8
NAT vs. Routerfirewall
Hallo zusammen,
mir ist klar was ein NAT macht und den weg von internen IPv4 Adressen, zu der öffentlichen IPv4 Adresse des Router leitet.
Dabei einen zufälligen Port vergibt und sich das merkt, so dass die Rückfrage zielgerichtet zum Anfrage PC läuft.
Bei NAT ist es ja so, dass zuvor alle Ports von außen nach innen nicht erreichbar sind, es sei denn es ist eine Portweiterleitung aktiviert.
Eine Routerfirewall macht doch genau das selbe oder?
Ist es bei IPv4 Geräten dann nicht doppelt gemobbelt?
Ist es so das bei einem IPv6 Router jedes Gerät eine eigene öffentliche IP zugewiesen bekommt, so das NAT wegfällt und hier eine Routerfirwall Sinn macht?
Funktioniert das Portweriterleiten dann genauso wie bei einem IPv4 Router?
Oder is es auch bei IPv6 Routern so, dass interne IPv4 IP Adresse vergeben werden, so dass weiterhin ein NAT verwendet wird?
So ganz blicke ich da noch nicht hinter, vllt. kann mir jemand das einmal verstädnlich Erläutern.
Ich würde mich freuen
Grüße Sebastian.
mir ist klar was ein NAT macht und den weg von internen IPv4 Adressen, zu der öffentlichen IPv4 Adresse des Router leitet.
Dabei einen zufälligen Port vergibt und sich das merkt, so dass die Rückfrage zielgerichtet zum Anfrage PC läuft.
Bei NAT ist es ja so, dass zuvor alle Ports von außen nach innen nicht erreichbar sind, es sei denn es ist eine Portweiterleitung aktiviert.
Eine Routerfirewall macht doch genau das selbe oder?
Ist es bei IPv4 Geräten dann nicht doppelt gemobbelt?
Ist es so das bei einem IPv6 Router jedes Gerät eine eigene öffentliche IP zugewiesen bekommt, so das NAT wegfällt und hier eine Routerfirwall Sinn macht?
Funktioniert das Portweriterleiten dann genauso wie bei einem IPv4 Router?
Oder is es auch bei IPv6 Routern so, dass interne IPv4 IP Adresse vergeben werden, so dass weiterhin ein NAT verwendet wird?
So ganz blicke ich da noch nicht hinter, vllt. kann mir jemand das einmal verstädnlich Erläutern.
Ich würde mich freuen
Grüße Sebastian.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 274439
Url: https://administrator.de/contentid/274439
Printed on: May 11, 2024 at 01:05 o'clock
8 Comments
Latest comment
Moin Sebastian,
LG, Thomas
vllt. kann mir jemand das einmal verstädnlich Erläutern
kein Thema, sobald Du Deine Frage in einem verständlichen und regelkonformen Deutsch stellst.LG, Thomas
Hallo Thomas,
dann versuche ich es noch einmal
Was ist der Unterschied zwischen dem NAT-System des Routers und einer integrierten Router-Firewall?
Beide unterbinden Anfragen von außen nach innen (in das private Netzwerk).
Ist in diesem Fall eine Router-Firewall von nöten oder reicht NAT aus um sich von außen abzusichern?
NAT wird nur bei IPv4 benutzt, da bei einem IPv6 Router jedes Endgerät eine öffentliche IP-Adresse erhällt, korrekt?
Gibt es IPv6 Router, welche auch bei einer öffentlichen IPv6 Adresse mit NAT arbeiten, so dass alle Geräte im Netzwerk eine private (an das Netzwerk gebundene IP-Adresse) Adresse erhalten und nur über die eine öffentliche IPv6 Adresse nach außen komunizieren?
Kurz und knapp:
- Braucht ein IPv4 Router mit NAT eine Router-Firewall?
- Hat ein IPv6 Router NAT?
- Bezieht bei einem IPv6 Router jedes Endgerät eine eigene öffentliche IP-Adresse?
- SInd IPv6 Router ohne NAT sicher?
- Kann ich bei IPV6 Routern, wo jedes Engerät eine eigene öffentliche IP bezieht Ports weiterleiten? (Wie auch bei IPv4 oder bezieht sich das nur auf NAT?)
- Ist das Endgerät bei einem IPv6 Router, quasi nur durch die Router-Firewall geschützt, welche verhindert das von außen nach innen Anfragen stattfinden?
Grüße Sebastian.
dann versuche ich es noch einmal
Was ist der Unterschied zwischen dem NAT-System des Routers und einer integrierten Router-Firewall?
Beide unterbinden Anfragen von außen nach innen (in das private Netzwerk).
Ist in diesem Fall eine Router-Firewall von nöten oder reicht NAT aus um sich von außen abzusichern?
