Zum Inhalt springen

Wie kann ich Destination NAT verstehen?


Empfohlene Beiträge

Geschrieben

Hallo,

zurzeit informiere ich mich über das Thema NAT.

Source-NAT meine ich verstanden zu haben. Destination NAT stelle ich mir so vor, als das die IP-Adresse des Absenders vom Router geändert wird.

Beispiel:

Mein PC baut eine Verbinding mit google auf. Google antwortet mit der IP 173.194.35.184. Bei Destination NAT wird jetzt allerdings die IP von Google vom Router geändert. Diese gibt mir dann an, dass ich die IP von 172.172.10.36 erhalten habe.

Stelle ich mir das richtig vor? und wenn nicht, wie wäre es richtig?

Gruß

Fasko

Geschrieben

Destination NAT ändert die Zieladresse, weil z.B. das Zielnetz nicht im vorhergehendem Netz geroutet wird. Ich weiß, etwas kompliziert zu verstehen hab das aber so schon konfiguriert.

Gruß

MarcoPolo

Geschrieben

Destination NAT ist z.B. bei einem Heimrouter, der über eine dynamische IP-Adresse erreichbar ist von aussen, jedoch intern ein anderes (privates) Netz verwendet.

Die interne IP-Adresse (bzw. bestimmte Ports davon, die in der Weiterleitung auf dem Router festgelegt werden) ist über die externe IP-Adresse erreichbar. Eigentlich ist das zwar eine Kombination aus PAT (Port Address Translation) und NAT (Network Address Translation), aber landläufig wird es NAT genannt.

Wenn man einen Host als "exposed Host", wie es bei den meisten Routern heisst anlegt, dann hat man ein richtiges NAT, da jeder Port dann auf die gleiche interne IP-Adresse weitergeleitet / umgeleitet wird.

Wenn du von deinem Heim-PC über einen DSL-Router im Internet surfst, dann hast du ein Source-NAT, da statt der internen Absenderadresse deine externe IP-Adresse angezeigt wird.

Wenn man von einem Heimrechner, der hinter einem DSL-Router hängt, zu dem Rechner eines Freundes, der auch hinter einem DSL-Router hängt, eine Verbindung aufbauen möchte, dann ist das sowohl Source, als auch Destination NAT, da auf beiden Seiten genattet wird.

Geschrieben

Wenn man von einem Heimrechner, der hinter einem DSL-Router hängt, zu dem Rechner eines Freundes, der auch hinter einem DSL-Router hängt, eine Verbindung aufbauen möchte, dann ist das sowohl Source, als auch Destination NAT, da auf beiden Seiten genattet wird.

Nehmen wir mal an, auf dem Rechner meines Freundes liegt eine HTML - Seite, die ich mir in meinem Browser auf meinem Heimrechner anzeigen lassen möchte.

Ich würde dann in der Adressleiste des Browsers die Ziel IP Adresse vom Rechner meines Freundes eingeben

und ich würde mir dann seine HTML - Seite ansehen können.

Rufe ich nun die Eingabeaufforderung an meinem Heimrechner auf und gebe arp - a ein wird mir die MAC Adresse des Routers, aber seine IP- Adresse angezeigt.

Die Router ändern die MAC, aber nicht die Ziel - IP-Adresse bei source NAT.

Wenn bei Destination NAT die "Ziel -IP" vom Router geändert wird, wird mir dann unter arp - a eine andere Adresse angezeigt, als die, die ich der Adressleiste des Browsers eingegeben habe?

Geschrieben

Wenn du auf den Rechner deines Freundes übers Internet gehst (ich denke mal, das soll hier gemeint sein, oder?), dann musst du nicht die IP-Adresse seines Rechners eingeben, sondern die IP-Adresse, mit der er im Internet zu sehen ist (externe IP-Adresse seines Routers), was eine genattete Adresse ist. Die Ziel-IP-Adresse deines Freundes ist ja nicht erreichbar, da sie mit sehr hoher Wahrscheinlichkeit eine IP-Adresse aus dem privaten Adressbereich 192.168.0.0/16 ist und diese somit nicht im Internet geroutet wird. Da hast du also schon mal Destination NAT.

Dir wird mittels arp -a die jeweils nächste MAC-Adresse (nächster Router, also vermutlich dein Heimrouter) auf dem Weg zum Ziel in Verbindung mit der externen IP-Adresse (NAT-Adresse) deines Freundes gezeigt.

Die Ziel-IP deines Freundes bleibt dir komplett unbekannt. Diese kennt nur der Router, der das NAT macht.

Genauso bleibt deine IP-Adresse deinem freund unbekannt, da dein Router ja auch NAT macht.

Das ist ja genau einer der Zwecke von NAT.

