Hilfe bei zwei kleinen Aufgaben

[DaSilva]

Bei folgenden zwei Aufgaben weiß ich gar nicht wie ich vorgehen soll.

Deswegen würde ich mich freuen wenn mir das mal jemand erläutern könnte.

Danke.

c) Für IP Multicast-Adressen ist das Präfix 1110 (Klasse D) vorgesehen.

Geben Sie den IP Multicast-Adressbereich (Start- bis Endadresse) in Dezimal-Punkt-Schreibweise an. (2 Punkte)

d) Die Videokonfernzanwendung verwendet die IP Multicast-Adresse 224.2.106.233

Geben Sie die MAC Multicast-Adresse in Hexadezimal-Schreibweise an.

Vorschrift: Die niederwertigsten Bit der IP-Adresse werden auf die niederwertigsten 23 Bit der Ethernet Multicast-Adresse 01-00-5E-00-00-00 abgebildet. (2 Punkte)

[DaSilva]

Ach und dann noch die Frage warum man bei Firewalls oftmals nur eine Richtung angibt. Es gibt doch keine einseitigen Verbindungen, oder?

Ich meine angenommen ich möchte Daten von einem FTP laden dann gebe ich den Impuls (eingehend) und der Server schickt mir eine Antwort (ausgehend). So funktioniert das doch überall. Warum also nur eine Richtung angeben?

[Crash2001]

Zum zweiten Posting:

Verbindungen werden normalerweise geblockt, wenn sie initialisiert werden sollen. ZU dem Zeitpunkt wird an einem bestimmten Port "angeklopft".

Die Antwort zu blocken ist recht komplex, da die Ports auf denen geantwortet und die weitere Kommunikation läuft, meist dynamisch zwischen Client/Server ausgehandelt werden. Um das zu verfolgen, braucht es eine Firewall, die in die Pakete reinschaut und die dann die entsprechenden Ports sperren würde.

Einfacher ist es aber, die Vervbindung erst gar nicht initialisieren zu lassen. Dann braucht man auch keine Antwort blocken, da ja gar nicht erst eine kommt.

Wenn etwas in die andere Richtung verboten sein soll, dann wird das auch entsprechend auf der Firewall eingerichtet.

[DaSilva]

Und was soll dann sowas?

Gerät Dienst Port Richtung

Linux Firewall SMTP 25 eingehend/ausgehend

Linux Firewall FTP-Data 20 eingehend

Linux Firewall FTP 21 eingehend

Linux Firewall HTTP 80 ausgehend

ISA-Server SMTP 25 eingehend/ausgehend

ISA-Server HTTP 80 ausgehend

[EdwinMosesPray]

Hallo

I.d.R. sperrt eine Firewall erstmal alles, was von Aussen rein kommt und lässt alles von Innen nach Aussen durch.

Durch Regeln schlägst du Lücken in die Firewall, sodass auch Verbindungen von Aussen nach Innen möglich sind, z.B. wenn du einen Web- oder FTP-Server betreibst.

Verbindungen die von Innen nach Aussen gehen, werden durch das sog. 'connection-tracking' behandelt. Die Firewall 'merkt' sich die Verbindung und lässt Antwortpakete von Aussen nach Innen durch.

Wenn du nicht möchtest, dass Benutzer von Innen nach Aussen eine HTTP Verbindung (auf deutsch: surfen) aufbauen, sperrst du HTTP ausgehend.

Alternativ kannst du auch komplett alles Sperren und nur bestimmte Ports durchlassen. Das Regelwerk dafür bedeutet aber wesendlich mehr Aufwand.

Viele Grüße

Frank

[Crash2001]

@DaSilva:

Wenn etwas sowohl ein- als auch ausgehend erlaubt ist, wo ist da dann das Problem bei der Logik? Wäre Port 21 z.B. in beide Richtungen erlaubt, dann wäre ein interner FTP-Server von aussen erreichbar und man könnte auch auf externe FTP-Server zugreifen.

[DaSilva]

Also es ist klar was es bedeutet wenn keine Richtung oder beiden Richtungen zugelassen sind. Wenn aber nur eine Richtung zugelassen wird kann gar keine Verbindung aufgebaut werden.

Angenommen Server X blockt alle eingehenden Verbindungen, dann kann es auch keine Anfragen oder Statusreports geben, sodass auch keine ausgehende Verbindung aufgebaut wird. Andersrum ähnlich: Wenn Server Y nur eingehende Verbindungen zulässt empfängt er zwar die Anforderungen, antwortet aber nicht -> auch keine Verbindung.

Steh ich da auf dem Schlauch oder handelt es sich bei der Richtungsangabe nur um die richtigen Daten, nicht aber Headerinformationen etc.?

[Crash2001]

[...]Wenn aber nur eine Richtung zugelassen wird kann gar keine Verbindung aufgebaut werden.

Angenommen Server X blockt alle eingehenden Verbindungen, dann kann es auch keine Anfragen oder Statusreports geben, sodass auch keine ausgehende Verbindung aufgebaut wird. Andersrum ähnlich: Wenn Server Y nur eingehende Verbindungen zulässt empfängt er zwar die Anforderungen, antwortet aber nicht -> auch keine Verbindung.[...]

Wie schon oben erwähnt wurde, werden den Verbindungen sessions zugeordnet, so dass Verbindungen, deren Initialisierung erlaubt ist, auch den Rückkanal geöffnet bekommen. Bei der Antwort wird der Port mitgeteilt, auf dem Der PC erwartet, von dem anderen PC für die weitere Verbindung angesprochen zu werden und auch der Verkehr wird dann normalerweise durchgelassen. Daher können also sehr wohl Verbindungen aufgebaut werden.

[DaSilva]

Hmm, und die ersten beiden Aufgaben?

[SoL_Psycho]

c) Für IP Multicast-Adressen ist das Präfix 1110 (Klasse D) vorgesehen.

Geben Sie den IP Multicast-Adressbereich (Start- bis Endadresse) in Dezimal-Punkt-Schreibweise an. (2 Punkte)

Anfang: 11100000.00000000.00000000.00000000 ---> 224.0.0.0

Ende: 11101111.11111111.11111111.11111111 ---> 239.255.255.255

Das heißt, der Bereich geht von 224.0.0.0 bis 239.255.255.255

Sorry, muss los, keine Zeit für Erklärung, hoffe, ich hab da keinen Schnitzer drin

[DaSilva]

Ach das ist mit Präfix gemeint, danke.

Fehlt nur noch d)

[vestax]

ich glaube d ist diese lösung:

01-00-5E-02-6A-E9

oder?

[DaSilva]

Ja, Antwort ist korrekt aber der Weg dahin würde mich mal interessieren...

[vestax]

schau mal hier: http://forum.fachinformatiker.de/pruefungsaufgaben-loesungen/104824-ap-winter-05-06-aufgabe-1d.html

[DaSilva]

Danke