NAT wird nur bei IPv4 benutzt, da bei einem IPv6 Router jedes Endgerät eine öffentliche IP-Adresse erhällt, korrekt?
Gibt es IPv6 Router, welche auch bei einer öffentlichen IPv6 Adresse mit NAT arbeiten, so dass alle Geräte im Netzwerk eine private (an das Netzwerk gebundene IP-Adresse) Adresse erhalten und nur über die eine öffentliche IPv6 Adresse nach außen komunizieren?
Kurz und knapp:
- Braucht ein IPv4 Router mit NAT eine Router-Firewall?
- Hat ein IPv6 Router NAT?
- Bezieht bei einem IPv6 Router jedes Endgerät eine eigene öffentliche IP-Adresse?
- SInd IPv6 Router ohne NAT sicher?
- Kann ich bei IPV6 Routern, wo jedes Engerät eine eigene öffentliche IP bezieht Ports weiterleiten? (Wie auch bei IPv4 oder bezieht sich das nur auf NAT?)
- Ist das Endgerät bei einem IPv6 Router, quasi nur durch die Router-Firewall geschützt, welche verhindert das von außen nach innen Anfragen stattfinden?
Grüße Sebastian.
Hallo,
zunächst ist der Begriff "Firewall" sehr dehnbar, er reicht von einfachen Paketfiltern über Proxys bis zu hochkomplexen Intrusion Detection/Prevention Systemen. Im Grunde ist damit jede Technik gemeint, dass irgendwie den Datenfluss zwischen Computern kontrollieren/einschränken kann.
Mit "Router-Firewall" meinst du vermutlich die einfachste Variante als Paketfilter. Auch diese können durchaus mächtig sein und bilden auch bei bei komplexeren Systemen die Frontlinie. Sie kontrollieren und geg. protokollieren den IP-Verkehr auf den Layern 3 und 4, sprich sie entscheiden anhand den IP und Protokollinformationen, was erlaubt ist und was nicht. Sie erkennen idR auch Zusammenhänge zwischen Anfrage und Antwort sowie Verbindungen bei komplexeren Protokollen wie FTP oder SIP.
NAT soll Kommunikation ermöglichen, die sonst wegen Routingproblemen gar nicht möglich wäre. Das kann entweder 1:1 geschehen, d.h. es ersetzt jeweils eine IP-Adresse durch eine andere oder 1:n wobei dann viele IP-Adressen durch eine einzige dargestellt werden. Letzteres ist das typische Verhalten von "NAT-Routern", bei denen ein privater Adressbereich auf eine einzelne öffentliche IP abgebildet wird.
1:n hat aber einige Probleme: es benötigt eine Zuordnungstabelle in der 5 Eckdaten für jede Verbindung gespeichert werden (Protokoll, Quell-IP, Quell-Port, Ziel-IP, Ziel-Port). z.B. IP 192.168.1.55 hat mit TCP vom ausgehenen Port 54321 die IP 1.2.3.4 auf Port 80 kontaktiert. Antwortet das Ziel werden die Daten nun anhand der Daten in der Tabelle an die Quelle zurückgeschickt. Aber: NAT kann nicht erkennen, ob der eingehende Verkehr tatsächlich "related" ist, also die gewünschte Antwort oder eine neue Verbindung ist. Problematisch z.B. bei UDP, da hier leicht die Absenderadresse gefälscht werden kann, bei komplexeren Protokollen die mehrere Verbindungen aufbauen oder Protokolle, die keine Portnummern haben, wie z.B. ESP (bei IPSec). Sollen eingehende Verbindungen erlaubt werden, müssen die Einträge in der Tabelle vordefiniert werden, das "Portforwarding".
Insgesamt muss man sagen, dass der sogenannte Schutz von NAT nur eine Nebenwirkung ist, keine Grundfunktion. Zudem kann es Störungen in der Kommunikation verursachen, was einen nötigen kann, anstatt einer direkten Peer-2-Peer-Kommunikation auf externe Vermittlungsdienste (z.B. SIP-Gateways) zurückzugreifen, was noch dritte involviert. Somit kann es in bestimmten Situationen sogar die Sicherheit verschlechtern. Zudem ist nicht klar definiert, was ein NAT-System mit Paketen anfängt, für die es kein Eintrag in der Tabelle gibt. Verwerfen ist zwar eine Möglichkeit, es kann aber auch passieren, dass sie einfach an irgendeinen Host weitergeleitet werden. Hängt von der Implementation ab, man darf sich nicht darauf verlassen.
Zu deinen Fragen:
- Braucht ein IPv4 Router mit NAT eine Router-Firewall?
zum Funktionieren nicht, aber besser wäre es.
- Hat ein IPv6 Router NAT?
Nein. Naja, es gibt tatsächlich NAT für IPv6, das ist aber ziemlich sinnfrei. Es erhöht nur die Komplexität und damit die Wahrscheinlichkeit, dass Konfigurations- oder Implementationsfehler gemacht werden.
