Post on 06-Apr-2015
Datenpakete (TCP/IP)
Datenpakete (TCP/IP)
TCP – transmission control protocolWenn eine Applikation (z.B. ein Webbrowser) Daten abschickt, werden diese vom TCP (transmission control protocol) in kleine Einheiten von üblicherweise 1500 Bytes zerlegt, die mit einer Prüfsumme versehen und zur Identifikation durchlaufend nummeriert werden. Die so entstandenen sogenannten ip-Datenpakete werden dann unabhängig voneinander zu ihrem Ziel (z.B. einem Webserver) geschickt und dort wieder zusammengestellt.
Datenpakete (TCP/IP)
TCP – transmission control protocolWenn eine Applikation (z.B. ein Webbrowser) Daten abschickt, werden diese vom TCP (transmission control protocol) in kleine Einheiten von üblicherweise 1500 Bytes zerlegt, die mit einer Prüfsumme versehen und zur Identifikation durchlaufend nummeriert werden. Die so entstandenen sogenannten ip-Datenpakete werden dann unabhängig voneinander zu ihrem Ziel (z.B. einem Webserver) geschickt und dort wieder zusammengestellt.
ClientWebbrowser Webserver
Datenpakete (TCP/IP)
TCP – transmission control protocolWenn eine Applikation (z.B. ein Webbrowser) Daten abschickt, werden diese vom TCP (transmission control protocol) in kleine Einheiten von üblicherweise 1500 Bytes zerlegt, die mit einer Prüfsumme versehen und zur Identifikation durchlaufend nummeriert werden. Die so entstandenen sogenannten ip-Datenpakete werden dann unabhängig voneinander zu ihrem Ziel (z.B. einem Webserver) geschickt und dort wieder zusammengestellt.
ClientWebbrowser Webserver
1 2 3 4 5 6
Datenpakete (TCP/IP)
TCP – transmission control protocolWenn eine Applikation (z.B. ein Webbrowser) Daten abschickt, werden diese vom TCP (transmission control protocol) in kleine Einheiten von üblicherweise 1500 Bytes zerlegt, die mit einer Prüfsumme versehen und zur Identifikation durchlaufend nummeriert werden. Die so entstandenen sogenannten ip-Datenpakete werden dann unabhängig voneinander zu ihrem Ziel (z.B. einem Webserver) geschickt und dort wieder zusammengestellt.
ClientWebbrowser Webserver
1 2 3 4 5 6
Datenpakete (TCP/IP)
TCP – transmission control protocolWenn eine Applikation (z.B. ein Webbrowser) Daten abschickt, werden diese vom TCP (transmission control protocol) in kleine Einheiten von üblicherweise 1500 Bytes zerlegt, die mit einer Prüfsumme versehen und zur Identifikation durchlaufend nummeriert werden. Die so entstandenen sogenannten ip-Datenpakete werden dann unabhängig voneinander zu ihrem Ziel (z.B. einem Webserver) geschickt und dort wieder zusammengestellt.
ClientWebbrowser Webserver
123456
Datenpakete (TCP/IP)
PortnummernAuf einem PC oder einem Server laufen normalerweise mehrere Prozesse gleichzeitig (z.B. Webbrowser und Mailprogramm oder Webserver und Mailserver). Um die Datenpakete jeweils dem richtigen Dienst zuordnen zu können, wird jedem Dienst eine sogenannte Portnummer zugewiesen. Z.B. verwendet ein Webserver standardmäßig die Portnummer 80. Diese Portnummern werden in die jeweiligen Datenpakete geschrieben.
Client
MailserverPort 110
WebserverPort 80
Datenpakete (TCP/IP)
PortnummernAuf einem PC oder einem Server laufen normalerweise mehrere Prozesse gleichzeitig (z.B. Webbrowser und Mailprogramm oder Webserver und Mailserver). Um die Datenpakete jeweils dem richtigen Dienst zuordnen zu können, wird jedem Dienst eine sogenannte Portnummer zugewiesen. Z.B. verwendet ein Webserver standardmäßig die Portnummer 80. Diese Portnummern werden in die jeweiligen Datenpakete geschrieben.
