Gourt Home::Gourt :: Masquerading
Adressmaskierung oder englisch Masquerading, auch PAT (Port Address Translation) oder NAPT (Network Address Port Translation – Bezeichnung die im RFC 3022 verwendet wird), ist eine Technik, die in Computernetzwerken verwendet wird. Sie ist eine spezielle Form von NAT und wird zumeist verwendet, um mehreren Computern in einem Local Area Network Zugriff auf das Internet zu ermöglichen. Dabei werden im Gegensatz zu NAT nicht nur die IP-Adressen, sondern auch Port-Nummern umgeschrieben.
Beispiel
Angenommen für das lokale Netz 192.168.0.0/24 steht die öffentliche IP-Adresse 205.0.0.2 zur Verfügung.
Ausgehende Pakete (LAN → WAN)
| lokales Netz (LAN) | öffentliches Netz (WAN) | |||
| Quell IP:Port | Ziel IP:Port | Router ===> Masquerading | Quell IP:Port | Ziel IP:Port |
|---|---|---|---|---|
| 192.168.0.2:5000 | 170.0.0.1:80 | 205.0.0.2:6000 | 170.0.0.1:80 | |
| 192.168.0.3:5000 | 170.0.0.1:80 | 205.0.0.2:6001 | 170.0.0.1:80 | |
| 192.168.0.5:5001 | 170.0.0.1:80 | 205.0.0.2:6002 | 170.0.0.1:80 |
Die Quell-IP-Adressen werden durch die (einzige) öffentliche IP-Adresse ersetzt. Die internen Port-Nummern werden durch eindeutige öffentliche Port-Nummern ersetzt. Mittels einer Tabelle merkt sich der Router jeweils die interne Quell-IP-Adresse samt Port-Nummer und die öffentliche Port-Nummer des ausgehenden Pakets:
Eingehende Pakete (LAN ← WAN)
| lokales Netz (LAN) | öffentliches Netz (WAN) | |||
| Quell IP:Port | Ziel IP:Port | Router <=== Masquerading | Quell IP:Port | Ziel IP:Port |
|---|---|---|---|---|
| 170.0.0.1:80 | 192.168.0.2:5000 | 170.0.0.1:80 | 205.0.0.2:6000 | |
| 170.0.0.1:80 | 192.168.0.3:5000 | 170.0.0.1:80 | 205.0.0.2:6001 | |
| 170.0.0.1:80 | 192.168.0.5:5001 | 170.0.0.1:80 | 205.0.0.2:6002 |
Bei eingehenden Paketen kann anhand der Port-Nummer der Ziel-IP und des Tabelleneintrags (connection tracking) festgestellt werden, welcher Computer die Pakete angefordert hatte (hier: 192.168.0.2, 192.168.0.3 und 192.168.0.5). Der Router kann dadurch die Ziel-IP durch die ursprüngliche Quell-IP 192.168.0.2, 192.168.0.3 bzw. 192.168.0.5 und die öffentliche Port-Nummer durch die ursprüngliche interne Port-Nummer austauschen.
Da hier jede IP-Adresse zu einer einzigen IP-Adresse übersetzt wird, spricht man von einer N:1-Übersetzung. Werden mehrere IP-Adressen zu weniger IP-Adressen abgebildet, handelt es sich um eine N:M-Übersetzung.
Masquerading hat den Nachteil, dass Computer des lokalen Netzes außerhalb von diesem nicht als Server dienen können, da externe Computer keine Verbindung zu ihnen aufbauen können. Um diesem Problem Abhilfe zu verschaffen, wurde Port Forwarding entwickelt.
Masquerading und Sicherheit
Maskierte Rechner haben freien Internetzugang. In Firmennetzen wird man Masquerading nur dann verwenden, wenn man Internetanwendungen benötigt, die anders nicht zu erreichen sind. In solchen Fällen sollte man das Masquerading aber unbedingt an IP-Adressen und Ports binden, um anderweitigen Missbrauch – für den man ja mitverantwortlich ist – zu vermeiden.
Siehe auch
Weblinks
- RFC 3022 – Traditional IP Network Address Translator (Traditional NAT)
- Animiertes Beispiel (Flash)
"Masquerading"