Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Bei folgenden zwei Aufgaben weiß ich gar nicht wie ich vorgehen soll.

Deswegen würde ich mich freuen wenn mir das mal jemand erläutern könnte.

Danke. :)

c) Für IP Multicast-Adressen ist das Präfix 1110 (Klasse D) vorgesehen.

Geben Sie den IP Multicast-Adressbereich (Start- bis Endadresse) in Dezimal-Punkt-Schreibweise an. (2 Punkte)

d) Die Videokonfernzanwendung verwendet die IP Multicast-Adresse 224.2.106.233

Geben Sie die MAC Multicast-Adresse in Hexadezimal-Schreibweise an.

Vorschrift: Die niederwertigsten Bit der IP-Adresse werden auf die niederwertigsten 23 Bit der Ethernet Multicast-Adresse 01-00-5E-00-00-00 abgebildet. (2 Punkte)

Geschrieben

Ach und dann noch die Frage warum man bei Firewalls oftmals nur eine Richtung angibt. Es gibt doch keine einseitigen Verbindungen, oder?

Ich meine angenommen ich möchte Daten von einem FTP laden dann gebe ich den Impuls (eingehend) und der Server schickt mir eine Antwort (ausgehend). So funktioniert das doch überall. Warum also nur eine Richtung angeben?

Geschrieben

Zum zweiten Posting:

Verbindungen werden normalerweise geblockt, wenn sie initialisiert werden sollen. ZU dem Zeitpunkt wird an einem bestimmten Port "angeklopft".

Die Antwort zu blocken ist recht komplex, da die Ports auf denen geantwortet und die weitere Kommunikation läuft, meist dynamisch zwischen Client/Server ausgehandelt werden. Um das zu verfolgen, braucht es eine Firewall, die in die Pakete reinschaut und die dann die entsprechenden Ports sperren würde.

Einfacher ist es aber, die Vervbindung erst gar nicht initialisieren zu lassen. Dann braucht man auch keine Antwort blocken, da ja gar nicht erst eine kommt.

Wenn etwas in die andere Richtung verboten sein soll, dann wird das auch entsprechend auf der Firewall eingerichtet.

Geschrieben

Und was soll dann sowas?

Gerät Dienst Port Richtung

Linux Firewall SMTP 25 eingehend/ausgehend

Linux Firewall FTP-Data 20 eingehend

Linux Firewall FTP 21 eingehend

Linux Firewall HTTP 80 ausgehend

ISA-Server SMTP 25 eingehend/ausgehend

ISA-Server HTTP 80 ausgehend

Geschrieben

Hallo

I.d.R. sperrt eine Firewall erstmal alles, was von Aussen rein kommt und lässt alles von Innen nach Aussen durch.

Durch Regeln schlägst du Lücken in die Firewall, sodass auch Verbindungen von Aussen nach Innen möglich sind, z.B. wenn du einen Web- oder FTP-Server betreibst.

Verbindungen die von Innen nach Aussen gehen, werden durch das sog. 'connection-tracking' behandelt. Die Firewall 'merkt' sich die Verbindung und lässt Antwortpakete von Aussen nach Innen durch.

Wenn du nicht möchtest, dass Benutzer von Innen nach Aussen eine HTTP Verbindung (auf deutsch: surfen) aufbauen, sperrst du HTTP ausgehend.

Alternativ kannst du auch komplett alles Sperren und nur bestimmte Ports durchlassen. Das Regelwerk dafür bedeutet aber wesendlich mehr Aufwand.

Viele Grüße

Frank

Geschrieben

@DaSilva:

Wenn etwas sowohl ein- als auch ausgehend erlaubt ist, wo ist da dann das Problem bei der Logik? Wäre Port 21 z.B. in beide Richtungen erlaubt, dann wäre ein interner FTP-Server von aussen erreichbar und man könnte auch auf externe FTP-Server zugreifen.

Geschrieben

Also es ist klar was es bedeutet wenn keine Richtung oder beiden Richtungen zugelassen sind. Wenn aber nur eine Richtung zugelassen wird kann gar keine Verbindung aufgebaut werden.

Angenommen Server X blockt alle eingehenden Verbindungen, dann kann es auch keine Anfragen oder Statusreports geben, sodass auch keine ausgehende Verbindung aufgebaut wird. Andersrum ähnlich: Wenn Server Y nur eingehende Verbindungen zulässt empfängt er zwar die Anforderungen, antwortet aber nicht -> auch keine Verbindung.

Steh ich da auf dem Schlauch oder handelt es sich bei der Richtungsangabe nur um die richtigen Daten, nicht aber Headerinformationen etc.?

Geschrieben
[...]Wenn aber nur eine Richtung zugelassen wird kann gar keine Verbindung aufgebaut werden.

Angenommen Server X blockt alle eingehenden Verbindungen, dann kann es auch keine Anfragen oder Statusreports geben, sodass auch keine ausgehende Verbindung aufgebaut wird. Andersrum ähnlich: Wenn Server Y nur eingehende Verbindungen zulässt empfängt er zwar die Anforderungen, antwortet aber nicht -> auch keine Verbindung.[...]

Wie schon oben erwähnt wurde, werden den Verbindungen sessions zugeordnet, so dass Verbindungen, deren Initialisierung erlaubt ist, auch den Rückkanal geöffnet bekommen. Bei der Antwort wird der Port mitgeteilt, auf dem Der PC erwartet, von dem anderen PC für die weitere Verbindung angesprochen zu werden und auch der Verkehr wird dann normalerweise durchgelassen. Daher können also sehr wohl Verbindungen aufgebaut werden.
Geschrieben

c) Für IP Multicast-Adressen ist das Präfix 1110 (Klasse D) vorgesehen.

Geben Sie den IP Multicast-Adressbereich (Start- bis Endadresse) in Dezimal-Punkt-Schreibweise an. (2 Punkte)

Anfang: 11100000.00000000.00000000.00000000 ---> 224.0.0.0

Ende: 11101111.11111111.11111111.11111111 ---> 239.255.255.255

Das heißt, der Bereich geht von 224.0.0.0 bis 239.255.255.255

Sorry, muss los, keine Zeit für Erklärung, hoffe, ich hab da keinen Schnitzer drin :D

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...