www.brix.de - Hauptseite SVHS IK-Einstiegsseite IK-Skript |
Stand: 2010-11-02 |
In diesem Beispiel wird ein IP-Paket ausgehend von einem Client (ein Browser) im LAN begleitet. Das Paket gelangt zum Router, von dort zum Web-Server. Es wird beantwortet und gelangt über den Router schließlich zurück zum Client.
ein Client im (privaten) LAN: 10.10.5.187
ein NAT-Router - (private) LAN-IP: 10.10.5.254 - WAN-IP: 79.198.139.152
ein Web-Server: 193.99.144.85 (www.heise.de)
Die Nutzdaten werden vom Browser generiert, DNS hat für die IP-Adresse des Zieles gesorgt (weil der Benutzer einen Namen eingetippt hatte) und IP packt das Paket.
An: | 193.99.144.85 | : | 80 | TCP-Nutzdaten: eine HTTP-Anfrage "Gib mir die Startseite deines Web-Angebotes!" |
Von: | 10.10.5.187 | : | 22433 | |
IP-Paket |
Dieses Paket kommt per Ethernet (nachdem ARP ausgeführt wurde) beim Router des LANs (10.10.5.254) an.
Der Router erkennt, dass es sich beim Absender um eine private IP-Adresse handelt, die im Internet nicht benutzt werden darf. Er manipuliert daher das Paket und setzt seine eigene WAN-Adresse als Absender-Adresse ein.
An: | 193.99.144.85 | : | 80 | TCP-Nutzdaten: eine HTTP-Anfrage "Gib mir die Startseite deines Web-Angebotes!" |
Von: | 10.10.5.187 | : | 22433 | |
IP-Paket |
Manipulation an der Absender-Adresse.
Vorher: (private) LAN-IP des Client.
Nachher: WAN-IP des Routers.
An: | 193.99.144.85 | : | 80 | TCP-Nutzdaten: eine HTTP-Anfrage "Gib mir die Startseite deines Web-Angebotes!" |
Von: | 79.198.139.152 | : | 61001 | |
IP-Paket |
Allerdings merkt sich der Router die durchgeführte Manipulation in der so genannten NAT-Tabelle, damit er bei der Antwort auf dieses Paket die Manipulation rückgängig machen kann, um das Paket im privaten LAN zustellen zu können. Der Schlüssel für die NAT-Tabelle ist die Port-Nummer des ausgehenden Paketes!
globaler Port ---> [LAN-IP eines Rechners]:lokaler Port ------------------------------------------------------- 61001 ---> 10.10.5.187 : 22433
Der Router hat das manipulierte Paket in das Internet vermittelt und dort wurde es (über andere Router) bis zum Ziel, dem Web-Server weitergeleitet. - Der Web-Server packt das Antwort-Paket und geht völlig automatisiert vor und trägt die Absender-Adresse samt Port (also den "Socket") als Adressat in das Antwort-Paket ein.
Das Antwort-Paket kommt schließlich am NAT-Router an, der ja das Frage-Paket abgeschickt hatte.
An: | 79.198.139.152 | : | 61001 | TCP-Nutzdaten: eine HTTP-Antwort "Hier ist die Startseite (HTML-Text) des Web-Angebotes!" |
Von: | 193.99.144.85 | : | 44655 | |
IP-Paket |
Das Paket kommt am NAT-Router an und dieser überprüft, ob es einen Eintrag mit der Port-Nummer des Paketes in seiner NAT-Tabelle gibt. Dabei werden die automatischen, die manuellen und die automatischen manuellen Einträge überprüft. Im Falle dieses Beispieles findet der Router den automatischen Eintrag und macht dadurch die Manipulation rückgängig.
Danach wird der automatische Eintrag in der NAT-Tabelle wieder gelöscht und die Port-Nummer steht für einen weiteren Manipulationsvorgang, der dann zu einem erneuten (aber durchaus anderen) Eintrag in die NAT-Tabelle führt, zur Verfügung.
An: | 79.198.139.152 | : | 61001 | TCP-Nutzdaten: eine HTTP-Antwort "Hier ist die Startseite (HTML-Text) des Web-Angebotes!" |
Von: | 193.99.144.85 | : | 44655 | |
IP-Paket |
Manipulation an der Adresse des Adressaten
Vorher: WAN-IP des Routers.
Nachher: (private) LAN-IP des Client.
An: | 10.10.5.187 | : | 22433 | TCP-Nutzdaten: eine HTTP-Antwort "Hier ist die Startseite (HTML-Text) des Web-Angebotes!" |
Von: | 193.99.144.85 | : | 44655 | |
IP-Paket |
Endlich verlässt das Paket den Router in das LAN zum Client, der aus seiner Sicht vom ganzen NAT-Vorgang nichts mitbekommen konnte. Der Client hat den Eindruck, dass das Paket direkt vom Web-Server kommt.
An: | 10.10.5.187 | : | 22433 | TCP-Nutzdaten: eine HTTP-Antwort "Hier ist die Startseite (HTML-Text) des Web-Angebotes!" |
Von: | 193.99.144.85 | : | 44655 | |
IP-Paket |
Was macht |