- Bezieht bei einem IPv6 Router jedes Endgerät eine eigene öffentliche IP-Adresse?
ja und das ist gut so, denn es erlaubt Systemen ohne Einbeziehung von Drittsystemen eine direkte Kommunikation.
- SInd IPv6 Router ohne NAT sicher?
Sicher vor was? Vor unerwünschten eingehenden Verbindungen: dieser Schutz kommt durch Paketfilter. Um zu verhindern, dass z.B. Werbenetze deinen PC anhand der IP "verfolgen"? Dazu gibt es die Privacy Extensions, hierbei ändert das Endgerät regelmässig seine IP innerhalb des Subnetzes. Allerdings nutzen Trackingsysteme sowieso eher verlässlichere Techniken wie z.B. Browser-Fingerprinting anstatt der IP.
- Kann ich bei IPV6 Routern, wo jedes Engerät eine eigene öffentliche IP bezieht Ports weiterleiten? (Wie auch bei IPv4 oder bezieht sich das nur auf NAT?)
nein, Portforwarding ist eine Hilfskonstruktion um Probleme von NAT zu korrigieren. Stattdessen erlaubst oder verbietest du das im Paketfilter
- Ist das Endgerät bei einem IPv6 Router, quasi nur durch die Router-Firewall geschützt, welche verhindert das von außen nach innen Anfragen stattfinden?
Viele Endgeräte können auch einen lokalen Paketfilter nutzen, z.B. die Windows-Firewall oder iptables bei Linux.
Gruß,
Schorsch
zunächst ist der Begriff "Firewall" sehr dehnbar, er reicht von einfachen Paketfiltern über Proxys bis zu hochkomplexen Intrusion Detection/Prevention Systemen. Im Grunde ist damit jede Technik gemeint, dass irgendwie den Datenfluss zwischen Computern kontrollieren/einschränken kann.
Mit "Router-Firewall" meinst du vermutlich die einfachste Variante als Paketfilter. Auch diese können durchaus mächtig sein und bilden auch bei bei komplexeren Systemen die Frontlinie. Sie kontrollieren und geg. protokollieren den IP-Verkehr auf den Layern 3 und 4, sprich sie entscheiden anhand den IP und Protokollinformationen, was erlaubt ist und was nicht. Sie erkennen idR auch Zusammenhänge zwischen Anfrage und Antwort sowie Verbindungen bei komplexeren Protokollen wie FTP oder SIP.
NAT soll Kommunikation ermöglichen, die sonst wegen Routingproblemen gar nicht möglich wäre. Das kann entweder 1:1 geschehen, d.h. es ersetzt jeweils eine IP-Adresse durch eine andere oder 1:n wobei dann viele IP-Adressen durch eine einzige dargestellt werden. Letzteres ist das typische Verhalten von "NAT-Routern", bei denen ein privater Adressbereich auf eine einzelne öffentliche IP abgebildet wird.
1:n hat aber einige Probleme: es benötigt eine Zuordnungstabelle in der 5 Eckdaten für jede Verbindung gespeichert werden (Protokoll, Quell-IP, Quell-Port, Ziel-IP, Ziel-Port). z.B. IP 192.168.1.55 hat mit TCP vom ausgehenen Port 54321 die IP 1.2.3.4 auf Port 80 kontaktiert. Antwortet das Ziel werden die Daten nun anhand der Daten in der Tabelle an die Quelle zurückgeschickt. Aber: NAT kann nicht erkennen, ob der eingehende Verkehr tatsächlich "related" ist, also die gewünschte Antwort oder eine neue Verbindung ist. Problematisch z.B. bei UDP, da hier leicht die Absenderadresse gefälscht werden kann, bei komplexeren Protokollen die mehrere Verbindungen aufbauen oder Protokolle, die keine Portnummern haben, wie z.B. ESP (bei IPSec). Sollen eingehende Verbindungen erlaubt werden, müssen die Einträge in der Tabelle vordefiniert werden, das "Portforwarding".
Insgesamt muss man sagen, dass der sogenannte Schutz von NAT nur eine Nebenwirkung ist, keine Grundfunktion. Zudem kann es Störungen in der Kommunikation verursachen, was einen nötigen kann, anstatt einer direkten Peer-2-Peer-Kommunikation auf externe Vermittlungsdienste (z.B. SIP-Gateways) zurückzugreifen, was noch dritte involviert. Somit kann es in bestimmten Situationen sogar die Sicherheit verschlechtern. Zudem ist nicht klar definiert, was ein NAT-System mit Paketen anfängt, für die es kein Eintrag in der Tabelle gibt. Verwerfen ist zwar eine Möglichkeit, es kann aber auch passieren, dass sie einfach an irgendeinen Host weitergeleitet werden. Hängt von der Implementation ab, man darf sich nicht darauf verlassen.
