W2k…-Brett legt eine solche Spekulation nahe) über SSL tunneln. Der entspr. Port muss dann, soll nicht der Server selbst Endknoten des Tunnels sein, zwar immer noch geöffnet sein, ist aber von aussen (dank Router) nicht erreichbar.
Einen Server aber aufzubauen und dann die entspr. Serverports zu schliessen, scheint mir vom Sicherheitsaspekt zwar perfekt, von der Sinnhaftigkeit aber sehr wenig überzeugend.
Gruss
SChorsch
Hallo h.
angenommen ich habe einen lokalen Rechner 192.168.0.250.
Dieser befindet sich im Internet und der Standardport für
MySQL ist Firewall-geschützt (Windows 2003 Server). Es soll
trotzdem möglich sein auf diesen Rechner zuzugreifen. Wie?
Ich habe hier eine ganz ausgezeichnete Literaturstelle gefunden. Bei den 69 Beiträgen müßte auch für dich was dabei sein http://entwickler.de/zonen/portale/psecom,ps_lo,60,i…
der hinterwäldler
Hallo,
angenommen ich habe einen lokalen Rechner 192.168.0.250.
Dieser befindet sich im Internet und der Standardport für
MySQL ist Firewall-geschützt (Windows 2003 Server). Es soll
trotzdem möglich sein auf diesen Rechner zuzugreifen. Wie?
Ich möchte auf die MySQL Daten zugreifen…
Du könntest den MySQL-Port einfach freigeben. Wenn Dir das zu heikel ist, nimmst Du ein VPN.
HTH,
Sebastian
Ich habe hier eine ganz ausgezeichnete Literaturstelle
gefunden.
Stimmt, ganz huebsch.
Bei den 69 Beiträgen müßte auch für dich was dabei
sein
http://entwickler.de/zonen/portale/psecom,ps_lo,60,i…
Mal angenommen, ich haette jetzt beim Ueberfliegen der Ueberschriften nicht auf Anhieb _den_ passenden Artikel zum Problem gefunden… welchen wuerdest Du da ganz konkret empfehlen zu lesen?
Danke,
Gruss vom Frank.
Hallo zusammen,
Fangen wir mal von vorne an: Wenn es dir um Zugriffe zum
Zwecke der Fernwartung geht, ohne dass der Server für dritte
aus dem Internet erreichbar ist, solltest du eine VPN-Schicht
dazwischenlegen oder MySQL, wie du dir möglicherweise bereits
überlegt hast (zumindest deine Fragestellung im W2k…-Brett
legt eine solche Spekulation nahe) über SSL tunneln.
Also wenn es um Fernwartung gehen soll, stellt sich für mich natürlich die Frage, warum man dann überhaupt direkt von außerhalb auf die Datenbank zugreifen können muss. Wäre es dann nicht sinniger per WTS/Citrix (notfalls VNC mit VPN) nur auf den Server als solchen und dessen Oberfläche zuzugreifen und darin dann die entsprechenden Applikationen zu starten, die wiederum lokal auf die Datenbank zugreifen? Dann kann ich mir doch üblicherweise dieses ganze Spiel mit einer von außen beliebig (im Sinne von nicht über eine konkrete Anwendung mit klaren Funktionen, sondern direkt mit beliebigen SQL-Statements) zugreifbaren DB sparen.
Gruß vom Wiz
Hallo Frank
Mal angenommen, ich haette jetzt beim Ueberfliegen der
Ueberschriften nicht auf Anhieb _den_ passenden Artikel zum
Problem gefunden… welchen wuerdest Du da ganz konkret
empfehlen zu lesen?
Und was soll ich dir antworten? Wenn ich deine Fragestellung richtig verstanden habe, müsste ich jetzt zu h. fahren, mich über die dortigen technischen Voraussetzungen informieren, danach die Artikelserie lesen und letzten Endes LittleH von # bis # als zutreffend empfehlen.
Ich bin mal höflich und sags so:
Bei derart komplexen Themen, wie das angesprochene, sollte man sich auch komplex informieren. Es ist nicht mit dem Lesen der Überschriften getan. Was dabei rauskommt, kannst du täglich neu hier erleben und übrigens: Jede Seite besitzt einen Button zum Drucken. Das Ergebnis kannst du dir dann unter das Kopfkissen schieben.
Habe ich mich mißverständlich ausgedrückt oder gar was falsches gesagt?
der hinterwäldler
Hallo Frank
Hi,
Mal angenommen, ich haette jetzt beim Ueberfliegen der
Ueberschriften nicht auf Anhieb _den_ passenden Artikel zum
Problem gefunden… welchen wuerdest Du da ganz konkret
empfehlen zu lesen?
Schade, einfach so eine Nummer ging wohl nicht… okay, dann halt wieder das mit der Grundsatzdiskussion.
Und was soll ich dir antworten? Wenn ich deine
Fragestellung richtig verstanden habe, müsste ich jetzt zu h.
fahren, mich über die dortigen technischen Voraussetzungen
informieren,
Ich dachte, es waere eine gute Vorraussetzung, das Problem verstanden zu haben, wenn man denn helfen moechte. Hast Du das nicht?
danach die Artikelserie lesen
Uh, jetzt wird’s ja echt haarig: Du empfiehlst also etwas als Hilfe, was Du noch gar nicht gelesen hast?
und letzten Endes LittleH von # bis # als zutreffend
empfehlen.
Jo, so etwa haette ich gedacht, koenntest Du auf meine Rueckfrage antworten.
Ums mal anders oder satirisch auszudruecken: Deine Antwort bewegte sich etwa in dem Niveau „Ich hab zwar nicht genau kapiert, was Du willst, aber unter http://www.google.de/ gibt es viele interessante Links zu Deiner Frage.“ Ist es das, so etwa?
Bei derart komplexen Themen, wie das angesprochene, sollte man
sich auch komplex informieren. Es ist nicht mit dem Lesen der
Überschriften getan. Was dabei rauskommt, kannst du täglich
neu hier erleben
Soso.
und übrigens: Jede Seite besitzt einen Button zum Drucken.
Das Ergebnis kannst du dir dann unter das Kopfkissen schieben.
Toll, H. kann auch die Bibel lesen. Das wird ihn schoen von seinen Problemen ablenken, vielleicht hat er sie danach auch vergessen. Geloest hat er sie aber immer noch nicht.
Habe ich mich mißverständlich ausgedrückt oder gar was
falsches gesagt?
Ach, ich stelle nur mal wieder in Frage, dass Deine Antwort auch nur entfernt irgendwas mit der Frage zu tun hat. Versteh mich nicht falsch: die link-Sammlung ist wirklich interessant. Einen Zusammenhang vermag ich spontan aber nicht zu erkennen.
Gruss vom Frank.
SQL Injection.
\q
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
angenommen ich habe einen lokalen Rechner 192.168.0.250.
Dieser befindet sich im Internet und der Standardport für
MySQL ist Firewall-geschützt (Windows 2003 Server). Es soll
trotzdem möglich sein auf diesen Rechner zuzugreifen. Wie?SQL Injection.
Aeh… haeh? Erklaerst Du uns da bitte den Zusammenhang? Danke.
Gruss vom Frank.