Lan hinter Server

n0oL3i

.:. s3cr3t .:.
Beiträge
17
Hallo,

mich würde mal interessieren wie man herausfinden kann, ob mehrere Clients sich eine Internet IP teilen (Router).
Sowas ist ja dann interessant wenn man Provider wie z.B. QSC hat die so etwas nicht erlauben ..

Bzw. gibt es Seiten auf denen man sowas testen kann ?

thx schonmal
greetz n0oL3i
 
A

Anzeige

stargate

systemengineer[MOD]
Beiträge
845
Jeder Rechner hat eine eindeutige IP-Adresse, im PrivatNetwork 192.168.xxx.xxx,
diese wird nicht weiter geroutet, sondern nur die IP die Du vom ISP zugewiesen bekommst.

Sollten mehrere Rechner\PC (Privat) die gleich IP-Adr. so hat immer der gewonnen der sich als erster im Netz anmeldet.
 

n0oL3i

.:. s3cr3t .:.
Beiträge
17
hm, ich hab mich bestimmt en bissel unverständlich ausgedrückt ..
mir gehts eigentlich darum wie man herausfindet, ob ein internetanschluss von mehreren rechnern gleichzeitig in einem lan genutzt wird ...
das jeder rechner im lan ne eigene ip hat is ja wohl klar ;)

greetz
 

g_eXx

gentoo-user
Beiträge
182
Also soweit mir bekannt ist wird beim masquerading nur eine IP benutzt nämlich die des ISP. Wenn du also einen Router mit Masquerading benutzt wird nur diese eine IP im Internet sichtbar sein. Der Router (ich rede von einem Linux-Router mit iptables - Ip-masquerading) merkt sich dann die Verbindungen die vom LAN ins Internet aufgebaut werden bzw. vom Internet ins LAN.
Somit können mehrer verschieden IPs des LANs ins Internet ohne dass eine Rechner im LAN falsche Pakete bekommt.

Also ich hoffe das war jetzt richtg - bzw. verständlich für dich.:D
 

stargate

systemengineer[MOD]
Beiträge
845
Jetzt ist es eindeutig, das was Du wissen
möchtest kannst Du mit dem Programm
" ntop " erreichen.
Wer mit wem und soweiter ......

Und so gehts Console öffnen "ntop" starten, dann WebBrowser öffnen,
dann eingeben "http://192.168.xxx.xxx.:3000" und nun
siehst Du alle Verbindungen die Aufgebaut sind und werden.
 

ConCode

LPIC-2 certified
Beiträge
128
Sorry Stargatre aber du redest schund oder hast nich verstanden worum es geht. Tut mir leid. (Is nicht bös gemeint)

Aber zum Thema Ja es gibt da Möglichkeiten allerdings muss hier entweder direkt (als Ziel natürlich über router) aus dem Lokalen Netz auf die eigende Maschine zugegriffen werden. (Was für den Provider kein Problem darstellen sollte.)


Ich denke deine Frage geht weiter als nur das ob , oder?

Nun kommen wir zu dem WIE:

Das Routing findet auf der IP-Ebene statt. Somit wird die TCP-Ebene nicht angerührt und das Handshaking zum Beispiel läuft wie bei einer direkten Verbindung. Nun werden hierfür sogenannte Sequenz-Nummern benutzt. Ich machs kurz: Das Muster welches sich aus der Analyse dieser Nummern ergibt unterscheidet sich von Kernel-Version zu Kernel-Version und auch von OS zu OS. und da in vielen Gerouteten Netzen auch unterschiedliche OS'e stehen (Server & Workstation) würde es einer Gründlichen Analyse nicht standhalten.

Und nun die Gute Nachricht:

Da für den Provieder die Mehrfahnutzung keine Mehrkosten bedeuten, Fachleute die solche Analysen durchführen sich aber gerne mal hin und wieder auch besser bezahlen lassen würden, hat mal keine Analyse zu befürchten. Die Konsequenzen wären auch nicht so dramatisch das sie den Aufwand rechtfertigen.

Eher würden Provider diese Fachleute einsetzen um mal die Server und Router gegen Ausfälle zu sichern!




Noch was zu ntop:

www.ntop.org siehe docu

um ntop als informations quelle zu nutzen muss es im Lan erstmal installiert werden. Eine Aussage wie ... verbinde dich mit Port 3000 .... ist nicht sehr umfangreich.
 
