Firewall, NAT, Proxy

hobby

hobby

#man women
Ich habe nur mal eine grundsätzliche verständnisfrage....

Eine Firewall kontrolliert den Ein- und Ausgang von Pakten, anhand deren Ports bzw Header...
Álso ganz simpel gesagt, entscheidet sie nur, ob Paket annehmen und weiterleiten oder ablehnen mit (IMCP) oder ohne begründung/hinweis.


NAT: Stellt die verbindung zwischen einer eigenen WAN IP und dem LAN her, damit ich diese WAN IP im LAN nutzen kann. Des Weiteren leitet es die Pakete von der FW ans LAN bzw an den proxy weiter...

Proxy: Checkt bei Anfrage, ob die Anfrage erlaubt ist von dem user (authentifizierung..) und schaut dann, ob diese information schon in noch aktueller form gecached ist...
Des Weiteren zustädnig dafür, um bestimmte dienste zu sperren....
filtermöglichkeit nach port, paket header, mac, ip usw....



ist das richtig so???

aber eine frage: wofür brauche ich genau NAT, können die pakete nicht direkt von der FW zum Proxy?

ich würde nur gerne ein kurzes feedback, danke :D
 
was du bei "Firewall" beschreibst, gehoert zu "Paketfilter".

"Firewall" bezeichnet das alles zusammen, Paketfilter, NAT, Masquerading, Proxy, etc...

auf bald
oenone
 
hobby schrieb:
Eine Firewall kontrolliert den Ein- und Ausgang von Pakten, anhand deren Ports bzw Header...
Zum Vergrößern anklicken....
Nicht ganz, es ist ein wenig größer. Allgmein kannst du eine Firewall als ein ganzes System betrachen, welches den Datenverkehr kontolliert. Dazu gehören nicht nur Kontrolle nach Absender und Zielport / -ip, sondern es können auch Proxies in dem System vorhanden sein etc. Gehst fu nur nach IP und Ports, dass ist das überwiegend der job einen Paketfilters.
Also ganz simpel gesagt, entscheidet sie nur, ob Paket annehmen und weiterleiten oder ablehnen mit (IMCP) oder ohne begründung/hinweis.
Zum Vergrößern anklicken....
Ja, und das tut sie nach Untersuchung / Vorgaben verschiedenster Art.

NAT: Stellt die verbindung zwischen einer eigenen WAN IP und dem LAN her, damit ich diese WAN IP im LAN nutzen kann. Des Weiteren leitet es die Pakete von der FW ans LAN bzw an den proxy weiter...
Zum Vergrößern anklicken....
So kann man es ausdrücken. NAT ersetzt quasi nur die Absenderadresse eines internen Clients mit einer anderen. In unseren Fällen ist das wohl meist die öffentliche IP des Internet-Devices. Warum? Interne IPs habe nichts im öffentlichen Internet zu suchen. Da wir aber nur eine öffentliche Adresse haben kann nicht jeder seine eigene bekommen. Also "übersetzt" NAT das für uns in beide Richtungen.

Proxy: Checkt bei Anfrage, ob die Anfrage erlaubt ist von dem user (authentifizierung..) und schaut dann, ob diese information schon in noch aktueller form gecached ist...
Zum Vergrößern anklicken....
Ja. Das mit der Auth. ist einer der Kernvorteile eines Proxies. Dies können diese, da ein Proxy meist viel besser auf die jeweiligen Protokolle abgestimmt. Daher kann man damit auch "reingucken" in der Transfer und danach filtern. Z.B. könntest du so bei http sagen, wenn da gewisse Dinge im Inhalt der Seite sind, dann blocken. Dazu muß dir aber jemand anderes mehr sagen -> Proxies habe ich selber noch nie genutzt.

aber eine frage: wofür brauche ich genau NAT, können die pakete nicht direkt von der FW zum Proxy?
Zum Vergrößern anklicken....
Mmh, können sie, ja. Aber das hängt erst einmal von deinem Aufbau da. Wofür du es brauchst... s.o.

I.MC
 
@ I.MC erstmal danke für deine mühe!
dann lag ich ja prinzipiell schonma net weg vom schlag ;)

meine frage zielte auch auf NAT oder nicht NAT (am ende) ab..wollte aber weiter ausholen; nicht das ich einen Verständnisfehler habe oder dergleichen.

ich möchte daheim einfach nur meinen fbsd als router mit proxy fungieren lanssen...

ich habe sowieso vor, gleich IPFW2 (ist die jetzt eigentlich schon standart bei 5.3 RC1? in der man page steht nur bei current...) in verbindung mit squid einzusetzen...

meine frage ist bloß, brauch ich die forward rules für NAT oder kann ich das über squid machen???
 
hobby schrieb:
meine frage ist bloß, brauch ich die forward rules für NAT oder kann ich das über squid machen???
Zum Vergrößern anklicken....
Ich DENKE, dass der Squid das alleine kann, kenne mich real mit Proxies aber nicht aus! Jedoch würde ich trotzdem auch einen Paketfilter nutzen, da diese beiden Dinge sich einfach sehr gut ergänzen und nicht eines davon die Funktion des anderen ersetzen sollte. OB IPFW2 nun Standard ist, weiss ich nicht.

Gruß, I.MC
 
Hmm,

Ein Proxy wird hauptsächlich eingesetzt, wenn wiederkehrende Anfragen stattfinden oder
dient zur Verschleierung der Clients. Da er die im aufgetragene Anfrage selbst erledigt und
dies dann wieder zu seinem Auftraggeber weiterleitet, kann er die Ergebnisse zwischenspeichern
und bei erneuter Anfrage direkt aus seinem localen Cache holen ohne Verbindung ins I-Net.

Hierbei bleit der tatsächliche Empfanger gegenüber dem Server unbekannt, da ja der Proy
die gesammt Abwicklung an seiner stelle erledigt.

Squid kann AFAIR nur http/https/dns/ftp !?
D.h du musst für andere Dienste entweder eine weiteren Proxy installieren oder
den Clients zugriff über NAT erlauben.

Desweiteren kommt Konfigurationsaufwand bei den einzelnen Stationen hinzu (oder mit ein
bischen Mehraufwand an dem Paketfilter ein transparener Proxy).

Eine Mischung aus Beidem ist wohl das Richtige, je nach Anforderung.
 
nunja, ich wollte ja so oder so IPFW2 mit transparentem squid betreiben...

mir ginge es nur einzig und allein darum, ob ich dann KEIN NAT brauche und wie ich dann den squid speziell zu füttern habe...

:D


@ unlink:

http(s), dns, ftp

ja, aber was brauch denn noch mehr an diensten? ssh ... aber ansonsten...

aber so dinge wie irc, icq usw kann ich ja trotzdem.
 
> aber so dinge wie irc, icq usw kann ich ja trotzdem.

Wie ohne NAT/Proxy? (Ich geh mal davon aus, du hast du 1 öffentliche IP).
 
naja wenn ich die ports der applikationen weiß, kann ich sie ja über die IPFW freigeben...

ist ja auch egal..ich werd einfach mit den forward rules über IPFW2 das ganze regeln...
;D
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben