Funktionsweise Firewall

spirit

Erfahrenes Mitglied
#1
Hallöchen

Ich habe da mal eine Frage zu der grundsätzichen Arbeitsweise einer Firewall.
Mir ist bekannt wie verschieden Firewalltypen arbeiten (Paketfilter, stateful inspektion, Applikation). Meine Frage ist vieeeeel grundsätzlicher :rolleyes:

Szenario:

Standardfirewall alle eingehenden Ports zu --> Alle Anfragen von aussen werden geblockt
Anfrage von innen an z.B. Google.de --> Anfrage wird durch Firewall an Ziel weitergeleitet
Antwort von Google wird durch die Firewall zum Client durchgelassen.

Meine Frage: Woher weiss die Firewall das das Paket eine Antwort auf eine von innen gestellte Anfrage ist? Hat das was mit Nat zu tun?
 
#2
Das ist genau die "stateful inspection", von der du ja, wie du schreibst, weißt, wie sie funktioniert. Das Ganze ist unabhängig davon, ob NAT im Spiel ist oder nicht.
 

spirit

Erfahrenes Mitglied
#3
Ich weiss was ich schreibe, du liesst es aber nicht. Es geht nicht darum das ich Zugänge über interface Adressen (SIF) erlaube oder verbiete.

Es geht darum das es einen Firewallmechanismus geben muss der irgendwie feststellt das das eingehende Paket eine Antwort auf eine von innen gesendetete Anfrage ist.

Das hat mit SIF oder AF nix zu tun.
 
K

kalle123456

#4
gefunden hier

1. Der Computer1 verschickt ein Paket an den Server( 8.23.4.2 ).
2. Der Computer1 schickt das Paket an die MAC-Adresse des Standard-Gateways( Router ), weil sich die Ziel Adresse nicht im eigenen Netz befindet.
3. Der Router übersetzt die Source-Address( in Layer 3 ) mit seiner NAT-Tabelle von 192.168.1.2 ( inside ) auf 200.2.2.2( outside ) und schickt es weiter.

Wenn der Server ein Paket zurückschickt, übersetzt der
Router diesmal die Destination-Address mit seiner NAT-Tabelle von
200.2.2.2 auf 192.168.1.2( der Computer1 ist also im Internet unter
der IP-Adresse 200.2.2.2 erreichbar ).
Dynamisches NAT

( Network Address Translation )
Beim Dynamischen NAT verfügt der Router über einen Pool
von öffentlichen IP-Adressen und weist jeweils eine einer
privaten Adresse zu( n:m ). Der Ablauf des Routings ist gleich wie der beim Statischen NAT.
PAT, NPAT oder Masquerading

( Port Adress Translation, Network Address Port Translation )
Bei PAT bekommen Computer aus dem internen( inside ) Netz für jede
Verbindung die sie aufbauen ein Port, das auf ihre interne IP und
Port übersetzt wird. So können mehrere Computer über eine IP-Adresse ins
Internet. Der Router kann entweder alle Verbindungen über eine
IP-Adresse aufbauen( n:1 ) oder er verfügt über einen Pool
von Adressen und teilt die Verbindungen auf die Adressen auf( n:m ).
Ablauf:
Wenn ein Computer aus dem internen Netz ein Paket an einen Webserver schickt.
Schickt er das Paket an die Destination Address an Port( 80 ) des Servers und gibt seine Source Address und das Port das er für diese Verbindung geöffnet hat.
Der Router speichert die Source Adresse und den Port des Pakets.
Öffnet für diese Verbindung ein Port auf einer öffentlichen ( outside )IP Adresse.
Wenn der Router über einen Pool von öffentlichen IP Adressen verfügt wählt der Router zufällig eine dieser IP Adressen für die verbindung.
Pakete die an dem für diese Verbindung geöffneten Port am Router ankommen werden an die Source Address und den Port des internen Computer weitergeleitet.
 
Zuletzt bearbeitet von einem Moderator:
#5
Ich weiss was ich schreibe, du liesst es aber nicht. Es geht nicht darum das ich Zugänge über interface Adressen (SIF) erlaube oder verbiete.

Es geht darum das es einen Firewallmechanismus geben muss der irgendwie feststellt das das eingehende Paket eine Antwort auf eine von innen gesendetete Anfrage ist.

Das hat mit SIF oder AF nix zu tun.
SIF? AF?
In deinem OP war von Interfaces keine Rede, in meiner Antwort auch nicht.
Das Erkennen, ob ein Paket eine Antwort eines Servers auf eine Frage ist, die ein Client hinter der Firewall geschickt hatte, oder obs das erste Paket einer Verbindung ist, die von außen her aufgebaut werden soll, wird mit Hilfe einer stateful firewall erledigt. Das war doch deine Frage?
Und ob die Firewall auch NAT macht oder nicht, spielt keine Rolle - das wäre allenfalls ein zusätzlicher Bearbeitungsschritt, der (häufig) auf der Firewall mit erledigt wird.