Zuletzt bearbeitet:

stargate

systemengineer[MOD]
Beiträge
845
Original geschrieben von ConCode
Sorry Stargatre aber du redest schund oder hast nich verstanden worum es geht. Tut mir leid. (Is nicht bös gemeint)

Ich weis zwar nicht was Du genau bemängels
aber ein paart Hausaugaben sollte man schon
gemacht haben, hier etwas zum Thema
Doppelte IP-Adressen
oder hier Sniffer® Portable High-Speed in einem M$ -Netzwerk könnte es wie folgt aussehen :
Ab dem Service Pack 2 ist es möglich, vor der Vergabe einer IP-Adresse von NT überprüfen zu lassen, ob die Adresse bereits verwendet wird. Dafür ist jetzt im Menü "Eigenschaften" des Befehlsservers ein Menü eingefügt worden, mit dem Sie die Überprüfung einstellen können. Standardmäßig setzt NT den Wert auf 0, was keiner Überprüfung entspricht.

Die Angabe einer Zahl steuert, wie oft NT ein Ping an die Adresse senden soll, bevor es die Adresse vergibt, wenn keine Antwort erfolgt.

Erhält der DHCP-Server auf diesen Ping eine Antwort, wird die Adresse als vergeben gekennzeichnet und durch den Eintrag "BAD_ADDRESS" markiert.

Zum Thema "ROUTING" via ISP gibt es einige Seiten die Dir verraten welche IP-Adr. Du hast, und das ist die Dir der ISP
zuteilt, selbst ntop verrät Dir dies

Noch was zu ntop:

www.ntop.org siehe docu

um ntop als informations quelle zu nutzen muss es im Lan erstmal installiert werden. Eine Aussage wie ... verbinde dich mit Port 3000 .... ist nicht sehr umfangreich.

"ntop" kann auf jedem Pc installiert werden, es liegt fast jeder Distri bei, und das wie und was habe ich auch erklärt siehe hier :
Und so gehts Console öffnen "ntop" starten, dann WebBrowser öffnen,
dann eingeben "http://192.168.xxx.xxx.:3000" und nun
siehst Du alle Verbindungen die Aufgebaut sind und werden.

Sorry nichts für ungut ( ist nicht böse gemeint)
 

ConCode

LPIC-2 certified
Beiträge
128
Ging es nicht darum ob der ISP überprüfen kann wieviele Maschinen sich einen Internetzugang teilen?
 

tomvomland

Tripel-As
Beiträge
223
rup ist auf dem richtigen weg:

Wenn der Provider sich die Arbeit macht, den IP-Traffic zu sniffen, kriegt er sehr wahrscheinlich raus, welche unterschiedliche OS und Software eingestetzt werden, garnicht zu reden von Browsern und anderen Netzwerk-Applikationen, die nur auf bestimmten OS laufen.
Spätestens, wenn du eine Linux-Box und eine Win-Dose übers private LAN surfen lässt würde das auffallen.

cu
tom
 

stargate

systemengineer[MOD]
Beiträge
845
Rechner hinter Routern auffindbar

Viele Provider verbieten in ihren Allgemeinen Geschäftsbedingungen, mehrere Rechner gleichzeitig an einer Verbindung zu betreiben. Bisher fühlten sich die Anwender von Routern sicher, denn schließlich erscheint ihr Netzwerk gegenüber dem Internet wie ein einziger Rechner. Dafür sorgt die ‘Network Address Translation’ im Router, die die privaten IP-Adressen im LAN auf die eine vom Provider zugeteilte umsetzt. Da somit in den Log-Files des Providers nur eine einzige IP-Adresse auftaucht, scheint auch der ganze Datenverkehr nur von einem einzigen Rechner zu stammen. Steven Bellovin, einer der Väter des Usenet und inzwischen im Sicherheits-Kommitee der Internet Engineering Task Force tätig, hat nun doch einen Unterschied entdeckt (www.research.att.com/~smb/papers/fnat.pdf).

