Kefk Network :  Security |  About  |  Wiki Changelog | Index | Inhalt | Site Map | Suchen.
安
å…¨		   Angriffe | Computersicherheit | Forensik | Grundlagen | Labor | Malware | Netzwerksicherheit | Physikalische Sicherheit | Praxis | Prozesse | Ressourcen | Sicherheitskonzept | Sicherheitsrichtlinien | Tools | Verschlüsselung | Zertifizierungen | Ziele.

 

Network Address Translation (NAT)

Ihr Benutzername: Besucher
Wer ist gerade online? - 7 aktive User.

Erstellt/bearbeitet: 03-Okt-2005/02-Feb-06
Systemzeit: Donnerstag, 24.07.2008, 15:27:31.

Kefk Network : Security : Prozesse : Firewalling : NAT

Ãœbersicht

Als Network Address Translation (NAT) bezeichnet man in Computernetzen ein Verfahren, um eine IP-Adresse in einem Datenpaket durch eine andere zu ersetzen. Häufig wird dies benutzt, um private IP-Adressen auf öffentliche IP-Adressen abzubilden. Werden auch die Port-Nummern umgeschrieben, spricht man dabei von Maskieren oder PAT (Port Address Translation).

Der NAT-Standard wurde 1994 von der IETF als RFC 3022 veröffentlicht.

Verwendung

NAT wird aus verschiedenen Gründen verwendet. Hauptsächlich ist NAT notwendig, weil öffentliche IP-Adressen immer knapper werden, und man deshalb in einem internen (privaten) Netz private IP-Adressen einsetzt. Damit man trotzdem mit dem Internet kommunizieren kann, müssen die internen, privaten Adressen am Gateway zum Internet (oder zu einem anderen öffentlichen Netz) in öffentliche Adressen übersetzt werden. Zum Anderen kann es der Datensicherheit dienen, weil die interne Struktur des Netzes nach außen hin verborgen bleibt (Security through Obscurity).

Funktionsweise

Üblicherweise wird NAT an einem Übergang zwischen zwei Netzen durchgeführt. Ein solches NAT-Gerät kann ein Router, eine Firewall oder ein anderes spezialisiertes Gerät sein. So kann zum Beispiel ein NAT-Gerät mit zwei Netzwerkkarten das lokale Netz mit dem Internet verbinden.

Man unterscheidet zwischen Source NAT, bei dem die Quell-IP-Adresse ersetzt wird, und Destination NAT, bei dem die Ziel-IP-Adresse ersetzt wird.

Bei Basic NAT (auch als Static NAT bekannt) wird jede interne IP durch eine externe IP ersetzt. Man spricht deshalb von einer 1:1-Ãœbersetzung.

Bei Hiding NAT (eigentlich PAT oder auch Network Address Port Translation, NAPT) werden mehrere Quell-IP-Adressen in die gleiche externe Quell-IP-Adresse übersetzt. Bei diesem Masquerading werden auch die Ports umgeschrieben.

Weitere Varianten von NAT sind:

  • Full cone NAT
  • Restricted cone NAT
  • Port restricted cone NAT
  • Symmetric NAT (auch Bi-directional NAT)

Beispiele

Beispiel für eine 1:1 Übersetzung: Öffentliche verfügbare Adressen: 205.0.0.2, 205.0.0.3, 205.0.0.4.

Source NAT:

lokales Netz (LAN) Öffentliches Netz (WAN)
Quell-IP Ziel-IP Router
===========>
NAT		 Quell-IP Ziel-IP
192.168.0.2 170.0.0.1 205.0.0.2 170.0.0.1
192.168.0.3 170.0.0.1 205.0.0.4 170.0.0.1
192.168.0.4 170.0.0.1 205.0.0.3 170.0.0.1

Bei ausgehenden Paketen wird die (private) Quell-IP-Adresse durch eine noch nicht benutzte (öffentliche) IP-Adresse ersetzt. Dabei merkt sich das NAT-Gerät diese Umsetzung:

  • 192.168.0.2 <=> 205.0.0.2
  • 192.168.0.3 <=> 205.0.0.4
  • 192.168.0.4 <=> 205.0.0.3

Destination NAT:

lokales Netz (LAN) Öffentliches Netz (WAN)
Quell-IP Ziel-IP Router
<===========
NAT		 Quell-IP Ziel-IP
170.0.0.1 192.168.0.2 170.0.0.1 205.0.0.2
170.0.0.1 192.168.0.3 170.0.0.1 205.0.0.4
170.0.0.1 192.168.0.4 170.0.0.1 205.0.0.3

Bei eingehenden Paketen kann anhand der IP-Adresse (welche nun die Ziel-IP-Adresse ist) und des Tabelleneintrags festgestellt werden, welcher Computer die Pakete angefordert hatte (hier: 192.168.0.2, 192.168.0.3 und 192.168.0.4). Das NAT-Gerät kann dadurch die (öffentliche) Ziel-IP-Adresse durch die ursprüngliche Quell-IP-Adresse 192.168.0.2, 192.168.0.3 bzw. 192.168.0.4 austauschen.