Client
MailserverPort 110
WebserverPort 80
Webanfragean Port 80
Mailanfrageaan Port 110
Datenpakete (TCP/IP)
IP-PaketeDie einzelnen IP-Datenpakete enthalten also die eigentliche Information (Nutzdaten), einen Nachspann mit Prüfziffern und einen Vorspann, den Header. Im Header steht, von wo nach wohin das Datenpaket geschickt werden soll – zu welchem Rechner und dort an welchen Dienst (Mailserver, Webserver, …)
Zielport-nummer beim Empfänger
Quellportdes Senders
IP-Quelladresse des sendenden
ComputersNutzdaten
Weitere Informationen
Fehlerprüfung, etc
Zieladresse d. empfangenden
Computers
Header
192.168.1.17 192.168.1.18 192.168.1.25 192.168.1.34
Internetserver Schule
FirewallTSN
Webserver xy
192.168.1.254
10.67.132.144
Statische NAT-Tabelle10.67.132.144 193.170.198.1410.65.112.144 193.170.198.4710.69.13.144 193.170.198.55….
Masquerading (PAT) und NAT im TSN
QA…Quelladresse, ZA…Zieladresse, QP…Quellport, ZP…Zielport
QA ZA QP ZP192.168.1.17 xy 4311 80
PAT-Tabelle InternetserverQA QP QP-neu
Statische NAT-Tabelle10.67.132.144 193.170.198.1410.65.112.144 193.170.198.4710.69.13.144 193.170.198.55….
Der Weg eines IP-Paketes von einer Workstation zu einem Server im Internet am Bei-spiel einer Web-serveranfrage:
192.168.1.17 192.168.1.18 192.168.1.25 192.168.1.34
Internetserver Schule
FirewallTSN
Webserver xy
192.168.1.254
10.67.132.144
Statische NAT-Tabelle10.67.132.144 193.170.198.1410.65.112.144 193.170.198.4710.69.13.144 193.170.198.55….
Masquerading (PAT) und NAT im TSN
QA…Quelladresse, ZA…Zieladresse, QP…Quellport, ZP…Zielport
QA ZA QP ZP192.168.1.17 xy 4311 80
PAT-Tabelle InternetserverQA QP QP-neu
Statische NAT-Tabelle10.67.132.144 193.170.198.1410.65.112.144 193.170.198.4710.69.13.144 193.170.198.55….
Der Client setzt eine Anfrage an den Webserver xy ab.
192.168.1.17 192.168.1.18 192.168.1.25 192.168.1.34
Internetserver Schule
FirewallTSN
Webserver xy
192.168.1.254
10.67.132.144
Statische NAT-Tabelle10.67.132.144 193.170.198.1410.65.112.144 193.170.198.4710.69.13.144 193.170.198.55….
Masquerading (PAT) und NAT im TSN
QA…Quelladresse, ZA…Zieladresse, QP…Quellport, ZP…Zielport
PAT-Tabelle InternetserverQA QP QP-neu
Der Internetserver merkt sich QA und QP …QA ZA QP ZP
192.168.1.17 xy 4311 80
192.168.1.17 192.168.1.18 192.168.1.25 192.168.1.34
Internetserver Schule
FirewallTSN
Webserver xy
192.168.1.254
10.67.132.144
Statische NAT-Tabelle10.67.132.144 193.170.198.1410.65.112.144 193.170.198.4710.69.13.144 193.170.198.55….
Masquerading (PAT) und NAT im TSN
QA…Quelladresse, ZA…Zieladresse, QP…Quellport, ZP…Zielport
PAT-Tabelle InternetserverQA QP QP-neu
Der Internetserver merkt sich QA und QP …QA ZA QP ZP
192.168.1.17 xy 4311 80
192.168.1.17 192.168.1.18 192.168.1.25 192.168.1.34
Internetserver Schule
FirewallTSN
Webserver xy
192.168.1.254
10.67.132.144
Statische NAT-Tabelle10.67.132.144 193.170.198.1410.65.112.144 193.170.198.4710.69.13.144 193.170.198.55….
Masquerading (PAT) und NAT im TSN
QA…Quelladresse, ZA…Zieladresse, QP…Quellport, ZP…Zielport
PAT-Tabelle InternetserverQA QP QP-neu192.168.1.17 4311
QA ZA QP ZP xy 80
Der Internetserver merkt sich QA und QP …
192.168.1.17 192.168.1.18 192.168.1.25 192.168.1.34
Internetserver Schule
FirewallTSN
Webserver xy
192.168.1.254
10.67.132.144
Statische NAT-Tabelle10.67.132.144 193.170.198.1410.65.112.144 193.170.198.4710.69.13.144 193.170.198.55….
