800+ IT
News
als RSS Feed abonnieren📚 Linux: So finden Sie Geräte im Netzwerk
💡 Newskategorie: Windows Tipps
🔗 Quelle: pcwelt.de
Auch in kleinen Heimnetzwerk laufen heutzutage zahlreiche Geräte: Router, PCs, Notebooks, TV-Geräte, Smartphones, Tablets und einiges mehr sind miteinander verbunden. Im Vordergrund steht dabei, allen Geräten den Internetzugang zu ermöglichen. Nebenbei können die Geräte auch miteinander kommunizieren oder sie stellen Dienste bereit, etwa für den Austausch von Dateien oder das Multimedia-Streaming.
Falls es Probleme im Netzwerk gibt, sind diese nicht einfach zu untersuchen. Nicht immer ist sofort ersichtlich, welche Geräte Dienste anbieten und wie diese zu erreichen sind. Es ist daher hilfreich herauszufinden, was im Netzwerk läuft und wie die Geräte konfiguriert sind.
Tutorial: Netzwerken mit Samba – so geht’s
IP-Adressen, Ports und Protokolle
Namen im Netzwerk: Mit ping4 lässt sich prüfen, ob ein Rechner über seinen Namen und auch über einen lokalen Domainnamen wie „.fritz.box“ oder „.local“ erreichbar ist.
IDG
Jedes Gerät im Netzwerk besitzt eine eindeutige IP-Adresse (siehe Artikel ab Seite 60). Rechner A fordert beispielsweise im lokalen Netz über den Browser eine Webseite von Rechner B an. Der Webserver schickt das Ergebnis an Rechner A beziehungsweise an die IP-Adresse, von der die Anfrage stammt. Bei Internetzugriffen läuft es ähnlich ab. Allerdings sorgt der IP-Filter in der Firewall des Internet/DSL-Routers dafür, dass die IP-Adresse von Rechner A nicht direkt erreichbar ist. Der Router ersetzt per NAT (Network Address Translation) die IP von Rechner A durch die öffentliche IP des Routers, die der Internetanbieter zuweist. Er merkt sich die Herkunft der Anfrage und liefert die Antwort des Webservers an Rechner A im lokalen Netzwerk aus.
Da man sich IP-Adressen eher schlecht merken kann, kommt im lokalen Netzwerk und Internet die Namensauflösung zum Einsatz. Jedes Gerät besitzt einen Namen, den es bei einer DHCP-Abfrage an den Router übermittelt. Es erhält per DHCP seine eigene IP-Adresse und der Router merkt sich den Namen des Gerätes. Statt der IP-Adresse kann man daher den Gerätenamen verwenden und – abhängig vom Modell des Routers – beispielsweise auch „MeinPC.local“ oder „MeinPC.fritz.box“ (Fritzbox). Im Internet erledigen DNS-Server die Namensauflösung. Die Server wissen, dass etwa zu google.de die IP-Adresse 216.58.212.163 gehört, und intern kommunizieren Router, Browser und Webserver über diese IP-Adresse. Im Terminal lässt sich mit
ping4 -c 5 [Gerätename oder Domain]herausfinden, ob die Namensauflösung funktioniert.
Der Vollständigkeit halber sei erwähnt, dass jedes Gerät in der Regel zwei IP-Adressen erhält – nach den Standards IPv4 und IPv6. IPv6 ist in lokalen Netzwerken jedoch kaum relevant, weshalb wir hier nicht weiter darauf eingehen.
Ports und Protokolle: Ein Gerät kann mit nur einer IP-Adresse mehrere unterschiedliche Serverdienste anbieten. Der jeweilige Server „lauscht“ an einem bestimmten Netzwerkport und nimmt auf diesem Anfragen entgegen. Eine Auswahl gängiger Ports finden Sie in der Tabelle „Wichtige Ports und Protokolle“. Unter Linux findet man die Portdefinitionen mit Kurznamen und teilweise auch mit näherer Beschreibung in der Datei „/etc/services“.
Die Ports bis einschließlich 1023 kann man unter Linux nur mit root-Rechten konfigurieren und man sollte sich an die Standards halten, um Fehlfunktionen zu vermeiden. Port 80 beispielsweise nutzen Webserver (HTTP), Port 22 SSH-Server. Die Ports von 1024 bis 49151 dürfen Benutzer in der Regel auch ohne besondere Rechte verwenden. 49152 bis 65535 sind als dynamische Ports zur freien Verwendung durch Anwendungen gedacht (Info zu den Standards).