Für die beteiligten Endgeräte im internen Netz (z.B. 192.168.0.2) oder externen Netz sind diese Vorgänge transparent, d.h. sie bekommen von der Adressumsetzung nichts mit.

Allerdings können einige Anwendungen nicht mit NAT umgehen, beispielsweise die Unix Remote Shell (RSH). Protokollkomplikationen durch NAT sind beschrieben in RFC 3027.

Literatur

(Bestellen)

Siehe auch

Netmarks

RFC 3022 – Traditional IP Network Address Translator (Traditional NAT),
www.ietf.org/rfc/rfc3022.txt.

RFC 4008 – Standards Track – Definitions of Managed Objects for Network Address Translators (NAT),
www.ietf.org/rfc/rfc4008.txt.

RFC 1631 – Obsolete – The IP Network Address Translator (NAT),
www.ietf.org/rfc/rfc1631.txt.

Einrichtung NAT unter Windows 2003,
www.wown.com/articles_tutorials/NAT_Windows_2003_Setup_Configuration.html.

HowStuffWorks: How Network Address Translation Works, von Jeff Tyson,
computer.howstuffworks.com/nat.htm/printable.

Tunnel durch NAT-Gateways ohne Notwendigkeit zur Anpassung der beteiligten Router,
freshmeat.net/projects/nat-traverse.

Quelle und Lizenz

Textquellennachweise:
Ein Teil dieses Textes basiert auf einem Artikel aus Wikipedia, der freien Enzyklopädie.
Artikel | Bearbeiten | Diskutieren | Drucken | Versionen | Autoren | Backlinks.
Stand: 19:56, 29. Sep 2005 (Permalink).
Lizenz: GNU Free Documentation License.
Bildquellennachweise:
  • Promotionmaterial © Amazon.de.

Anmerkungen

Forum: Hardware für Linux (Anmerkungen in diesem Forum: 16)

Neue Anmerkung verfassen
Darstellungsmodus : Alle | Voransicht | Nur Titel | Aktualisieren
Blättern: << Anfang | < Zurück | Weiter > | Ende >>
DaferDaferSep 26, 16:31
LerLerSep 26, 16:31
DaferDaferSep 26, 16:30
DaferDaferSep 26, 16:30
FitralFitralSep 26, 16:12
FitralFitralSep 26, 16:11
FitralFitralSep 26, 16:11
FitralFitralSep 26, 16:11
LerLerSep 26, 16:11
DaferDaferSep 26, 16:11
Besuchen Sie 2eNetWorX und Open Source & Free Software für weitere freie Software-Projekte unter Win32.
NAT
Nach oben
Wer ist online?:
Ihr Name: Besucher (nicht angemeldet).
Online: 7 aktive User.
Anmelden | Abmelden
Monitoring:
Benachrichtigen bei Änderungen:


blind_150.gif (150x5 -- 825 bytes)
mi.gif (12x15 -- 70 bytes)Amazon.de:
blind_150.gif (1x1 -- 825 bytes)
Praxisbuch Sicherheit für Linux-Server und -Netze.
von Barbara Oberhaitzinger, Helmar Gerloni u.a.

amazon_small.gif (55x15 -- 576 bytes)EUR 34,90
(versandkostenfrei)
Das Firewall Buch.
Grundlagen, Aufbau und Betrieb sicherer Netzwerke mit Linux.
von Wolfgang Barth

EUR 44,90
(versandkostenfrei)
Firewalls und Sicherheit im Internet.
von William R. Cheswick, Steven M. Bellovin u.a.

amazon_small.gif (55x15 -- 576 bytes)EUR 49,95
(versandkostenfrei)
Security. Das Grundlagenbuch.
von Mathias Hein, Michael Reisner u.a.

amazon_small.gif (55x15 -- 576 bytes)EUR 49,95
(versandkostenfrei)
Microsoft Windows Sicherheit.
Das Praxisbuch.
von Tobias Weltner und Kai Wilke

amazon_small.gif (55x15 -- 576 bytes)EUR 49,90
(versandkostenfrei)
Suchen in:
Suchen nach:
Antivirus-Infos:

blind_150.gif (150x5 -- 825 bytes)
mi.gif (12x15 -- 70 bytes)Kefk Network:
blind_150.gif (1x1 -- 825 bytes)
Thematisch verwandte Subsites: BSD, GNU/Linux, Hardware, Internet, Networking, Safety, Webworking, Windows.

Kefk Network Home
blind_150.gif (150x5 -- 825 bytes)
Hacker Emblem glider.png (55x55 -- 724 bytes)

 

Zurück ] Weiter ]

URL: http://www.kefk.net/Security/Prozesse/Firewalling/NAT/index.asp.
Translate this page with Google to 
Website | Changelog | Index | Inhalt | Site Map | Suchen | Wer ist online?.
Ergänzungen, Fragen und Kommentare: Kontakt | Foren | Wiki.
E-Mail: echo "asb at keNOSPAMfk.net"| sed -e "s/ at /@/" -e "s/NOSPAM//".
Alle Inhalte dieser Subsite sind, sofern nicht anders gekennzeichnet, © 2003-2005 Agon S. Buchholz.
Copyright | Credits | Disclaimer | Impressum.