Christoph Schnauß: Routing-Problem mit t-online

guten Abend Forum ;-)

vor lauter Angestrengtheit durch den "Axel-Thread" hab ich ganz vergessen, daß ich ja auch noch nen Problem habe, zu dem ich keine Lösung weiß. Es hat was mit dem "Netz" zu tun, allerdings nur wenig mit "SELFHTML" ...

Ich habe ein DSL-Modem, das an die (interne) Karte in meinem Rechner angeschlossen ist  -  und ohne das ich derzeit gar nicht hier posten könnte *g*

Nun hat mein Rechner mit der "DSL-Karte" aber noch eine zweite Netzwerkkarte, über die ich in meinem kleinen LAN weitere Rechner angeschlossen habe. Ich kriege von meinem "Großen" aus sowohl Zugriff aufs Internet wie auch auf die anderen angeschlossenen Rechenr, so solls ja auch sein  -  und funktioniert unabhängig vom gerade benutzten Betriebssystem.

Normalerweise teilt mir t-online "dynamisch" eine IP zu, sobald ich online gehen möchte. Die kann ich natürlich (unter WINDOWS) mit "ipconfig -all" abfragen. Ok, habs mir notiert, bin aus dem Haus gegangen, hab den Rechner online gelassen (bei einer flatrate nicht ganz so schlimm) und mich drei Stunden später und ungefähr zwölf Kilometer entfernt plötzlich während einer langweiligen Veranstaltung dran erinnert. Am Veranstaltungsort stand nen Computer ... Klar, hab ich mich rangesetzt, online war der Rechner auch, also hab ich aufs Geratewohl mal "ping 'meineIP'" gemacht  - ups, ging. Na sowas. Da muß man doch weiter nachschauen. Also "Computer suchen" (bei WindowsXP) getippt, die IP eingegeben  -  und siehe da, mein Rechner zuhause war plötzlich erreichbar und stand in der "Netzwerkumgebung".
So weit konnte ich das noch nachvollziehen, das muß tatsächlich so sein. Aber was _nicht_ hätte sein dürfen: ich sah meinen "zuhause-Rechner" plötzlich mit seiner Apache-Startseite, die ich auch zuhause immer sehe, wenn ich irgendeinen Browser anstelle. Der lokale Apache läuft schließlich, aber er horcht nicht auf port 80.
Jetzt bekam ich die Startseite meines _lokalen_ Apache also übers Internet zu sehen? Ja, wieso denn das? Der Kumpel hat schließlich nix mit der "dynamisch" von t-online vergebenen IP zu tun (die ist irgendwas bei 217.x.x.x), sondern sollte sich auf das interne LAN mit der Broadcast-Adresse 192.168.x.x und _nicht_ auf port 80 festnageln lassen.

Hat er aber nicht gemacht. Mein Rechner stand trotz sämtlicher Sicherheitseinstellungen, die ich nun wahrhaftig kenne und auch vorgenommen habe, völlig "nackt" im Internet. Da ich die aktuelle IP hatte, konnte ich aus Kilometern Entfernung auf mein gesamtes privates LAN zugreifen, hätte sogar eine Remote-Administration einschließlich Neupartitionierung durchführen können ...

Ich hielt das zunächst für ein "WINDOWS-Phänomen", weil mein Großer zuhause grade WinXP fuhr. Also hab ich es zwei Tage später, diesmal bewußt, wiederholt und streng darauf geachtet, daß mein "Großer" zuhause FreeBSD fährt  -  auch das hat einen lokalen Apache mit einer Startseite, auch da geht der lokale Apache nicht über port 80, aber es ist dieselbe t-online-Einwahl.
Eine Stunde später und 15 Kilometer entfernt dasselbe Ergebnis: Durchgriff übers Internet bis auf /root und alle lokalen Shares, obwohl an meinem Rechner zuhause gar niemand angemeldet war (die Netzwerkverbindungen werden bereits vor dem login initialisiert, und darunter auch die online-Einwahl bei t-online). Das Eigenartigste: wenn ich versuchen wollte, im lokalen Netz von einem nachgeordneten Rechner auf das /root-Verzeichnis meines "Großen" zuzugreifen, kriege ich wie erwartet ein alert, daß das nicht geht. Aber übers Internet soll das plötzlich sogar mit Schreibrecht gehen? Völlig irrsinnig ...

Jetzt bin ich nur noch verblüfft. Ich habe enorme Probleme, meine LAN-Rechner "nach außen" durchzurouten, wenn ich möchte, daß einer von den nachgeordneten Rechnern (der keine eigene Intenretverbindung hat) vom "Großen" eine Internetverbindung zugewiesen bekommt ... aber komme ich selber "von außen", geht das alles völlig problemlos (sofern ich meine aktuell zugewiesene IP kenne) und sogar ohne Paßwortabfrage? Ich sehe die Startseie meines lokalen Apache, obwohl der nix mit port 80 zu tun hat, ich habe für die nachgeordneten Rechner Proxy-Einstellungen drin, ich habe bis auf port 80 am "Großen" alle ports geschlossen, ich habe zusätzlich eine Firewall laufen und stehe trotzdem absolut "nackt" im Internet?

Irgendwas stimmt da nicht ... und wehe, einer von euch versucht jetzt, bei mir "format C:" zu machen (klappt eh nicht, weil aktuell grade FreeBSD) ;-)

Grüße aus Berlin

Christoph S.

  1. Moin!

    Irgendwas stimmt da nicht ... und wehe, einer von euch versucht jetzt, bei mir "format C:" zu machen (klappt eh nicht, weil aktuell grade FreeBSD) ;-)

    Tipps auf die Schnelle:

    "netstat -an" listet dir alle lauschenden Sockets auf - da sollte alles aufgeführt sein, was du meinst, bei dir gefunden zu haben.

    "nmap" führt einen Portscan durch. Es ist schwachsinnig, das von der lokalen Maschinen aus durchzuführen, aber ich könnte das bei dir erledigen (schick mir einfach deine derzeitige IP per Mail). Alternativ guckst du mal, was ein öffentlicher Portscanner so bei dir findet. Nimm beispielsweise den von http://grc.com - der testet nur nicht soviele Ports, wie nmap.

    Ach ja: Eine Firewall ist für solche Zwecke durchaus nicht verkehrt.

    - Sven Rautenberg

    --
    "Bei einer Geschichte gibt es immer vier Seiten: Deine Seite, ihre Seite, die Wahrheit und das, was wirklich passiert ist." (Rousseau)
  2. Hallo Christoph,

    ich empfehle da http://www.fli4l.de zum routen, eine firewall ist auch mit dabei.

    als hardware für den router reicht ein alter 486'er oder pentium 1, mit 2 netzwerkkarten und einem diskettenlaufwerk. gebootet wird von einer diskette (linux), festplatte oder lüfter werden nicht gebraucht.

    wenn du linux nicht magst, nur keine angst, kannst du die bootdiskette auch mit einem windows-tool erstellen lassen.

    frohe weihnachten, christoph