Er untersuchte die ‘IPid’, eine 16-Bit-Zahl, die jedes IP-Paket im Header trägt, um es eindeutig zu identifizieren (www.ietf.org/rfc/rfc0760.txt). Das ist erforderlich, damit der Empfänger die Fragmente eines Paketes wieder zu einem Ganzen zusammensetzen kann, wenn es auf seinem Weg durch das Netz geteilt wurde. Das passiert, wenn ein Teil der benutzen Route nur kleinere Datenpakete übertragen kann als das ursprüngliche. Die IPid fügt der TCP/IP-Treiber des Betriebssystems in die Pakete ein. Im Prinzip muss sie nur für jede Kombination aus Ziel- und Quell-Adresse sowie den Ziel-Port eindeutig sein. Das gewährleisten die Programmierer der meisten Betriebssysteme, indem sie einfach einen Zähler benutzen. Nacheinan-der abgesandte IP-Pakete erhalten also aufeinander folgende IPids.

Bellovins Algorithmus versucht nun solche Sequenzen von IPids aufzuspüren. Unterschiedliche Folgen gehören dann mit hoher Wahrscheinlichkeit zu verschiedenen Rechnern (siehe Bild).
Diagramm Mehrere Rechner hinter einem NAT-Router offenbaren sich in verschiedenen Folgen von IPids in den versandten Paketen. In diesem Bild lassen sich fünf Rechner unterscheiden.

Um ihren Kunden die verbotene Mehrfachnutzung nachzuweisen, könnten die Provider die IPids leicht protokollieren. Allerdings entstünden riesige Datenbestände. Außerdem erlaubt die Methode keine hundertprozentig sichere Erkennung der Rechnerzahl: Da auch innerhalb des LANs versandte IP-Pakete IPids aus derselben Sequenz erhalten, können die außerhalb des Routers sichtbaren Abfolgen so unterbrochen werden, dass scheinbar mehr Rechner aktiv sind, als tatsächlich vorhanden. Bellovin arbeitet daher an seinem Algorithmus, um die Sequenzen sicherer aufzudecken.

Die Chance, durch Änderung der IPid im Router die Zahl der angeschlossenen Rechner zu verschleiern, hält er für gering. Die einzig sichere Methode gegen diesen Zählalgorithmus ist derzeit, auf den Clients im LAN ausschließlich Betriebssysteme einzusetzen, die Zufallszahlen als IPids benutzen. FreeBSD und OpenBSD sind noch die gebräuchlichsten Vertreter dieser Gruppe ... (je)

aktuelle Ausgabe der c't
 

Patrick K.

lBSD_de Test User
Beiträge
93
wobei ich anmerken muss :

das sicher kein provider (nach momentanem stand) wirkliches interesse an massen auswertung dieser zahlen zu machen.

das ist :

a) zu traffic intensiv
b) zu kostspieleig
c) zu aufwendig fuer personal
d) die eingesparten kosten zu niedrig
e) duerften die aus datenschutz grunden nicht


so viel zu dem thema

ps. wo sollen die das bitte alles loggen ? :-)

mfg
 

erathosthenes

my love
Beiträge
129
Tja n0oL3i, jetzt hast Du die Antwort und noch ein paar mehr Infos dazu.
Falls Du also einen Win2000 AS hast, dieser
dir die Verbindung und das Routing bereitstellt,
und du von deinem eigenen Rechner
mit Linux ins Netz gehst, bekommt dein
Anbieter es raus.
Auch wenn es bei einem DSL Flat Anschluß nicht weiter stören sollte.

Aber um ganz sicher zu gehen solltest du deinen
Server eh auf Linux umstellen.
 

Doomshammer

Aushilfs-Blowfish
Beiträge
95
Original geschrieben von Patrick K.
e) duerften die aus datenschutz grunden nicht

Natuerlich duerfen sie das. Wenn die Annahme besteht, dass Du gegen die AGBs verstoesst (mit denen Du Dich beim Vertragsabschluss einverstanden erklaert hast) duerfen sie das ohne weiteres.
 

LinuxDau

Mitglied
Beiträge
28
Hier steht aber viel Drin !!!

