Socket Verbindungen

[borg73]

Hallo Leute,

ich möchte wissen, ob es möglich ist mit den Indy Komponenten den Localen Port auf dem der Server antworten soll mit zu schicken. Damit man über eine Firewall kommt.

Danke Marco

[Simon Grossenbacher]

Das ist nicht nötig bei TCP/IP. Der Client der z.B. hinter einer Firewall ist baut eine Connection zum Server auf, danach kann der Server einfach auf diese Connection antworten und muss sich nicht darum kümmern von wo der Client die Connection aufbaut.

[borg73]

Das stimmt nicht ganz, wenn ein Client eine Socketverbindung zu einem Server aufbaut, dann wird automatisch ein LocalPort definiert. Da dieser vom Betriebsystem mitgegeben wird komme ich durch keine Firewall. Könnte ich diesen Localport ( wie in java oder c++ ) mit geben, könnte ich 2 Port für die Komunikation offen lassen und den rest sperren.

Marco

[Elias Zurschmiede]

Hallo

Das stimmt so, ist aber auch gut so. Wenn Du zwar auf den Server connecten kannst aber die Antwort vom Firewall gesperrt wird, musst Du Deine Firewall richtig konfigurieren. Deine angedachte Lösung würde in einem Netzwerk mit NAT nicht mehr funktionieren, da Du dann jedem Client einen Port mappen müsstes auf dem NAT Server.
In der Parxis bedeute das, dass man die Firewall so konfiguriert, dass sie alle Eingehenden Packete auf hohen Ports (]1024), die Antworpackete auf einen Request sind, erlaubt.

Beim SuSE Linux Firewall heist diese Option z.B. FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes"

[borg73]

Hallo,

und gerade das will ich vermeiden, da die Firewall Lösung nicht von mir verwaltet wird. Es muß doch einen weg geben der Socketverbindung diese Information mitzugeben, denn ein Socket müßte doch so functionieren.

Marco

[Elias Zurschmiede]

Hallo

Ich denke den SourcePort zu definieren ist nicht so einfach möglich. Wenn Du sowas machen willst würde ich dem Server den gewünschten Port beim Connecten senden. Der Server kann dann eine neue Connection zum Client (auf diesen Port) öffenen.
Ein ähnliches Prinzip verwendet FTP (nicht PASV). Da baut der FTP-Server eine Connection (auf einen fix definierten Port) zum Client auf.

Da Du sowieso die Firewall Regeln anpassen musst bei Deiner Lösung könntest Du es wie bei FTP machen und den "Antwort-Port" fix definieren.

Wie gesagt wenn Du dein Programm so konzipierst, läuft es nicht auf Clients die über NAT in's Internet gehen (oder nur auf einem bestimmten Client =] Portmapping auf den entsprechenden Client).