  • mehrere Adressen hinter einer zu verstecken (Zugriff über eine gemeinsame IP-Adresse aus diversen Gründen)
  • die echte Zieladresse "unsichtbar" zu machen
  • Netze miteinander zu koppeln, die gleiche IP-Adressbereiche nutzen, so dass sie dennoch erreicht werden können

Geschrieben

Danke, dass habe ich soweit verstanden und ich meinte auch über das Internet gehen.

Ich würde also in meinem Browser die dynamische IP-Adresse vom Router meines Freundes (Public - Seite) eingeben, damit ich seine HTML Seite auf meinem Rechner im browser sehen kann.

Wenn aber in seinem Heimnetz mehr als nur ein Rechner steht, woher weiß mein Browser, in dem ich ja nur diese eine Adresse eingebe, welcher Rechner in seinem Netz gemeint ist?

Geschrieben

Das ist dann der feine Unterschied zwischen reinem NAT und PAT/NAPT.

Bei reinem NAT (Network Address Translation) wird eine externe IP-Adresse komplett intern auf eine andere gemappt/genattet (also egal auf welchem Port, es wird immer an den selben Rechner weitergeleitet).

Bei PAT (Port Address Translation) bzw. NPAT (Network Address Port Translation) hingegen werden nicht alle Ports, sondern nur ein bestimmter Port der externen IP-Adresse auf einen bestimmten (kann der gleiche sein, muss aber nicht) Port einer bestimmten internen IP-Adresse geleitet. Geht natürlich auch für mehrere Ports und auf unterschiedliche Rechner, um z.B. HTTP und FTP hinter einem DSL-Router im privaten Adress-Bereich bereitstellen zu können. Bei Consumer-Routern meist unter dem Begriff "Portweiterleitung" zu finden.

Ein bestimmter Port von aussen kann nur auf einen bestimmten Rechner hinter dem NAT/PAT-Router weitergeleitet werden und nicht auf mehrere.

Gern genommen sind die Standard-Ports 80 (HTTP), 20 (FTP DATA), 21 (FTP CONTROL), 22 (SSH), 23 (TELNET), 25 (SMTP), 110 (POP3), 161 & 162 (SMTP), 220 (IMAP), 443 (HTTPS), 5500 (RDP).

Mehr Standardports siehe hier.

Ich persönlich lasse Dienste von aussen her nicht auf dem Standardport laufen, um portsniffing zu erschweren. Intern kanns dann ruhig auf den Standardport weitergeleitet werden.

Geschrieben

Ich persönlich lasse Dienste von aussen her nicht auf dem Standardport laufen, um portsniffing zu erschweren. Intern kanns dann ruhig auf den Standardport weitergeleitet werden.

Ich muss doch noch mal nachfragen.

Nehmen wir mal an, du hast in deinem Heimnetz 3 Web - Server stehen.

In deinem Router hast du nun beim Portforwarding die 3 IP-Adressen der Server mit jeweils einem freien Port angelegt.

Nun würde ich versuchen, mit meinem Browser über das Internet eine Web Seite, die auf einem deiner 3 Server liegt zu laden..

Dazu würde ich nun in der Adressleiste des Browsers die IP Adresse deines Routers (Public - Seite) und den Namen der web - Seite eingeben. Z.B.: "config.html"

Jetzt meine Frage:

Woher weiß nun dein Router, an welchen der 3 Server er nun das ankommende IP-Paket weiterleiten soll?

Der Router kann nicht wissen, dass die "config.html" auf z.B. Server Nr. 2 liegt.

Wird dann das IP - Paket an alle 3 Server versendet und nur Server Nr. 2 anwortet, weil nur Server Nr. 2 die "config.html" gespeichert hat?

Oder muss ich neben der IP-Adresse und dem Namen der HTML - Seite, auch noch die Port Nummer in der Adressleiste des Browsers mit eingeben?

Ich hoffe ich habe mich verständlich ausgedrückt.

Geschrieben

HTML geht standardmässig über Port 80, solange nicht explizit ein anderer Port angegeben wird. Wenn du also nur "http://externe-IP-Adresse/index.html" im Browser eintippst, dann ist entscheidend, wohin Port 80 weitergeleitet wird. HAst du einen anderen Port explizit noch angegeben mittel ":[portnummer]" hinter der URL, dann ist die entsprechende Weiterleitung für diesen Port entscheidend. Genauso wenn du FTP auf die externe IP-Adresse machst. Solange du nicht explizit einen Port angibst, geht er vom Stanardport (Port 21) aus und entscheidend wäre, wohin dieser Port weitergeleitet wird. Ist keine Weiterleitung eingerichtet auf dem Router, dann kann der FTP-Server auch nicht erreicht werden.

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...