Masquerading (PAT) und NAT im TSN
QA…Quelladresse, ZA…Zieladresse, QP…Quellport, ZP…Zielport
PAT-Tabelle InternetserverQA QP QP-neu192.168.1.17 4311
… und vergibt einen neuen QP, über den er den Absender später wieder erkennt (Umsetzung 1:n möglich).
QA ZA QP ZP xy 80
192.168.1.17 192.168.1.18 192.168.1.25 192.168.1.34
Internetserver Schule
FirewallTSN
Webserver xy
192.168.1.254
10.67.132.144
Statische NAT-Tabelle10.67.132.144 193.170.198.1410.65.112.144 193.170.198.4710.69.13.144 193.170.198.55….
Masquerading (PAT) und NAT im TSN
QA…Quelladresse, ZA…Zieladresse, QP…Quellport, ZP…Zielport
PAT-Tabelle InternetserverQA QP QP-neu192.168.1.17 4311 9944
… und vergibt einen neuen QP, über den er den Absender später wieder erkennt (Umsetzung 1:n möglich).
QA ZA QP ZP xy 80
192.168.1.17 192.168.1.18 192.168.1.25 192.168.1.34
Internetserver Schule
FirewallTSN
Webserver xy
192.168.1.254
10.67.132.144
Statische NAT-Tabelle10.67.132.144 193.170.198.1410.65.112.144 193.170.198.4710.69.13.144 193.170.198.55….
Masquerading (PAT) und NAT im TSN
QA…Quelladresse, ZA…Zieladresse, QP…Quellport, ZP…Zielport
PAT-Tabelle InternetserverQA QP QP-neu192.168.1.17 4311 9944
Der neue QP und die ip des Inter-netservers wer-den in das Daten-paket eingesetzt, …
QA ZA QP ZP xy 80
192.168.1.17 192.168.1.18 192.168.1.25 192.168.1.34
Internetserver Schule
FirewallTSN
Webserver xy
192.168.1.254
10.67.132.144
Statische NAT-Tabelle10.67.132.144 193.170.198.1410.65.112.144 193.170.198.4710.69.13.144 193.170.198.55….
Masquerading (PAT) und NAT im TSN
QA…Quelladresse, ZA…Zieladresse, QP…Quellport, ZP…Zielport
PAT-Tabelle InternetserverQA QP QP-neu192.168.1.17 4311 9944
Der neue QP und die ip des Inter-netservers wer-den in das Daten-paket eingesetzt, …
QA ZA QP ZP10.67.132.144 xy 9944 80
192.168.1.17 192.168.1.18 192.168.1.25 192.168.1.34
Internetserver Schule
FirewallTSN
Webserver xy
192.168.1.254
10.67.132.144
Statische NAT-Tabelle10.67.132.144 193.170.198.1410.65.112.144 193.170.198.4710.69.13.144 193.170.198.55….
Masquerading (PAT) und NAT im TSN
QA…Quelladresse, ZA…Zieladresse, QP…Quellport, ZP…Zielport
QA ZA QP ZP10.67.132.144 xy 9944 80
PAT-Tabelle InternetserverQA QP QP-neu192.168.1.17 4311 9944
… das Paket wird weiter geschickt.
192.168.1.17 192.168.1.18 192.168.1.25 192.168.1.34
Internetserver Schule
FirewallTSN
Webserver xy
192.168.1.254
10.67.132.144
Statische NAT-Tabelle10.67.132.144 193.170.198.1410.65.112.144 193.170.198.4710.69.13.144 193.170.198.55….
Masquerading (PAT) und NAT im TSN
QA…Quelladresse, ZA…Zieladresse, QP…Quellport, ZP…Zielport
QA ZA QP ZP10.67.132.144 xy 9944 80PAT-Tabelle Internetserver
QA QP QP-neu192.168.1.17 4311 9944
An der zentralen Firewall wird eine händisch gepflegte Tabelle geführt.