Neben den Ports spielen zwei Protokolle bei der Datenübertragung eine wichtige Rolle: TCP (Transmission Control Protocol) und UDP (User Datagram Protocol). Diese Protokolle legen fest, wie gültige Datenpakete beim Transport strukturiert sein müssen. TCP verwenden beispielsweise Webserver, E-Mail-Programme und SSH-Server. UDP dient in der Regel zur Übertragung kleiner Datenpakete für DHCP, DNS oder ähnliche Dienste. Die Unterscheidung der beiden Protokolle kann für die Konfiguration von Portfreigaben beziehungsweise einer Firewall wichtig sein.
Siehe auch: IP-Adressen und Linux – so klappt der Netzwerk-Aufbau
IP-Adressen und Ports
IP-Bereich prüfen: Angry IP Scanner ermittelt, welche Geräte im Netzwerk aktiv und welche Ports geöffnet sind. Welche Ports das Tool prüfen soll, lässt sich einstellen.
IDG
Zuerst ermitteln Sie im Terminal mit
ip aden IP-Bereich, den Ihr Netzwerk verwendet (siehe Artikel ab Seite 52). Rufen Sie die Konfigurationsoberfläche des Routers im Browser auf – beispielsweise mit „http://192. 168.178.1“ oder „http://192.168.0.1“. Bei einer Fritzbox funktioniert auch der Hostname „http://fritz.box“. Router bieten in der Regel eine Funktion, über die sich die aktiven Verbindungen anzeigen lassen. Bei einer Fritzbox gehen Sie auf „Heimnetz –› Netzwerk“. Hier sehen Sie allerdings nur die Gerätenamen und IP-Adressen, nicht aber die offenen Ports.
Im Terminal lassen sich die geöffneten Ports mit nmap ermitteln. Wer eine grafische Oberfläche bevorzugt, verwendet Angry IP Scanner. Im Downloadbereich finden Sie unter „Linux“ DEB-Pakete für Ubuntu und Linux Mint. Im gestarteten Programm geben Sie den IP-Bereich an und gehen auf „Werkzeuge –› Einstellungen“. Auf der Registerkarte „Ports“ legen Sie fest, welche Ports das Tool untersuchen soll, beispielsweise „22,80,443,445,8000-8100“. Speichern Sie die Konfiguration per Klick auf „OK“, danach klicken Sie auf „Start“. Klicken Sie auf „Ping“ und dann auf „Sortiere nach Ping“. Die Tabelle zeigt jetzt die aktiven Geräte zuerst an.
Dienstankündigungen im Netzwerk untersuchen
Einige, aber nicht alle Dienste melden sich hier: Avahi Discover zeigt Server an, die ihr Angebot im Netzwerk bekannt geben. Die Information enthält Name, IP-Adresse und Port des Dienstes.
IDG
Nach einigen Diensten muss man im Netz nicht suchen, sie machen sich selbst bekannt. Linux nutzt dafür Avahi, das bei den meisten Distributionen standardmäßig installiert ist. Avahi ist kompatibel mit Bonjour (Mac-OS) und auch unter dem Namen Zeroconf bekannt. Über diese Technik senden Netzwerkdienste und auch viele Geräte wie Drucker, Multimedia-Abspieler, Router und Powerline-Adapter Informationen zur Konfiguration in das Netzwerk.
Standardmäßig nutzt Linux Avahi nur rudimentär. Der Ubuntu-Dateimanager beispielsweise zeigt unter „Andere Orte“ Samba-Freigaben anderer Linux-Rechner an. Heimnetzfreigaben (SMB und FTP) einer Fritzbox tauchen ebenfalls auf. Avahi wird außerdem bei der automatischen Erkennung und Konfiguration von Netzwerkdruckern genutzt.
Avahi kommt auch bei einigen Anwendungen zum Einsatz. In der Oberfläche des Mediencenters Kodi kann man beim Hinzufügen von Medienquellen auf die Option „Zeroconf-Browser“ gehen und dann den Server wählen. Dabei gibt es jedoch eine Einschränkung. Solcher Zugriff kann nur funktionieren, wenn der betreffende Server keine Anmeldung benötigt. Deshalb ist beispielsweise NFS (Network File System) besonders gut geeignet. Einen Artikel zur Konfiguration eines NFS-Servers finden Sie hier. Eine FTP-Freigabe etwa von einer Fritzbox gibt man alternativ über „Netzwerkfreigaben hinzufügen“ an. Dabei kann man Benutzernamen und Passwort eintragen.
