Re: NAT ?
Am Mittwoch, den 13.11.2013, 08:05 +0100 schrieb tbgn:
> Der Ablauf an sich ist doch recht trivial:
>
> Ich sende via Port 80 einen Site-Aufruf z.B. Google an meinen Gateway
> (Router) da die Adresse nicht zu meinem Netz gehört.
Diese Aussage ist entweder wirr oder falsch.
Wenn du im Browser 'google.com' eingibst, startet bereits der Browser
eine DNS-Abfrage um zu den Namen eine IP zu bekommen.
Den von dir erwähnten Site-Aufruf machst du bereits an die IP, nicht an
den Namen.
> Der Router ruft via DNS nun IP 8.8.8.8
Nein, die DNS-Abfrage hat dein Rechner schon erledigt.
Dem Router interessiert das nicht, der arbeitet nur mit IP's.
> und verlangt die Rückantwort auf seine externe IP und
> einer dynamisch erzeugte Port-Nummer,
Wieso dynamisch? Dein Rechner hat bereits ein unprivilegiertes Port
ausgewählt und das verwendet der Router weiter.
> die den Aufrufende im inneren Netz
> für diese eine Anfrage identifiziert(nur einmal gültig).
Bei TCP gültig bis FIN-ACK, bei UDP gültig bis Deadline.
> Erfolgt die Antwort an dieses Port, ersetzt er nun die IP mit der
> Zieladresse des Clients im inneren Netz.
Korrekt.
> Wer seinen Browser restriktive konfiguriert hat wird manchmal die
> Meldung erhalten, dass die Antwort nicht von der selben IP stammt,
> welche aufgerufen wurde.
Kann garnicht sein, da keine andere IP im NAT vermerkt ist und daher
Pakete von anderen IP's nicht durchgereicht werden.
Vermutlich meckert der Browser wenn auf der Seite Inhalt von einem
anderen Server eingebunden ist (externer Verweis).
> Das zeigt, dass der Router die Antwort auch dann weiterleitet, wenn
> antwortende IP inkorrekt ist aber Port stimmt.
Dann ist dein Router kaputt.
> Der Grund dieses
> Verhaltens liegt dabei Begründet in der Tatsache, dass sehr oft in RZ
> mehrere Server die Aufgaben unter sich aufgeteilt erledigen und/oder
> mehrere LAN auf einem Server arbeiten.
Aber auch bei einem Cluster erhalte ich die Antworten immer von der IP
an die ich mich verbunden habe. TCP ist verbindungsorientiert. Wenn A
mit B spricht kann sich C nicht dazwischen schieben. Das ist im
Protokoll nicht vorgesehen.
Einzige Möglichkeit wäre ein Take-Over, aber dann müsste sich C als B
ausgeben, sonst kommen die Pakete ja nichtmehr bis zu mir durch.
> - Man beachte:
> Das bedeutet nun aber auch, dass wer die Anfrage ins Netz abfängt,
> anstelle des gerufenen Servers antworten kann.
Wenn er die IP faked, ja.
> (Dieses Verhalten kann in guten Routern unterbunden werden, aber das
> Browsen wird dadurch eingeschränkt - Sicherheit kontra Bequemlichkeit.)
>
> Und hier begegnen wir noch der Krux, dass auch eine Dynamisch IP mit
> Zugriffssicherheit auch nur eingeschränkt Sicherheit bietet.
Ich gehe sogar soweit und sage es bietet keine Sicherheit.
Ob statisch oder dynamisch ist völlig wurscht. Scriptkiddies klopfen
ständig ganze IP-Bereiche ab. Denen ist es auch völlig wurscht ob das
nun statische oder dynamische IP's sind.
> Will ich hinter einer dynamisch zugewiesenen IP meinen Host extern
> erreichen (was ja an sich eine Fixe IP erfordert) muss ich dynamisches
> DNS nutzen. Das bedeutet, immer wenn mein Router eine neue IP vom
> Provider zugewiesen erhält, sendet er diese zu meinem DNS-Dienst.
> Dort wird meinem Host-Namen diese IP zugeordnet, die nun so auch zu dem
> mich suchenden User (z.B. ich selber an einem externen Client)
> übermittelt wird.
>
> Daher ist so die dynamische IP als Schutzmechanismus keinen Schuss
> Pulver mehr wert.
Auch ohne DNS. Abgeklopft werden IP's und nicht Hostname.
--
mfG Sascha
~~~
Und Sie, Schäfer, gehören überhaupt nicht unter anständige Menschen. Kommen Sie zu
mir auf's Katheder. -- Johann Georg August Galletti
-- Johann Georg August Galletti
Reply to: