| Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung Nächste Überarbeitung | Vorherige Überarbeitung |
| faecher:informatik:oberstufe:netzwerke:nat:start [20.10.2020 07:27] – [NAT und PAT] sbel | faecher:informatik:oberstufe:netzwerke:nat:start [15.12.2021 21:19] (aktuell) – [Port Forwarding] sbel |
|---|
| |
| |
| ^Netzadressbereich ^CIDR-Notation ^Verkürzte CIDR-Notation ^Anzahl Adressen ^Anzahl Netze gemäß ^Netzklasse (historisch) | ^Netzadressbereich ^CIDR-Notation ^ |
| |10.0.0.0 bis 10.255.255.255 |10.0.0.0/8 |10/8 |224 = 16.777.216 |Klasse A: 1 privates Netz mit 16.777.216 |Adressen; | |10.0.0.0 bis 10.255.255.255 |10.0.0.0/8 | |
| |10.0.0.0/8 |172.16.0.0 bis 172.31.255.255 |172.16.0.0/12 |172.16/12 |220 = 1.048.576 |Klasse B: 16 private Netze mit jeweils 65.536 Adressen;172.16.0.0/16 bis 172.31.0.0/16 | | |172.16.0.0 bis 172.31.255.255 |172.16.0.0/12 | |
| |192.168.0.0 bis 192.168.255.255 |192.168.0.0/16 |192.168/16 |216 = 65.536 |Klasse C: 256 private Netze mit jeweils 256 Adressen; 192.168.0.0/24 bis 192.168.255.0/24 | | |192.168.0.0 bis 192.168.255.255 |192.168.0.0/16 | |
| |
| Im allgemeinen Sprachgebrauch wird der Begriff NAT jedoch nicht immer trennscharf verwendet. | Im allgemeinen Sprachgebrauch wird der Begriff NAT jedoch nicht immer trennscharf verwendet. |
| |
| Wenn man in IPv4-basierten Heim- und Firmennetzen von NAT spricht, ist damit meistens PAT gemeint, da für gewöhnlich für das gesamte private Netzwerksegment nur eine öffentliche "echt" IPv4 Adresse zur Verfügung steht. | Wenn man in IPv4-basierten Heim- und Firmennetzen von NAT spricht, ist damit meistens PAT gemeint, da für gewöhnlich für das gesamte private Netzwerksegment nur eine öffentliche "echt" IPv4 Adresse zur Verfügung steht. |
| | |
| |
| ===== Wie funktioniert PAT? ===== | ===== Wie funktioniert PAT? ===== |
| |
| | Im Regelfall findet also eine Netzwerkadressübersetzung in Form von PAT statt, um mehrere lokale Geräte über eine gemeinsame IP-Adresse mit dem Internet zu verbinden - umgangssprachlich wird aber oft dennoch einfach von NAT gesprochen. |
| | |
| | Da private IPs nicht routbar sind (im Internet somit keine Bedeutung haben), müssen Datenpakete, die ein Rechner (Client) im LAN an einen Server im Internet versendet, vom Router mit einer öffentlichen IP versehen werden. Dazu tauscht dieser die im Header des Datenpakets hinterlegte private IP-Adresse des Clients gegen seine eigene öffentliche IP-Adresse aus. |
| | |
| | Außerdem wird die intern verwendete Portnummer des Clients durch einen freien Port des Routers ersetzt. Dieser tritt gegenüber Servern im Internet also als Absender aller Datenpakete auf, die aus dem lokalen Netzwerk versendet werden, die Kommunikationspartner senden ihre Antwort also an die Kombination aus "Ip-Adresse des Routers + NAT Portnummer" zurück. |
| | |
| | {{ :faecher:informatik:oberstufe:netzwerke:nat:natpat.png |}} |
| | |
| | |
| | |
| | Die Verbindungsinformationen wie IP-Adressen, Ports und Timeouts werden in der NAT-Tabelle auf dem Router gespeichert. Beantwortet das Zielsystem die Anfrage des lokalen Computers mit einem Datenpaket, kommt das an den entsprechenden Port des Routers zurück. |
| |
| Funktionsweise der Port-and-Address-Translation (PAT) | Der Router kann das eingehende Datenpaket dem richtigen (internen) Netzwerkgerät zuzuteilen, das die Anfrage gestartet hat, indem er in der NAT Tabelle nachsieht, für welche Verbindung der Port zugewiesen wurde. |
| |
| Im Regelfall kommt die Netzwerkadressübersetzung in Form von PAT zum Einsatz, um mehrere lokale Geräte über eine gemeinsame IP-Adresse mit dem Internet zu verbinden. | ===== Port Forwarding ===== |
| |