192.168.1.17 192.168.1.18 192.168.1.25 192.168.1.34
Internetserver Schule
FirewallTSN
Webserver xy
192.168.1.254
10.67.132.144
Statische NAT-Tabelle10.67.132.144 193.170.198.1410.65.112.144 193.170.198.4710.69.13.144 193.170.198.55….
Masquerading (PAT) und NAT im TSN
QA…Quelladresse, ZA…Zieladresse, QP…Quellport, ZP…Zielport
QA ZA QP ZP10.67.132.144 xy 9944 80PAT-Tabelle Internetserver
QA QP QP-neu192.168.1.17 4311 9944
Die QA wird entfernt und durch die entsprechende ip aus der Tabelle ersetzt (Umsetzung 1:1).
192.168.1.17 192.168.1.18 192.168.1.25 192.168.1.34
Internetserver Schule
FirewallTSN
Webserver xy
192.168.1.254
10.67.132.144
Statische NAT-Tabelle10.67.132.144 193.170.198.1410.65.112.144 193.170.198.4710.69.13.144 193.170.198.55….
Masquerading (PAT) und NAT im TSN
QA…Quelladresse, ZA…Zieladresse, QP…Quellport, ZP…Zielport
PAT-Tabelle InternetserverQA QP QP-neu192.168.1.17 4311 9944
Die QA wird entfernt und durch die entsprechende ip aus der Tabelle ersetzt (Umsetzung 1:1).
QA ZA QP ZP xy 9944 80
192.168.1.17 192.168.1.18 192.168.1.25 192.168.1.34
Internetserver Schule
FirewallTSN
Webserver xy
192.168.1.254
10.67.132.144
Statische NAT-Tabelle10.67.132.144 193.170.198.1410.65.112.144 193.170.198.4710.69.13.144 193.170.198.55….
Masquerading (PAT) und NAT im TSN
QA…Quelladresse, ZA…Zieladresse, QP…Quellport, ZP…Zielport
PAT-Tabelle InternetserverQA QP QP-neu192.168.1.17 4311 9944
Die QA wird entfernt und durch die entsprechende ip aus der Tabelle ersetzt (Umsetzung 1:1).
QA ZA QP ZP193.170.198.14xy 9944 80
192.168.1.17 192.168.1.18 192.168.1.25 192.168.1.34
Internetserver Schule
FirewallTSN
Webserver xy
192.168.1.254
10.67.132.144
Statische NAT-Tabelle10.67.132.144 193.170.198.1410.65.112.144 193.170.198.4710.69.13.144 193.170.198.55….
Masquerading (PAT) und NAT im TSN
QA…Quelladresse, ZA…Zieladresse, QP…Quellport, ZP…Zielport
PAT-Tabelle InternetserverQA QP QP-neu192.168.1.17 4311 9944
QA ZA QP ZP193.170.198.14xy 9944 80
Anschließend wird das Paket weitergeleitet.
192.168.1.17 192.168.1.18 192.168.1.25 192.168.1.34
Internetserver Schule
FirewallTSN
Webserver xy
192.168.1.254
10.67.132.144
Statische NAT-Tabelle10.67.132.144 193.170.198.1410.65.112.144 193.170.198.4710.69.13.144 193.170.198.55….
Masquerading (PAT) und NAT im TSN
QA…Quelladresse, ZA…Zieladresse, QP…Quellport, ZP…Zielport
PAT-Tabelle InternetserverQA QP QP-neu192.168.1.17 4311 9944
Der Server xy antwortet, indem er QA mit ZA sowie QP mit ZP vertauscht …
QA ZA QP ZP193.170.198.14xy 9944 80
192.168.1.17 192.168.1.18 192.168.1.25 192.168.1.34
Internetserver Schule
FirewallTSN
Webserver xy
192.168.1.254
10.67.132.144
Statische NAT-Tabelle10.67.132.144 193.170.198.1410.65.112.144 193.170.198.4710.69.13.144 193.170.198.55….
Masquerading (PAT) und NAT im TSN
QA…Quelladresse, ZA…Zieladresse, QP…Quellport, ZP…Zielport
PAT-Tabelle InternetserverQA QP QP-neu192.168.1.17 4311 9944
Der Server xy antwortet, indem er QA mit ZA sowie QP mit ZP vertauscht …
QA ZA QP ZPxy 193.170.198.14 80 9944
192.168.1.17 192.168.1.18 192.168.1.25 192.168.1.34
Internetserver Schule
FirewallTSN
Webserver xy
192.168.1.254
10.67.132.144
Statische NAT-Tabelle10.67.132.144 193.170.198.1410.65.112.144 193.170.198.4710.69.13.144 193.170.198.55….
