Hi,

da mu� ich doch glatt auch meinen Senf dazu geben.

NAT (Network Address Translation, RFC1631, statisch, n:n)

Auf einem mit NAT konfiguriertem Router wird f�r das Interface 
welches den Traffic in das offizielle Netz (meistens, aber nicht 
ausschlie�lich, das Internet) ein Pool offizieller IP-Adressen 
konfiguriert. (im Falle einer Verbindung zum Internet vom ISP be-
reitgestellt) Weiterhin wird auf dem Router eine Tabelle mit
Adresspaaren intern/extern hinterlegt. In Paketen die auf ihrem Weg 
zum �ffentlichen Netz diesen Router passieren wird anhand der 
Tabelle die interne Source-Adresse gegen die externe Adresse ge-
tauscht. Bei Paketen vom �ffentlichem Netz wird auf ihrem Weg 
�ber den Router die Target-Adresse gegen die korespondierende
interne Adresse getauscht.

Vorteile
- Es wird nur die Menge offizieller IP-Adressen ben�tigt die f�r
  die intenen Resourcen, welche mit dem �ffentlichen Netz in Ver-
  bindung treten m��en, notwendig sind.
- Nur die in der Konfiguration ber�cksichtigten internen Hosts
  sind von aussen angreifbar.

Nachteil
- Nur die in der Konfiguration hinterlegten Hosts k�nnen mit dem 
  offiziellen Netz kommunizieren. Der Rest schaut in die R�hre.



NAT (dynamisch, n:1, masquerading?)

Auf einem mit dynamischen NAT konfiguriertem Router wird f�r das 
Interface welches den Traffic in das offizielle Netz (auch hier 
meistens, aber nicht ausschlie�lich, das Internet) EINE offizielle 
IP-Adressen konfiguriert. (z.B. dynamisch beim Aufbau einer Ver-
bindung zum Internet vom ISP) Bei Traffic vom internen ins externe 
Netz wird die Source-Adresse und der verwendete Port in einer 
Tabelle gespeichert. Anschlie�en wird im IP-Header der Pakete 
die Source-Adresse gegen die offiziele IP-Adresse des Intefaces
und der Source-Port gegen einen eigenen freien Port getauscht, 
wobei der nunmehr verwendete Port in der besagten Tabelle mit der 
Source-Adresse und dem Source-Port gespeichert wird.

Beispiel:

Host sendet ein Paket an Web-Server
  Source: 192.168.100.10:2048  (IP-Adresse:Port)
  Target: 205.154.10.20:80

Router empf�ngt Paket, �ndert Source-Adresse und Port, merkt sich 
eigentliche Source-Adresse, Source-Port und eigenen Port 
  (192.168.100.10:2048:4095)
und sendet Paket weiter
  Source: 158.59.172.75:4095
  Target: 205.154.10.20:80


Antworten des entfernten System werden von diesem an die offizielle
Adresse des Routers und an den von ihm verwendeten Port gesendet.
Der Router ordnet wenn m�glich anhand seiner Tabelle und dem Target-
Ports des Paketes ein Host im internen Netz zu, ersetzt die Target-
Adresse und den Target-Port gegen die gemerkten Werte aus seiner 
Tabelle un sendet das Paket weiter.

Beispiel:

Server sendet Paket an Router
  Source: 205.154.10.20:1520  (IP-Adresse:Port)
  Target: 158.59.172.75:4095

Router empf�ngt Paket, �ndert Target-Adresse und Port anhand des Ein-
trages in seiner Tabelle
  (192.168.100.10:2048:4095)
und sendet Paket weiter.
  Source: 205.154.10.20:1520  (IP-Adresse:Port)
  Target: 192.168.100.10:2048


Vorteile
- Alle Hosts k�nnen bei entsprechender Konfiguration mit dem externen
  Netz kommunizieren.
- Interne Netzstrukturen sind von aussen nicht nachzuvollziehen

Nachteil
- Interne Resourcen (z.B. Web oder FTP-Server) sind von extern 
  nicht zu erreichen.


PAT (Port Address Translation)

Um interne Resourcen auch bei dynamischem NAT erreichbar zu machen 
wird PAT eingesetzt. Hierbei wird in der NAT-Tabelle die IP-Adresse 
des internen Host (bei Pat mit Portmapping auch der gew�nschte 
Port) und der entsprechende Port des externen Interfaces statisch 
eingetragen. Somit werden eingehende Pakete auf einen Port des 
externen Interfaces (z.B. Port 80 ) auf eine feste IP-Adresse im 
internen Netz (z.B. Webserver) geroutet.




Ich hoffe hiermit zur allgemeinen Verunsicherung beigetragen zu haben.

Und nat�rlich auch von mir nen Gru� an Natalie.

Gru�

Klaus
---------------------------------------------------------------------------
PUG - Penguin User Group Wiesbaden - http://www.pug.org

Antwort per Email an