2
Datenpaket-Verarbeitung - Firewall
Hallo,
wie wird ein Datenpaket von einer Firewall (Juniper, Cisco etc.) verarbeitet, wenn auf dieses Paket NAT angewendet wird? Ist das bei jeder Firewall so?
Betrachtet eine Firewall ein Datenpaket wenn die Entscheidung getroffen wird das Paket passieren zulassen oder nicht, vor oder nach dem NAT?
Bzw. anders gefragt, muss eine Firewall Regel auf ein Datenpaket vor oder nach dem NAT angwendet werden, damit es durch die Firewall gelassen wird?
LG
wie wird ein Datenpaket von einer Firewall (Juniper, Cisco etc.) verarbeitet, wenn auf dieses Paket NAT angewendet wird? Ist das bei jeder Firewall so?
Betrachtet eine Firewall ein Datenpaket wenn die Entscheidung getroffen wird das Paket passieren zulassen oder nicht, vor oder nach dem NAT?
Bzw. anders gefragt, muss eine Firewall Regel auf ein Datenpaket vor oder nach dem NAT angwendet werden, damit es durch die Firewall gelassen wird?
LG
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 290413
Url: https://administrator.de/contentid/290413
Ausgedruckt am: 26.11.2024 um 04:11 Uhr
2 Kommentare
Neuester Kommentar
Moin,
Primär ist NAT ja dafür da da sich mehrer Clients eine IP-Adresse teilen. Bei ausgehendem Traffic wird also beim Paket die Absender-Adresse auf die externe Adresse der Firewall gesetzt SRC-NAT, zusätzlich merkt sich die Firewall das in Ihrer NAT-Tabelle. Kommt also ein passendes Paket zurück ordnet es dieses Paket anhand der NAT-Tabelle wieder dem Client zu und ändert die Zieladresse ins interne Netz (DST-NAT).
http://infohost.nmt.edu/~dbaird/tmp/iptables-intro/s5-blank/20051121_ip ...
https://junipermyanmar.files.wordpress.com/2014/05/b.png
http://www.mikrotik.com/documentation//manual_2.7/Img/IP_Packet_Flow25. ...
Danach wird es an den Paketfilter weitergereicht.
DST-NAT findet in der Prerouting-Chain statt und SRC-NAT in der Postrouting-Chain.
Sicher gibt es da je nach Hersteller kleine/größere Abweichungen da je nach Funktionsumfang mehrere Dienste beteiligt sein können, aber der Grundlegende Aufbau ist meist ähnlich.
Gruß grexit
wie wird ein Datenpaket von einer Firewall (Juniper, Cisco etc.) verarbeitet, wenn auf dieses Paket NAT angewendet wird?
Ist das bei jeder Firewall so?
Eine Firewall kann anhand einer Tabelle entscheiden ob NAT auf ein Paket angewendet wird oder nicht. Es können also auch Ausnahmen darin stehen, für ganze Subnetzte oder auch einzelne IPs/MAC-Adresse etc. pp. Oder z.B. 1:1 NAT um eine bestimmte externe IP 1:1 auf eine interne IP zu mappen.Ist das bei jeder Firewall so?
Primär ist NAT ja dafür da da sich mehrer Clients eine IP-Adresse teilen. Bei ausgehendem Traffic wird also beim Paket die Absender-Adresse auf die externe Adresse der Firewall gesetzt SRC-NAT, zusätzlich merkt sich die Firewall das in Ihrer NAT-Tabelle. Kommt also ein passendes Paket zurück ordnet es dieses Paket anhand der NAT-Tabelle wieder dem Client zu und ändert die Zieladresse ins interne Netz (DST-NAT).
Betrachtet eine Firewall ein Datenpaket wenn die Entscheidung getroffen wird das Paket passieren zulassen oder nicht, vor oder nach dem NAT?
Bei eingehenndem Traffic wird NAT (DST-NAT) vor dem Paketfilter angewendet, der Packetflow von IP-Tables, Mikrotik etc. verdeutlicht das ganzehttp://infohost.nmt.edu/~dbaird/tmp/iptables-intro/s5-blank/20051121_ip ...
https://junipermyanmar.files.wordpress.com/2014/05/b.png
http://www.mikrotik.com/documentation//manual_2.7/Img/IP_Packet_Flow25. ...
Danach wird es an den Paketfilter weitergereicht.
Bzw. anders gefragt, muss eine Firewall Regel auf ein Datenpaket vor oder nach dem NAT angwendet werden, damit es durch die Firewall gelassen wird?
s. Grafik im Link.DST-NAT findet in der Prerouting-Chain statt und SRC-NAT in der Postrouting-Chain.
Sicher gibt es da je nach Hersteller kleine/größere Abweichungen da je nach Funktionsumfang mehrere Dienste beteiligt sein können, aber der Grundlegende Aufbau ist meist ähnlich.
Gruß grexit
Eine generelle Regel gibt es da leider nicht, denn final ist das Hersteller abhängig. Wichtig ist also immer ein Packet Flow zu kennen der betreffenden FW Hardware wie z.B. einer Cisco ASA:
http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-ne ...
oder hier z.B. Juniper:
http://chimera.labs.oreilly.com/books/1234000001633/ch08.html
oder auch Mikrotik:
http://wiki.mikrotik.com/wiki/Manual:Packet_Flow
http://forum.mikrotik.com/viewtopic.php?t=72736
Daraus ergibt sich dann immer genau ob Source NAT bzw. Destination NAT hinter oder vor der FW Funktion kommt und wie die Reihenfolge ist ob Inbound Flow oder Outbound.
http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-ne ...
oder hier z.B. Juniper:
http://chimera.labs.oreilly.com/books/1234000001633/ch08.html
oder auch Mikrotik:
http://wiki.mikrotik.com/wiki/Manual:Packet_Flow
http://forum.mikrotik.com/viewtopic.php?t=72736
Daraus ergibt sich dann immer genau ob Source NAT bzw. Destination NAT hinter oder vor der FW Funktion kommt und wie die Reihenfolge ist ob Inbound Flow oder Outbound.