Masquerading (PAT) und NAT im TSN
QA…Quelladresse, ZA…Zieladresse, QP…Quellport, ZP…Zielport
PAT-Tabelle InternetserverQA QP QP-neu192.168.1.17 4311 9944
QA ZA QP ZPxy 193.170.198.14 80 9944
… und so das Paket mit der Antwort zurückschickt.
192.168.1.17 192.168.1.18 192.168.1.25 192.168.1.34
Internetserver Schule
FirewallTSN
Webserver xy
192.168.1.254
10.67.132.144
Statische NAT-Tabelle10.67.132.144 193.170.198.1410.65.112.144 193.170.198.4710.69.13.144 193.170.198.55….
Masquerading (PAT) und NAT im TSN
QA…Quelladresse, ZA…Zieladresse, QP…Quellport, ZP…Zielport
PAT-Tabelle InternetserverQA QP QP-neu192.168.1.17 4311 9944
Die zentrale Firewall tauscht laut Tabelle die ZA aus (1:1) …
QA ZA QP ZPxy 193.170.198.14 80 9944
192.168.1.17 192.168.1.18 192.168.1.25 192.168.1.34
Internetserver Schule
FirewallTSN
Webserver xy
192.168.1.254
10.67.132.144
Statische NAT-Tabelle10.67.132.144 193.170.198.1410.65.112.144 193.170.198.4710.69.13.144 193.170.198.55….
Masquerading (PAT) und NAT im TSN
QA…Quelladresse, ZA…Zieladresse, QP…Quellport, ZP…Zielport
PAT-Tabelle InternetserverQA QP QP-neu192.168.1.17 4311 9944
Die zentrale Firewall tauscht laut Tabelle die ZA aus (1:1) …
QA ZA QP ZPxy 10.67.132.144 80 9944
192.168.1.17 192.168.1.18 192.168.1.25 192.168.1.34
Internetserver Schule
FirewallTSN
Webserver xy
192.168.1.254
10.67.132.144
Statische NAT-Tabelle10.67.132.144 193.170.198.1410.65.112.144 193.170.198.4710.69.13.144 193.170.198.55….
Masquerading (PAT) und NAT im TSN
QA…Quelladresse, ZA…Zieladresse, QP…Quellport, ZP…Zielport
PAT-Tabelle InternetserverQA QP QP-neu192.168.1.17 4311 9944
QA ZA QP ZPxy 10.67.132.144 80 9944
… und schickt das Paket weiter.
192.168.1.17 192.168.1.18 192.168.1.25 192.168.1.34
Internetserver Schule
FirewallTSN
Webserver xy
192.168.1.254
10.67.132.144
Statische NAT-Tabelle10.67.132.144 193.170.198.1410.65.112.144 193.170.198.4710.69.13.144 193.170.198.55….
Masquerading (PAT) und NAT im TSN
QA…Quelladresse, ZA…Zieladresse, QP…Quellport, ZP…Zielport
PAT-Tabelle InternetserverQA QP QP-neu192.168.1.17 4311 9944
Der Internet-server erkennt am ZP in seiner Tabelle, welcher PC das Paket bekommen muss (1:n).
QA ZA QP ZPxy 10.67.132.144 80 9944
192.168.1.17 192.168.1.18 192.168.1.25 192.168.1.34
Internetserver Schule
FirewallTSN
Webserver xy
192.168.1.254
10.67.132.144
Statische NAT-Tabelle10.67.132.144 193.170.198.1410.65.112.144 193.170.198.4710.69.13.144 193.170.198.55….
Masquerading (PAT) und NAT im TSN
QA…Quelladresse, ZA…Zieladresse, QP…Quellport, ZP…Zielport
PAT-Tabelle InternetserverQA QP QP-neu192.168.1.17 4311 9944
Der Internet-server erkennt am ZP in seiner Tabelle, welcher PC das Paket bekommen muss (1:n).
QA ZA QP ZPxy 192.168.1.17 80 4311