Hallo Leute,

hier gebe ich auch mein Senft dazu ab :) ,also wenn man bei QSC eine Anbindung nimmt egal ob SDSL oder ADSL dann bekommt man per DHCP die IP Adresse , DNS zugewiesen ! Damit das ganze funzt muss man sich einen PPPoE Cliend auf eien Rechner installieren ist echt pillepalle :P
So weil in den AGP drin seht Netwerke darf man nicht betreiben tun wir das auch nicht *schmeiss mich auf den Boden vor lachen*

Am besten nehmt ihr einen PII 200Mhz 128Ram 2GB HD das past leicht für einen Firewall (2 Netzwerkkarten ) da linux mit iptabel installieren dann den PPPoE client Mit der Firewall macht ihr NAT
10.10.10. irgetwas oder 192.168.irgetwas.irgetwas
schon habt ihr ein laufentes Netzwerk natürlich könnt ihr auch einen DHCP einsetzen ist auch praktisch wenn ihr noch mehrer PC dahinter hängen wollt

ich hoff ich hab nicht so viel schmarrn geschrieben :rolleyes:

cu LinuxDau

PS: QSC will nur nicht den Monster Traffic, wenn alles im grünen bereich bleibt dan ist auch QSC das Netzwerk wurscht !
 
Zuletzt bearbeitet:

tomvomland

Tripel-As
Beiträge
223
Re: Hier steht aber viel Drin !!!

....,also wenn man bei QSC eine Anbindung nimmt egal ob SDSL oder ADSL dann bekommt man per DHCP die IP Adresse , DNS zugewiesen ! Damit das ganze funzt muss man sich einen PPPoE Cliend auf eien Rechner installieren ist echt pillepalle :P

Aslo.... hier schmeisst Du aber ein paar Sachen durcheinander, glaube ich oder ich versteh' nicht, was Du meinst....

So weil in den AGP drin seht Netwerke darf man nicht betreiben tun wir das auch nicht *schmeiss mich auf den Boden vor lachen*

Ob man die AGBs einhält, muss wohl jeder für sich eintschieden.
Wie Du weiter oben im Thread nachlesen kannst, ist die technische Lösung die Du vorschlägst nicht die Lösung für das Problem von n0oL3i
cu
tom
 

LinuxDau

Mitglied
Beiträge
28
Na gut :-)

Hi tom,

Ich meinte die Firmen AGB´s und nicht wircklich den Steckplatz der Grafikkarte :P

Der Ursprung der Frage war doch ob man die IP Adresse teilen kann!? Mit ein und derselbe IpAdr kann ich beliebig viele PC betreiben nur nicht gleichzeitig (immer nur einen)
damit ich mehrere PC mit einer IP(festen oder vom Provider)
benutzen kann muss ich NAT machen ander gehts nicht !

Deshalb hab ich vorgeschlagen eine Firewall zu installlieren auf der NAT zu aktivieren und den PPPoE Cliend zu inst.

was war denn da falsch ?

ist ja auch noch früüh am Morgen

:)


thx LinuxDau
 

tomvomland

Tripel-As
Beiträge
223
Re: Na gut :-)

Der Ursprung der Frage war doch ob man die IP Adresse teilen kann!?
Nein. Das das mit NAT funktioniert war eigentlich klar.

Die Frage war, ob der Provider feststellen kann, mit wievielen verschiedenen PCs ich den Anschluss über dieselbe IP-Adresse nutze:
n0oL3i:
mir gehts eigentlich darum wie man herausfindet, ob ein internetanschluss von mehreren rechnern gleichzeitig in einem lan genutzt wird ...

cu
tom
 

n0oL3i

.:. s3cr3t .:.
Beiträge
17
hui is ja doch noch was aus dem thread geworden ;) ..
das kommt davon wenn man mal einige tage net hier reinguckt :P

thx an alle - is wirklich interessanter lesestoff dabei !

erathosthenes:
Aber um ganz sicher zu gehen solltest du deinen
Server eh auf Linux umstellen.

:) noch mehr auf die nase binden geht net, gell ?? bist du mit fli4l zufrieden ?!? ;D

original geschrieben von : mir
Bzw. gibt es Seiten auf denen man sowas testen kann ?

weil es ja schon wieder en bissel her ist, hab ich mir nochmal meine frage durchgelesen ;) ..
Gibt es denn schon solche Dienste ?

greetz
 
Zuletzt bearbeitet:

LinuxDau

Mitglied
Beiträge
28
Hallo,

der Provider kann nicht sehen wieviele PC du im netzwerk hast !
Das ist ja der Spass von Nat :]

cu LinuxDau
 

Ähnliche Themen

Problem mit Ubuntu/openVPN-Server hinter Router

Systemadministrator Linux (m/w)

Debian Gateway

iptables - default policy - Server macht dicht

Heimserver Konfiguration für Ubuntu Server?!

Oben