| Da private IPs nicht routbar sind (im Internet somit keine Bedeutung haben), müssen Datenpakete, die ein Rechner (Client) im LAN an einen Server im Internet versendet, vom Router mit einer öffentlichen IP versehen werden. Dazu tauscht dieser die im Header des Datenpakets hinterlegte private IP-Adresse des Clients gegen seine eigene öffentliche IP-Adresse aus. Zudem wird die intern verwendete Portnummer durch einen freien Port des Routers ersetzt. Dieser tritt gegenüber Servern im Internet somit als Absender aller Datenpakete auf, die aus dem lokalen Netzwerk versendet werden. | Das Prinzip kann auch dazu verwendet werden, um Dienste, die hinter einem Router auf einem Netzwerkgerät mit privater Adresse angeboten werden sollen, im Internet verfügbar zu machen. Dabei wird auf den Router ein statischer Eintrag angelegt, dass alle Verbindungen, die auf der "echten" IP-Adresse des Routers auf einem bestimmten Port eingehen, an ein internes Ziel weitergeleitet werden sollen, das durch ein ''IP:PORT''-Paar festgelegt ist. |
| |
| Sämtliche Verbindungsinformationen (IP-Adressen, Ports und Timeouts) werden in der sogenannten NAT-Tabelle gespeichert (streng genommen müsste man auch hier von einer PAT-Tabelle sprechen). Beantwortet der adressierte Server die Anfrage des lokalen Computers mit einem Datenpaket, wird dieses zunächst an den entsprechenden Port des Routers zurückgesendet. Dieser hat nun die Aufgabe, das eingehende Datenpaket dem jeweiligen Netzwerkgerät zuzuteilen, das die Anfrage gestartet hat. Alles was der Router dazu benötigt, sind die in der NAT-Tabelle hinterlegten Verbindungsinformationen. Verdeutlichen lässt sich dies an einem Beispiel: | Im folgenden Beispiel kann man den SSH Dienst (Standardport 22) des Rechners mit der internen IP-Adresse aus dem Internet erreichen, indem man sich zur echten IPv4 des Routers auf den Port 1234 verbindet. |
| |
| Wir nehmen an, ein Router hat von einem Internetserviceprovider (ISP) die öffentliche IP-Adresse 217.229.111.18 zugewiesen bekommen und fungiert als Standardgateway für ein lokales Netzwerk. Dieses stellt für Netzwerkgeräte den privaten IP-Adressbereich 192.168.0.0/24 zur Verfügung (alle Adressen von 192.168.0.0 bis 192.168.0.24). Will nun eines dieser Geräte (z. B. ein Rechner mit der privaten IP-Adresse 192.168.0.2) eine Verbindung ins Internet herstellen (z. B. zu einem Webserver mit der öffentlichen IP 71.123.239.82 an dessen Portnummer 80), reserviert dieses einen internen Port (z.B. 22433) und übermittelt die Aufforderung zum Verbindungsaufbau an den als Standardgateway eingetragenen Router. Dieser ist intern über die private IP 192.168.0.1 adressierbar und kommuniziert nach außen hin mit der öffentlichen IP 217.229.111.18. | {{ :faecher:informatik:oberstufe:netzwerke:nat:portfw.png |}} |
| |
| Der Router bekommt somit folgende Informationen: Gerät 192.168.0.2 will an Port 22433 eine Verbindung zu 71.123.239.82 an Port 80 aufbauen. Um diesem Wunsch nachzukommen, muss der Router die Quelladresse des LAN-Geräts (IP-Adresse und Portnummer) durch die eigene Absenderadresse ersetzen. Er reserviert daher einen beliebigen freien Port (z. B. 61001) und leitet die Netzwerkadressübersetzung ein: Aus 192.168.0.2:22433 wird 217.229.111.18: 61001. Alle relevanten Informationen werden in der NAT-Tabelle auf dem Router hinterlegt. | === Dateien === |
| Private IP des Clients Port des Clients Öffentliche IP des Routers Öffentlicher Port des Routers | |
| 192.168.0.2 22433 217.229.111.18 61001 | |
| |
| Beim Webserver eingegangen, wird die Anfrage verarbeitet und, wenn möglich, mit dem angeforderten Datenpaket (z. B. den Daten einer Website) beantwortet. Diese Antwort erreicht zunächst den Router und wird von diesem mithilfe der gespeicherten Verbindungsinformationen weitergeleitet: Laut NAT-Tabelle ist der externe Port 61001 für Antwortpakete reserviert, die an den Port 22433 des Netzwerkgeräts 192.168.0.2 zu senden sind. | |
| |
| Neben IP-Adressen und Portnummern notieren Router in der NAT-Tabelle für jede Verbindung eine Zeitmarkierung. Diese dient als Timeout und gibt an, wann der betreffende Eintrag gelöscht werden kann. So lässt sich sicherstellen, dass Ports bei Inaktivität nicht dauerhaft geöffnet bleiben und möglicherweise zum Einfalltor für Angriffe aus dem Internet werden. | {{simplefilelist>.:*}} |