Datenpaket-Verarbeitung - Firewall

Mitglied: griss2015

griss2015 (Level 1) - Jetzt verbinden

08.12.2015 um 19:41 Uhr, 1093 Aufrufe, 2 Kommentare

Hallo,

wie wird ein Datenpaket von einer Firewall (Juniper, Cisco etc.) verarbeitet, wenn auf dieses Paket NAT angewendet wird? Ist das bei jeder Firewall so?
Betrachtet eine Firewall ein Datenpaket wenn die Entscheidung getroffen wird das Paket passieren zulassen oder nicht, vor oder nach dem NAT?
Bzw. anders gefragt, muss eine Firewall Regel auf ein Datenpaket vor oder nach dem NAT angwendet werden, damit es durch die Firewall gelassen wird?

LG
Mitglied: 122990
122990 (Level 2)
08.12.2015, aktualisiert um 21:00 Uhr
Zitat von @griss2015:
Hallo,
Moin,
wie wird ein Datenpaket von einer Firewall (Juniper, Cisco etc.) verarbeitet, wenn auf dieses Paket NAT angewendet wird?
Ist das bei jeder Firewall so?
Eine Firewall kann anhand einer Tabelle entscheiden ob NAT auf ein Paket angewendet wird oder nicht. Es können also auch Ausnahmen darin stehen, für ganze Subnetzte oder auch einzelne IPs/MAC-Adresse etc. pp. Oder z.B. 1:1 NAT um eine bestimmte externe IP 1:1 auf eine interne IP zu mappen.
Primär ist NAT ja dafür da da sich mehrer Clients eine IP-Adresse teilen. Bei ausgehendem Traffic wird also beim Paket die Absender-Adresse auf die externe Adresse der Firewall gesetzt SRC-NAT, zusätzlich merkt sich die Firewall das in Ihrer NAT-Tabelle. Kommt also ein passendes Paket zurück ordnet es dieses Paket anhand der NAT-Tabelle wieder dem Client zu und ändert die Zieladresse ins interne Netz (DST-NAT).

Betrachtet eine Firewall ein Datenpaket wenn die Entscheidung getroffen wird das Paket passieren zulassen oder nicht, vor oder nach dem NAT?
Bei eingehenndem Traffic wird NAT (DST-NAT) vor dem Paketfilter angewendet, der Packetflow von IP-Tables, Mikrotik etc. verdeutlicht das ganze
http://infohost.nmt.edu/~dbaird/tmp/iptables-intro/s5-blank/20051121_ip ...
https://junipermyanmar.files.wordpress.com/2014/05/b.png
http://www.mikrotik.com/documentation//manual_2.7/Img/IP_Packet_Flow25. ...

Danach wird es an den Paketfilter weitergereicht.
Bzw. anders gefragt, muss eine Firewall Regel auf ein Datenpaket vor oder nach dem NAT angwendet werden, damit es durch die Firewall gelassen wird?
s. Grafik im Link.
DST-NAT findet in der Prerouting-Chain statt und SRC-NAT in der Postrouting-Chain.

Sicher gibt es da je nach Hersteller kleine/größere Abweichungen da je nach Funktionsumfang mehrere Dienste beteiligt sein können, aber der Grundlegende Aufbau ist meist ähnlich.

Gruß grexit
Bitte warten ..
Mitglied: aqui
09.12.2015 um 09:12 Uhr
Eine generelle Regel gibt es da leider nicht, denn final ist das Hersteller abhängig. Wichtig ist also immer ein Packet Flow zu kennen der betreffenden FW Hardware wie z.B. einer Cisco ASA:
http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-ne ...
oder hier z.B. Juniper:
http://chimera.labs.oreilly.com/books/1234000001633/ch08.html
oder auch Mikrotik:
http://wiki.mikrotik.com/wiki/Manual:Packet_Flow
http://forum.mikrotik.com/viewtopic.php?t=72736
Daraus ergibt sich dann immer genau ob Source NAT bzw. Destination NAT hinter oder vor der FW Funktion kommt und wie die Reihenfolge ist ob Inbound Flow oder Outbound.
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Ein Weg weg von Microsoft. Wie würde man es angehen? Lasst uns doch etwas spinnen
it-fraggleVor 1 TagAllgemeinOff Topic53 Kommentare

Guten Morgen Kollegen, es treibt mich schon seit einigen Jahren um, dass es sinnvoll wäre langsam einen Weg weg von Microsoftprodukten zu finden. Mir ...

Hardware
Versorgungsengpass Chips
NebellichtVor 1 TagAllgemeinHardware22 Kommentare

Allg. frage ich mich ja warum Apple auf ARM frühzeitig gesetzt hat. Die Automobilindustrie gerade Absatzprobleme hat, weil keine Chips mehr geliefert werden können. ...

Windows Server
Server 2019 RDS-CALs für Domänen-Admins? Ernsthaft?
gelöst anteNopeVor 1 TagFrageWindows Server7 Kommentare

Nabend zusammen, ich habe hier heute einen RDS auf Basis eines Server 2019 STD installiert und mit User-CALs lizenziert. Soweit funktioniert auch alles. Nur ...

Festplatten, SSD, Raid
Wie würdet ihr eine Datenrettung machen?
pd.edvVor 23 StundenFrageFestplatten, SSD, Raid11 Kommentare

Hallo, ich arbeite gerade an einem Blog-Artikel zum Thema Datenrettung und würde mich brennend interessieren wie Ihr eine Datenrettung angehen würdet. Sagen wir mal ...

Windows Server
Lokaler DNS verlangsamt Internet?
gelöst Rattical84Vor 9 StundenFrageWindows Server20 Kommentare

Hallo zusammen, ich habe hier eine Domäne mit dem Domänencontroller als DNS-Server. Das ist der einzige DC und DNS-Server im Netz. Jetzt habe ich ...

Ubuntu
Installiert auf Rechner
khaldrogoVor 14 StundenFrageUbuntu9 Kommentare

Hallo Leute, Wir haben einen neuen Server bekommen, auf dem wir per Remotedesktopverbindung verbunden sind und arbeiten. Auf dem Server sind leider nicht alle ...

Multimedia
PDF Dokumente KOSTENLOS ausfüllen, wie?
Mrhallo19981Vor 1 TagFrageMultimedia12 Kommentare

Hallo, ich möchte PDF Dokumente kostenlos ausfüllen. Anschließend sollen diese Signiert werden. Signieren tu ich mit einem Zertifikat von Adobe. Deswegen ist es wichtig, ...

Windows 10
Blog 2: Mal wieder Microsoft haten?
GrueneSosseMitSpeckVor 1 TagBlogWindows 102 Kommentare

und allseits beliebt: die Kirsche blüht vor dem Haus. Also endlich mal die neue Kamera ausgepackt, ein paar Fotos geknipst, und dann? USB Kabel ...