07 NAT, Firewall, Proxy - ManfredSteiner/scripts-aiit2-networking GitHub Wiki
Network Address Translation (NAT)
NAT ist eine Technologie bei der die Absender-IP oder Ziel-IP in Datenpaketen bewusst verändert wird um:
- reguläre IP Adressen einzusparen
- ... oder den Absender zu verbergen
Weiterführende Informationen in Wikipedia:
Private IP-Adressen
Damit im internen Heim- und Firmenbereich TCP/IP Netze ohne offizielle IP-Adressen errichtet werden können, sind bestimmte Adressbereiche als private Adressen definiert. Diese werden im öffentlichen Netz (Internet) nicht verwendet. Pakete mit solchen Adressen werden im Internet nicht weitergeleitet.
-
IPv4:
Erste Adresse Letzte Adresse CIDR-Notation Anzahl 192.168.0.0192.168.255.255192.168.0.0/1665.536 172.16.0.0172.31.255.255172.16.0.0./121.048.576 10.0.0.010.255.255.25510.0.0.0./816.777.216 -
IPv6
Alle Adressen die mitfd00beginnen.
Weiterführende Informationen in Wikipedia:
SNAT (Source-NAT)
Bei SNAT wird im Datenpaket die IP Adresse des Absenders verändert. SNAT kommt zum Beispiel zum Einsatz wenn Rechner im Intranet (internes Netzwerk in einem Haus oder einem Unternehmen) eine private Adresse verwenden.
An der Schnittstelle zum Internet wird die private IP-Adresse durch die reale IP-Adresse ausgetauscht. Bei Linux ist dafür die im Kernel eingebaute Firewall zuständig. Diese kann mit dem Programm iptables (bzw. ip6tables für IPv6) entsprechend konfiguriert werden.
Die Firewall verwendet nach außen auch eine andere Portnummer. Dadurch kann sie zurückkommende Pakete wieder erkennen, und bei diesen die reguläre IP-Adresse durch die private Adresse ersetzen.
DNAT (Destination-NAT)
Bei DNAT wird im Datenpaket die IP-Adresse des Ziels verändert. DNAT kommt zur Anwendung wenn zum Beispiel Datenpakete auf einem Firewall-Rechner eintreffen und dann zB aufgrund der Portnummer an den richtigen Server-Host im Intranet weitergeleitet werden.
Firewall
Eine Firewall (Brandmauer) schützt Rechner vor unerwünschten Zugriffen aus dem Netzwerk bzw. verhindert, dass Programme mit bestimmten Diensten oder Programmen außerhalb des Netzwerks Daten austauschen.
Da Windows-Rechner besonders gefährdet sind, ist dort die Firewall standardmäßig aktiv, während auf einem Linux-Rechner mit eher geringer Gefährdung die Firewall standardmäßig alle Netzwerkverbindungen zulässt.
Die Firewall entscheidet aufgrund bestimmter Regeln, welche Datenpakete durchgelassen und welche blockiert werden. Das kann zum Beispiel aufgrund bestimmter IP-Adressen oder Portnummern erfolgen.
Soll beispielsweise der Betrieb eines Web-Server unterbunden werden, so können alle Pakete mit Portnummer 80 (HTTP) und 443 (HTTPS) blockiert werden.
Eine Firewall kann am eigenen Rechner (Desktop-Firewall, Personal Firewall) oder auf einem bestimmten Rechner (external Firewall) laufen.
Weiterführende Informationen in Wikipedia:
Proxy
Ein Proxy arbeitet als "Vermittler" beim Datenaustausch zwischen Rechnern.
In der HTL Kaindorf ist am Standort Kaindorf ein Proxy-Server proxy.htl-kaindorf.ac.at unter Port 3128 in Betrieb. In vielen Subnetzen ist kein direkter Zugang ins Internet möglich. Über den Proxy kann ein solcher Zugang realisiert werden, allerdings verlangt der Proxy vom Benutzer HTL-ID und Passwort. Dadurch ist kein anonymes Surfen mehr möglich.
Die Verwendung eines Proxy muss konfiguriert werden. Entweder im Betriebssystem selbst, oder im Browser. Bei Firefox findet man diese Möglichkeit unter Einstellungen->Allgemein->Netzwerk-Proxy.
Weiterführende Informationen in Wikipedia: