spieleprogrammierer.de - Forum und Wiki zur Spieleprogrammierung und Spieleentwicklung

Klingt für mich nach "NAT punch through". Google mal danach

Du kannst hinter einem Router nicht mal eben so einen Server betreiben, der einen eigenen Port benötigt. Diesen Port musst du immer forwarden. Du könntest dein Problem aber auch durch einen Master Server lösen, dann müssten die Clientprogramme keine Ports geforwarded und auch nicht durchgeprügelt bekommen.

Edit: Zum Titel: Der Router "blockt" nicht bewusst Er weiss bloß nicht, dass du einen Server hinter ihm betreibst und daher ALLE Pakete eines Ports haben willst. Er kann dich schlichtweg per NAT nicht zuordnen. Vllt solltest du dich mal allgemein mit dem Thema NAT vertraut machen. Sonst wirst du auch Probleme haben das punch through richtig zu verstehen.

EditEdit: Auf Heise Security gabs mal nen netten Artikel dazu, wie Skype das Problem löst: http://www.heise.de/security/suche/ergebnis/?rm=result;words=Skype;q=Skype;url=/security/artikel/82054/

Sinnvolle Sicherheitsvorkehrungen zu umgehen ist nicht gerade das, was ein gutes Programm tuen sollte.
Sollen die Nutzer halt lernen ihren scheiß Router richtig zu benutzen und die entsprechenden Ports freigeben. Imo dürfte das Problem doch damit gelöst sein?

Btw.: Sowas wie ICQ erreichst du in dem du einen Server hast, bei dem die Ports freigegeben sind, der kann dann die Verbindungen annehmen. Sollte er jedenfalls können.

Naja, aber wenn man ein P2P Programm schreiben möchte Und er schreibt ja schon, dass er keinen Server hat.

Edit: Und die Probleme bzw Seiteneffekte die man mit NAT hat, sind nicht in erster Linie ein Sicherheitsfeature

Aber NAT an sich umgeht ein Sicherheitsfeature. Nämlich das NICHT alle Ports offen sind.

Funktionert "punch through" nicht eig nur bei UDP? Weil bei TCP müsste man, soweit ich weiß, auch noch die "Versionsnummer" manipulieren.

Also ich will das grobe konzept mal erklären, das hinter einem router steht, denn wenn man sich damit beschäftigt, dann merkt man das "portfreigabe" nämlich nur schöngeredet ist xD

Also wenn du ins internet(z.b. willst du ein onlinegame zocken) gehst, dann verwendest du automatisch die ip deines routers. Warum? ganz einfach: Wenn dein router eingeschaltet wird und richtig konfiguriert ist, dann meldet er sich beim provider an und erhält eine ip. damit hast du dann zugang zum "internet". Nun meldet sich der router aber nur einmal an, und nicht für jeden pc am router einmal. Daraus resltiert zunächst das problem, dass nur ein pc ins internet könnte. Kann man recht einfach lösen, indem man die verbindung "aufteilt". Jeder pc am router erhält wie in einem netzwerk auch eine ip adresse und zwar automatisch per dhcp(kann man oft auch abschalten). jeder connect ins internet, geht nun zuerst an den router dieser senden ihn(mit seiner ip im internet) nun weiter. Erstmal ein überblick:

Der Router hat im Internet die IP 1.2.3.4 und im LAN(also am anderen Ende) die IP 168.178.0.1.
Dein PC hat im lan die ip 168.178.0.2 und ist ja nicht direkt mit dem internet verbunden.
Ein laptop ist nun via wlan angeschlossen und hat im wlan die ip 168.178.0.3.

So wenn du nun eine verbindung zu nem server(meinetwegen http) aufbauen willst, dann wird zunächst ein packet gesendet. dieses geht dank namensauflösung(nein das erkläre ich net auch ncoh, sonst bin ich morgen noch dranne) an den router gesendet. dieser sendet es mti seiner ip an den entsprechenden server weiter. So weit so gut. Was ist nun, wenn du auf deinem pc nun nen kleinen http server einrichten willst(oder ein game hosten etc...)?

Nun angenommen dein server läuft(mit der ip 168.178.0.2) und aus dem lan kannst du nun connecten, indem du im browser seine ip eintippst. Was ist nun aber, wenn jemand aus dem internet auf deinen server connecten will? Welche ip soll der benutzen? die aus deinem lan? wohl kaum, die gibt es im internet mit sicherheit nochmal i-wo. Die deines routers? mal schaun...

Er sendet also das packet an deinen router und will zu port 80 connecten. Und dann? Das packet kommt beim router an und der weiss net was machen... wohin soll er es weiterschiken? an den laptop? oder an den pc? oder war es vllt sogar für ihn selbst? er weiss es net, und hat keine möglichkeit das zu entscheiden. Deshalb muss man es ihm sagen und diese funktion nennt man dann "portfreigabe". Man sagt einfach dem router, er soll alle eingehenden verbindungen/daten/etc an port x zum pc y an port z weiterleiten. Fertig. Das ganze wird nun noch als feature mit dem name "firewall im router" versehen und man kann nochmal 10€ mehr verlangen xD

Socke

PS:
Soweit geht mein verständnis, ich muss allerdings auch zugeben, dass ich auch noch ein kleines verständnisproblem in der geschichte habe.
Folgende situation: Man hat nun zu nem http server connected und dieser sendet nun den website content an den router zurück. woher weiss der router wo das nun hin muss?

Socke

Im Prinzip merkt sich der Router an wen das Paket gehen soll und von wem es kam, ersetzt den Absender durch eine eigene Adresse, speichert diese Adresse zusammen mit dem eigentlichen Absender ab und schickt es an den Server. Dieser schickt die Antwort an den eingetragenen Absender (unser Router). Dieser kennt ja den ursprünglichen Absender und leitet es an diesen weiter.

Oh wie simpel. Danke.