Medienquellen in Kodi finden: Der „Zeroconf-Browser“ zeigt beispielsweise Samba-, NFS- und FTP-Freigaben an. Für die direkte Einbindung muss aber ein Zugang ohne Anmeldung möglich sein.
IDG
Avahi-Ankündigungen finden: Eine Übersicht der Server, die sich bei Avahi melden, liefert das nützliche Tool avahi-discover, das Sie über das gleichnamige Paket installieren. Die Baumansicht zeigt die angebotenen Diensttypen und Dienstnamen. Samba-Freigaben sind unter „Microsoft Windows Network“ zu finden und Drucker unter „UNIX Printer“.
Im Abschnitt „Web-Angebot“ sind die Geräte enthalten, die eine Weboberfläche anbieten. Ein Klick auf den Dienstnamen zeigt die Details. Hinter „Adresse“ stehen die IP-Nummer und der Port.
Diese Informationen sind hilfreich, etwa wenn Dienste nicht für den Standard-HTTP-Port 80 konfiguriert sind. Vollständig ist die Liste jedoch nicht. Eine Fritzbox beispielsweise gibt ihre Konfigurationsoberfläche nicht über Avahi bekannt.
Avahi für weitere Dienste nutzen
Avahi wird automatisch für Samba-Freigaben verwendet, wenn der Samba-Server installiert ist. Eine zusätzliche Konfiguration ist nicht erforderlich. Für die Netzwerkprotokolle NFS, Webdav oder SFTP kann man Konfigurationsdateien im Ordner „/etc/avahi/services“ ablegen. Eine Beispieldatei „sftp-ssh.service“ für SFTP/SSH finden Sie im Ordner „/usr/ share/doc/avahi-daemon/examples“ und eine Konfigurationsdatei für NFS können Sie über https://m6u.de/AVAS abrufen. Sobald Sie die Datei speichern, taucht auf anderen Linux-PCs im Dateimanager unter „Andere Orte“ (Ubuntu) oder „Netzwerk“ (Linux Mint) ein neuer Eintrag auf, beispielsweise „Rechnername“.
Die Sichtbarkeit von Samba-Freigaben
Gesprächigeres Windows: Der Windows-Explorer zeigt fast den gesamten Gerätepark im Netzwerk an. Über das Kontextmenü gelangt man – wenn vorhanden – zur Gerätewebseite.
IDG
Windows verwendet für die Suche nach Netzwerkressourcen WS-Discovery (Web Services Dynamic Discovery) statt Avahi. Der Windows-Explorer zeigt unter „Netzwerk“ Dateifreigaben, Drucker, Geräte mit Weboberflächen oder Multimedia-Geräte an. Samba-Freigaben fehlen, weil Linux WSDiscovery bisher standardmäßig nicht unterstützt. Durch manuelle Eingaben gelingt der Zugriff unter beiden Systemen trotzdem.
Komfortabler ist es jedoch, WS-Discovery in Linux nachzurüsten. Ab Ubuntu 22.04 oder Linux Mint 21 lässt sich der Dienst mit
sudo apt install wsddinstallieren. Nutzer älterer Systeme installieren wsdd manuell. Der Dienst wird automatisch gestartet und dann tauchen Linux-Freigaben sofort im Windows-Explorer auf.
Hinweis: Es gibt einen ähnlichen Dienst mit dem Namen wsdd2, der sich aber nur für das smb3-Server-Modul eignet, das seit Kernel 5.15 verfügbar ist. Mehr Infos dazu finden Sie hier.
Windows-Freigaben in Dolphin: Die neueste Version des KDE-Dateimanagers beherrscht WS-Discovery und kann daher Windows-Server und deren Freigaben anzeigen.
IDG
Windows-Freigaben unter Linux sehen: Es gibt erste Ansätze, zumindest die KDE-Oberfläche mit WS-Discovery bekannt zu machen. Die nötige Erweiterung für den KDE-Dateimanager Dolphin ist in Kubuntu 22.04 und 22.10 enthalten, funktioniert jedoch sehr unzuverlässig. Besser sieht es bei KDE Neon aus, das zwar auf Ubuntu 22.04 basiert, aber eine neuere KDE-Version mitbringt. In Dolphin klickt man auf „Freigegebene Ordner (SMB)“ und sieht alle Windows- und Linux-Rechner mit SMB-Freigaben. Beim Klick auf eine Windows-Freigabe verwendet der Dateimanager den Pfad „smb://[Server].kio-discovery-wsd/“ und die freigegebenen Ordner erscheinen. Es ist bisher nicht bekannt, wann diese Funktion in die Dateimanager von Gnome oder Cinnamon eingebaut wird.