Zu deinen Fragen:
- Braucht ein IPv4 Router mit NAT eine Router-Firewall?
zum Funktionieren nicht, aber besser wäre es.
- Hat ein IPv6 Router NAT?
Nein. Naja, es gibt tatsächlich NAT für IPv6, das ist aber ziemlich sinnfrei. Es erhöht nur die Komplexität und damit die Wahrscheinlichkeit, dass Konfigurations- oder Implementationsfehler gemacht werden.
- Bezieht bei einem IPv6 Router jedes Endgerät eine eigene öffentliche IP-Adresse?
ja und das ist gut so, denn es erlaubt Systemen ohne Einbeziehung von Drittsystemen eine direkte Kommunikation.
- SInd IPv6 Router ohne NAT sicher?
Sicher vor was? Vor unerwünschten eingehenden Verbindungen: dieser Schutz kommt durch Paketfilter. Um zu verhindern, dass z.B. Werbenetze deinen PC anhand der IP "verfolgen"? Dazu gibt es die Privacy Extensions, hierbei ändert das Endgerät regelmässig seine IP innerhalb des Subnetzes. Allerdings nutzen Trackingsysteme sowieso eher verlässlichere Techniken wie z.B. Browser-Fingerprinting anstatt der IP.
- Kann ich bei IPV6 Routern, wo jedes Engerät eine eigene öffentliche IP bezieht Ports weiterleiten? (Wie auch bei IPv4 oder bezieht sich das nur auf NAT?)
nein, Portforwarding ist eine Hilfskonstruktion um Probleme von NAT zu korrigieren. Stattdessen erlaubst oder verbietest du das im Paketfilter
- Ist das Endgerät bei einem IPv6 Router, quasi nur durch die Router-Firewall geschützt, welche verhindert das von außen nach innen Anfragen stattfinden?
Viele Endgeräte können auch einen lokalen Paketfilter nutzen, z.B. die Windows-Firewall oder iptables bei Linux.
Gruß,
Schorsch
1
wow vielen Dank für die Antwort!
So ausführlich und direkt und vertändlich wie du es beschreibst habe ich es im Netz nicht gefunden.
Vielen lieben Dank, ich werde mich in das Thema die Tage ein wenig einlesen, deine Antwort ist dafür der perfekte Grundstein!
Grüße Sebastian.
So ausführlich und direkt und vertändlich wie du es beschreibst habe ich es im Netz nicht gefunden.
Vielen lieben Dank, ich werde mich in das Thema die Tage ein wenig einlesen, deine Antwort ist dafür der perfekte Grundstein!
Grüße Sebastian.
Die NAT Funktion auf dem Router ist nicht stateful. Eine Firewall ist aber stateful (oder sollte es wenigstens sein !), das ist der kleine aber feine Unterschied !
Kollege Schorsch hat also Recht das erst die Kombination von beidem eben das Richtige ist und nicht das eine oder das andere.
Vielleicht sollte man noch korrigieren das der Ausdruck "die sonst wegen Routingproblemen gar nicht möglich wäre" etwas unglücklich ist.
NAT löst das gravierende IPv4 Adress Knappheits Problem. Das eben im Internet NICHT geroutete, private Netzwerke (sog. RFC 1918 IP Netze) übersetzt werden auf öffentliche IP Adressen.
Per se hat NAT mit Routing nicht wirklich was zu tun, denn es beschreibt einzig nur wie eine IP Adresse in eine andere übersetzt wird und mehr nicht !
Der Rest ist exzellent erklärt
Bald sprechen wir eh alle IPv6 und dann ist IPv4 NAT nur noch mehr Geschichte....
Kollege Schorsch hat also Recht das erst die Kombination von beidem eben das Richtige ist und nicht das eine oder das andere.
Vielleicht sollte man noch korrigieren das der Ausdruck "die sonst wegen Routingproblemen gar nicht möglich wäre" etwas unglücklich ist.
NAT löst das gravierende IPv4 Adress Knappheits Problem. Das eben im Internet NICHT geroutete, private Netzwerke (sog. RFC 1918 IP Netze) übersetzt werden auf öffentliche IP Adressen.
Per se hat NAT mit Routing nicht wirklich was zu tun, denn es beschreibt einzig nur wie eine IP Adresse in eine andere übersetzt wird und mehr nicht !
Der Rest ist exzellent erklärt
Bald sprechen wir eh alle IPv6 und dann ist IPv4 NAT nur noch mehr Geschichte....
@aqui: dein Wort in Gottes Ohren, ich hab mich grad noch mit IPv4 eingedeckt ...
Na ja, für die nächsten 2 Jahre wird das noch gehen...
my ::1 is my castle and 127.0.0.1 has been burned down....
