Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
netzwerke:nat-network-address-translation [2010/08/27 13:42] – angelegt st | netzwerke:nat-network-address-translation [2010/08/27 13:43] (aktuell) – st | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
+ | ====== NAT (Network Address Translation) ====== | ||
+ | |||
+ | |||
+ | [[wpde> | ||
+ | |||
+ | |||
+ | :!: Diese Seite ist eine inhaltsgekürzte Version aus [[wpde> | ||
+ | |||
+ | |||
+ | |||
+ | ===== NAT-Typen ===== | ||
+ | |||
+ | NAT wird in Source-NAT und Destination-NAT unterteilt. Während beim Source-NAT die Adresse des Computers umgeschrieben wird, der die Verbindung aufbaut, wird beim Destination-NAT die Adresse des angesprochenen Computers verändert. | ||
+ | |||
+ | |||
+ | |||
+ | ==== Source-NAT ==== | ||
+ | |||
+ | Große Verbreitung fand Source-NAT durch die Knappheit öffentlicher IPv4-Adressen und die Tendenz, private Subnetze mit dem Internet zu verbinden. Die einfachste Lösung dieses Problems war oft die durch NAT mögliche Verwendung mehrerer privater IP-Adressen mit nur einer öffentlichen IP-Adresse, wobei die Abbildung auf diese aufgrund der 16 Bit breiten Portnummern auf etwa 65000 Sitzungen (Port-Address-Translation Einträge) beschränkt bleibt. | ||
+ | |||
+ | Gerade in privaten oder möglichst preisgünstig ausgeführten Netzinstallationen wird Source-NAT als eine Art Sicherheitsmerkmal und zur Trennung von internem und externem Netz eingesetzt. Während eine NAT-Installation oberflächlich tatsächlich diese gewünschte Wirkung erzielt, kann sie weder Sicherheitsinfrastruktur noch wirksame Maßnahmen zur Trennung von Netzen ersetzen. So wird die Source-NAT-Funktion eines Routers im professionellen Bereich oft durch ein zusätzlich betriebenes Application Level Gateway unterstützt. | ||
+ | |||
+ | |||
+ | === Funktionsweise === | ||
+ | |||
+ | Bei jedem Verbindungsaufbau durch den Client wird die Quell-IP-Adresse durch eine des Routers ersetzt. Außerdem wird der Quellport durch einen freien Port des Routers ersetzt, der dadurch belegt wird. Diese Zuordnung wird im Router gespeichert. Der Vorgang wird als [[wpde> | ||
+ | |||
+ | ^ lokales Netz (LAN) ^^^ öffentliches Netz (WAN) ^^ | ||
+ | ^ Quelle ^ Ziel ^ Router | ||
+ | | **192.168.0.2: | ||
+ | | **192.168.0.3: | ||
+ | | **192.168.0.4: | ||
+ | |||
+ | |||
+ | ==== Destination-NAT ==== | ||
+ | |||
+ | Destination-NAT wird beispielsweise verwendet, um mehrere, unterschiedliche Serverdienste, | ||
+ | |||
+ | Auch wird es manchmal bei Hot Spots benutzt, um Zugriffe auf Webseiten vor der Anmeldung auf den Rechner umzuleiten, der die Anmeldung anbietet. | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | === Funktionsweise === | ||
+ | |||
+ | Bei jedem Verbindungsaufbau durch den Client wird die Ziel-IP-Adresse durch eine andere ersetzt. Außerdem wird der Zielport durch einen freien Port des Routers ersetzt, der dadurch belegt wird. Diese Zuordnung wird im Router gespeichert. | ||
+ | |||
+ | ^ lokales Netz (LAN) ^^^ öffentliches Netz (WAN) ^^ | ||
+ | ^ Quelle ^ Ziel ^ Router | ||
+ | | 170.0.0.1: | ||
+ | | 170.0.0.1: | ||
+ | | 170.0.0.1: | ||
+ | |||
+ | |||
+ | |||
+ | ===== Kritik ===== | ||
+ | |||
+ | * NAT wird oft nur als eine Notlösung betrachtet, um bei nicht dauerhaft verbundenen Netzinstallationen das Problem der knappen IPv4-Adressen zu umgehen. | ||
+ | * Das größte Problem an NAT ist, dass die saubere Zuordnung „1 Host mit eindeutiger IP-Adresse“ nicht eingehalten wird. Durch die Umschreibung von Protokoll-Headern, | ||
+ | * Ebenso leiden insbesondere Netzwerkdienste, | ||
+ | * NAT-Gateways heben die strenge Trennung des [[netzwerke: | ||
+ | |||
+ | ===== Links ===== | ||
+ | |||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||