Tipp: Damit Dolphin auch Netzwerkressourcen wie FTP-, SFTP- oder NFS-Server anzeigt, installieren Sie das Paket „kde-zeroconf“. Sie erreichen die Dienste dann im Dateimanager per Klick auf „Netzwerkdienste“.
Schutz durch die Firewall konfigurieren
Extremschutz: In der Firewall lässt sich für das lokale Netzwerk konfigurieren, dass beispielsweise nur einer einzigen IP-Adresse der Zugang zu einem SSHServer erlaubt ist.
IDG
Bei Ubuntu und Linux Mint ist die Firewallsoftware ufw standardmäßig installiert, allerdings nicht aktiv. Im privaten Netzwerk ist eine Firewall in der Tat überflüssig, weil der Internetrouter die Geräte im Netzwerk bereits vor Zugriffen aus dem Internet schützt. Ein Motiv, die Firewall trotzdem zu aktivieren, ist die potenzielle Gefährdung durch andere Rechner im Netzwerk – insbesondere, wenn diese unter Windows laufen.
Auf einem Notebook, das man auch in fremden Netzen verwendet, sollte man die Firewall daher aktivieren. Das gilt jedoch nur, wenn Serverdienste auf dem Rechner laufen. Andernfalls sind keine Ports geöffnet und ein Angriff ist unmöglich. Eine Firewall bietet jedoch keinen Schutz vor böswilligen Websites oder virenverseuchten Downloads. Davon sind Linux-Systeme aber weit weniger betroffen als Windows.
Firewall mit Profilen: Eine aktivierte Firewall birgt immer die Gefahr, dass der Zugriff auf Dienste ungewollt verhindert wird. Die ufw-Konfiguration ist jedoch recht übersichtlich und bei Problemen kann man die Firewall jederzeit wieder ausschalten. Für die komfortable Konfiguration installieren Sie das Tool gufw („Firewall-Konfiguration“) über das gleichnamige Paket. Es bietet die drei Profile „Büro“, „Öffentlich“ und „Zuhause“, zwischen denen Sie je nach Aufenthaltsort umschalten. Wenn Sie „Büro“ oder „Öffentlich“ wählen, wird die Firewall aktiviert, was an der Stellung des Schalters hinter „Status“ zu erkennen ist. Die Einstellung bleibt auch nach einem Neustart erhalten.
Bei aktivierter Firewall werden die Zugriffe auf alle Ports blockiert. Der Unterschied zwischen diesen beiden Profilen ist die Einstellung hinter „Eingehend“. „Ablehnen“ bei „Öffentlich“ verweigert den Zugriff ohne Rückmeldung an das aufrufende Programm. Es scheint dann so, als ob beispielsweise kein Webserver läuft, und die Verbindung wird sofort abgebrochen. „Verweigern“ hat eine ähnliche Wirkung, informiert den Client aber darüber, dass keine Verbindung möglich ist. In der Praxis führt das dazu, dass etwa ein Webbrowser länger benötigt, bis er Verbindungsversuche wegen Zeitüberschreitung abbricht.
Spezialkonfiguration für das Heimnetz: Im heimischen Netzwerk setzen Sie das Profil auf „Zuhause“. Die Firewall wird deaktiviert und Netzwerkgeräte können auf alle Serverdienste zugreifen. Wer eine erhöhte Sicherheit benötigt, kann die Firewall auch im Heimnetz aktivieren und beispielsweise den Zugriff auf den SSH-Server auf bestimmte IP-Adressen beschränken. Klicken Sie auf die „+“-Schaltfläche und gehen Sie auf „Erweitert“. Tragen Sie einen Namen ein, beispielsweise „SSH“. Hinter „Protokoll:“ wählen Sie „TCP“ und hinter „Von:“ geben Sie die IP-Adresse des berechtigten Rechners ein. Die Portnummer dahinter lassen Sie leer. In die Zeile „Nach:“ tragen Sie keine IP-Adresse, aber den Port „22“ ein und per Klick auf „Anwenden“ fügen Sie die Regel hinzu.
Entsprechend definieren Sie weitere Portregeln für diese oder andere IP-Adressen. Bitte beachten Sie, dass die Firewall erst einmal alle eingehenden Anfragen blockiert. Sie müssen daher für jeden Port eine Regel erstellen, den der PC im Netzwerk anbieten soll.