Die Fritz!Box NAT Firewall - Funktionsweise und Details?

[re_spawn]

Moin liebe Community!

Habe immernoch an meiner Präsentation zum Thema Fritz!Box und AVM zu arbeiten und ich bin nun auf das Thema NAT-Firewall der Fritz!Box gestoßen.

Der NAT Prozess ist mir soweit klar, aber über welche Art von Firewal verfügen die FritzBoxen?
Klar das kein Virenscanner bzw. Content Filter eingebaut ist, aber wie genau untersucht die Fritz!Box die Aus- sowie eingehenden Datenpakete?

Abgleich von Quell sowie Ziel IP sowie den verwendeten Ports?

Werden zu den Layer 3 Informationen noch Layer 2 Informationen (MAC) für das Switching im LAN hinzugefügt um zu verhindern, das wenn 2 identische Programme auf identische Ziele von 2 Rechnern im LAN zugreifen, diese dann die Antwort als Multicast erhalten?

Als Zusatz noch ne kleine frage zu Gateways: Ein Gateway ist die IP-Adresse an die sämtliche Datenpakete mit anderem Zielnetz oder anderer Netzklasse gesendet werden, richtig?

Danke schonmal für eure Antworten

Gruß re_spawn

 

[gandalf94305]

Die FBF-Modelle verwenden nicht wirklich eine Firewall-Technologie im engeren Sinne, sondern lediglich NAT zum Mapping von LAN-Geräten und deren IP-Adressen/Ports auf die ext. IP-Adresse/Ports, sowie Portfiltering für den eingehenden Verkehr. Man muss also für einen bestimmten Port, der unabhängig von abgehendem Datenverkehr (vom LAN zum WAN) eingehend (WAN zu LAN) funktionieren soll, eine Regel definieren, die diesen Datenverkehr eindeutig auf genau ein System im LAN (mit einer festen IP-Adresse und Portnummer) weiterleitet.

Hier befinden sich also keine DPI (Deep Packet Inspection) Technologie, keine Application-Level Gateways oder ähnliche Module im Einsatz. Ein richtiger Firewall ist das nicht wirklich... eher ein filternder NAT-Router. Die FBF merkt sich lediglich für eine gewisse Zeit die abgehenden Verbindungen und läßt dann entsprechend eingehende (Antwort-)Pakete zu. Das folgt dem Prinzip, daß Verbindungen immer aus dem LAN heraus aufzubauen sind und von extern Aufbauversuche abgelehnt werden - es sei denn, es gibt eine Regeln zur Portweiterleitung.

Die Frage

Werden zu den Layer 3 Informationen noch Layer 2 Informationen (MAC) für das Switching im LAN hinzugefügt um zu verhindern, das wenn 2 identische Programme auf identische Ziele von 2 Rechnern im LAN zugreifen, diese dann die Antwort als Multicast erhalten?

verstehe ich nicht ganz. Multicast ist etwas ganz anderes als Unicast. Ein NAT-Router adressiert immer Datenpakete durch Ersetzen der MAC-Adresse an die richtigen lokalen Systeme, da im LAN eine Adressierung über MAC-Adressen geht. Die Kombination MAC-Adresse/Port adressiert für TCP und UDP im LAN eindeutig einen Endpunkt. Was meinst Du da mit Multicast?

Ein Gateway ist die IP-Adresse an die sämtliche Datenpakete mit anderem Zielnetz oder anderer Netzklasse gesendet werden, richtig?

Zunächst mal ist ein Gateway nicht eine IP-Adresse, sondern ein System. Ein Gateway nimmt Pakete entgegen und leitet sie nach gewissen Regeln weiter. Ein Proxy für HTTP ist beispielsweise solch ein Gateway. Ein E-Mail-Server ist auch ein Gateway. Man spricht von Gateways normalerweise, wenn es sich um höhere Protokolle handelt. Es kann also auch innerhalb eines Netzwerks einen Gateway geben, der z.B. Protokolle umsetzt.

--gandalf.

 

[re_spawn]

Dann ist das mit der MAC so wie ichs mir dachte. Die Formulierung war ein wenig knautsch, sorry. War ja auch schon spät genug heute Morgen

Danke für deine Ausführungen, stimmt dann soweit alles überein mit dem was ich mir angelesen und verstanden hab.