Router und Firewall > Iptables

[NicholasRush]

Hallo ich bin gerade im ersten Ausbildungsjahr zum Fachinformatiker Systemintegration leider als Schulische Ausbildung, weil ich sonst kein Fachabi bekommen würde.

Ich habe gesehen das es diese Seite gibt und habe mich mal hier angemeldet, denn ich habe eine dringende Frage die Überschrift lässt es möglicherweiße schon erahnen.

Mein Lehrer, (leider kein Informatiker sondern Elektrotechniker) den ich in Betriebsysteme und Netzwerke habe, hat letztens uns am SMART Board gezeigt wie ein Router funktioniert. Aufgrund der Einleitung in das Thema DHCP Server.

Sah in etwa so aus:

--------- ---------

LAN 1 ------> Eingang |Router| -|Firewall|-------------> Ausgang LAN 2

--------- ---------

Dazu sagte er das der Router das Paket Routet und das Netzwerk 2 (LAN2) dabei schützt.

Nur er sagte das das immer so ist. Ich sagte darauf das das nur bei Home Routern der fall ist wegen Masquarading und das Masquarding (NAT) auch für die "Firewall" funktion zuständig sei.

Ich bekam die Antwort zurück das das Falsch sei.

Ich habe das daraufhin zuhause mit meinem Linuxrechner nachgestellt und musste feststellen das ich doch recht hatte.

Die Frage ist jetzt hat er auf seine Art recht oder nicht?:confused:

Danke schonmal für alle Antworten

:)

Bearbeitet 8. Dezember 2011 von NicholasRush

[Gast Blub666]

Hi,

also in einem Unternehmen können da noch tausende von Sachen zwischengeschaltet sein... ^^

Vom Prinzip ist es korrekt, deine "Skizze" da... aber es ist nicht immer so.

Also würde ich sagen, dass du da eher Recht hast.

[NicholasRush]

Es ist ja Primär so wenn ich zB einen Cisco Router (auch IPTABLES) Konfiguriere, dann kann ich einzeln bestimmen welche® Port(s) wohin in welches Subnetz etc. geroutet werden/wird, da ist dann natürlich kein Masquarading Aktiv(kann es aber sein), aber dafür wird nur das Geroutet was eingestellt ist und kein anderer Dienst kann sich dann so einfach von einem Subnetz ins andere Verbinden. Es sei denn man stellt eine Physische verbindung her.

Bsp. wäre DMZ, LAN, und WAN,

Server im DMZ ssh und ftp zugriff aus LAN -> ROUTE

WAN zugriff auf PORT 80 auf Server im DMZ -> ROUTE MAsquarade dazwischen

LAN -> Nur zugriff auf Internet WAN und auf Server DMZ und natürlich eigenes Subnetz

Für alle Interfaces werden 3 verschiedene IP Adressbereiche Verwendet der Router Routet dann das eingestellte eben auf OSI Layer 3

Masquarading kann man sowiso bei den meisten Homeroutern nicht abschalten es sei denn man hat die möglichkeit OpenWRT auf auf den Router zu Installieren.

[Crash2001]

Also vom Prinzip her gibt es dann erst einmal 2 getrennte Netze, solange kein entsprechendes Routing eingerichtet wird, die sich nicht gegenseitig erreichen können und dessen Grenzen Broadcast, Multicasts und Unicasts nicht verlassen können. Sobald nun aber geroutet wird, können sowohl Unicasts, als auch Multicasts (falls konfiguriert) das Subnetz verlassen und ins andere Subnetz wandern.

Von welchem Netz man in ein anderes Netz kommt, kann man dann anhand von Access-Listen (quasi Firewallregeln) festlegen.

Schützen tut der Router ein Netz jedoch nicht direkt.

Du bist hinter deinem Router nur deshalb geschützt, da private IP-Adressbereiche (192.168.0.0/16 z.B.) nicht ins Internet geroutet werden (Logisch, da es ja Millionen davon im Heimgebrauch gibt). Hättest du auch privat eine öffentliche IP-Adresse, so könnte man deinen Rechner auch problemlos direkt erreichen aus dem Internet, falls entsprechend geroutet wird.

Beim PAT/NAT muss man einen entsprechenden weitergeleiteten Port kenne, damit man deinen Rechner erreichen kann, oder aber der Traffic muss von innen initialisiert sein. Von daher schützt das NAT hier entsprechend schon.

Sinn und Zweck eines NAT ist jedoch eigentlich nicht der Schutz, sondern meistens eher, dass mehrere PCs über eine öffentliche IP-Adresse ins Netz gehen können, was ohne NAT nicht möglich wäre. Und zwar aus dem oben schon genannten Grunde, dass private IP-Adressbereiche im Internet nicht geroutet werden und somit keine Rückroute existieren würde.

Ich hoffe das war soweit deutlich und ich habe mich zu der Uhrzeit da nicht irgendwo jetzt auf die Schnelle vertan.

[Eleu]

Guten Morgen,

bei meinem Laptop habe ich auch die Möglichkeit vom Router eine IPv6 - Adresse automatisch zu bekommen.

(Per DHCP)

Ich stell mir gerade die Frage, wie sich das dann mit dem NAT verhält.

Ich nehme mal an, dass die IPv6 Adresse die ich von meinem Router zugewiesen bekomme,

nicht die gleiche ist, wie die IP Adresse vom Provider auf der Public Seite.

Ich hatte gedacht, dass bei IPv6 gar kein NAT mehr verwendet wird.

Aber wie funktioniert es dann ?

Gibt es dann auf der Public Seite vom Router genauso viele IPv6 Adressen wie auf der Privat - Seite ? (1 zu 1 Beziehung)

Gruß

Eleu

[Crash2001]

@Elau:

Damit du per IPV6 erreicht werden kannst, musst du auch vom Provider eine IPV6-Adresse bekommen. Kriegt man noch nicht bei jedem.

Im IPV6 steht bisher nicht fest, ob es eine NAT-Implementierung geben wird afaik.

Bei reinem NAT müsste es 1:1 sein. Wenn PAT noch mit ins Spiel kommt, kann es auch 1:n oder m:n sein.