Frage zu OSI

[stefan1977 10]

Kann mir jemand weiterhelfen?

 

Frage 1:

Auf welcher TCP/IP Schicht erfolgt die virtuelle Kommunikation zwischen dem Firewall und dem FTP Server?

 

Frage2:

Auf welcher TCP/IP-Schicht führt der ADSL Router die NAT aus?

 

Vielen Dank für eure Antworten

[herpil 10]

Zu:

> Frage2:

>Auf welcher TCP/IP-Schicht führt der ADSL Router die NAT aus?

Da die meisten ADSL Router kein NAT sondern PAT (Port Adress Translation) machen würde ich sagen Layer4 IP

[Kolath 10]

also frage 1 müsstest du nochmal erläutern, da kann ich dir nicht folgen

[stefan1977 10]

Die beiden Fragen sind ein Bestandteil eines Test von einem Informatikerlehrling. Ich kann leider auch nicht mehr dazu sagen.

[Wolke2k4 11]

Frage2:

Auf welcher TCP/IP-Schicht führt der ADSL Router die NAT aus?

 

Layer 3

[stefan1977 10]

Frage 2: Schicht 3 oder Schicht 4?

[Hr_Rossi 10]

hallo

 

Also NAT spielt sich defintiv am layer 3 ab !

Nat macht nichts anders indem es im IP-Header die Source Adresse von privat auf eine öffentliche umtauscht in der Regel in verbindung mit PAT !

 

lg

rossi

 

edit: Wenn es NAT nicht gebe hätten wir schon längst IPv6 und dann wäre einiges mit IPSec leichter :D

[Wurstbläser 10]

mein Senf dazu:

 

Frage 1: Layer 3 sofern statisches NAT, oder 1:1 übersetzt wird. Beim NAT overload (die wohl häufigste NAT Implementierung) kommt definitiv der Layer 4 hinzu. Vielfach läuft das auch auch unter PAT - wobei CISCO häufig eine andere Funktion darunter versteht ... oder sogar Layer 3-7 (wobei OSI 5-7 = TCP/IP 4)

 

Frage 2: was ist denn bloß eine virtuelle Kommunikation? und was hat der FTP mit der Firewall zubesprechen - also die Frage ist ja echt daneben...

 

Ich würde aber vorschlagen, das heute übliche statefull Firewalls mindestens bis in den Layer 4 schauen - ohne in die Anwendungsschicht zu gucken gehts aber sicher auch nicht lange gut (Netscrenn von Juniper, Checkpoint soweit ich weiß, Cisco nutzt dafür sein IDS).

Selbst NAT greift z.B. in der CISCO Implementierung noch in die Anwendungsschicht ein da viele Anwendungsprotokolle Ihre IP in der Anwendungsschicht mitschicken - DNS wäre ein gutes Beispiel. Also wieder eine gute Gelegenheit an der Frage rumzumäkeln. :)

 

Gruss

Robert

 

(-> geändert wg Rechtschreibfehler)

[Hr_Rossi 10]

hallo

 

also ich hab das pat eigentlich so verstanden...

du machst nat ok wenn du mehr als einen host hast muss man da irgendwie differenzieren

man macht das indem versch. quell ports mitgesendet werden

z.b:

 

rechner 1. sendet auf dest. 80 eine anforerung source port ist beliebig jedoch +1024 !

rechner 2 sendet auf dest. 80 eine anforderung source port ist beliebig jedoch +1024 und nicht der belegte source port von rechner 1 !

somit schicken die destination adressen sicherlich mit dem ziel der source portes weg und erreichen so ihr ziel, dies ist das geheimiss von pat oder "nat overload" !

 

welchen layer sich das abspielt hmm; also ich würde sagen NAT im layer 3 und PAT im layer 4 !!

 

irre ich mich oder stimmt das so !??

 

lg

rossi

[Wurstbläser 10]

... je genau so sollte das sein.

 

CISCO versteht unter PAT allerdings auch ein direktes Port-Mapping. Soll soll ein Admin z.B. in der Lage sein, z.B. über eine öffentlcihe IP 20.1.1.20 und deren Port 3390 bis 3395 jeweil 6 verschiedene Hosts alle auf deren IP z.B. 10.1.1.20 bis 25 und denselben Port auf jedem dieser Hosts, z.B. 3390 zu erreichen. In diesem Sinne übersetzte NAT IP+Source, PAT übersetzt TCP+Destination.

 

Bin gerade gestern über diese Definition gestolpert - vielfach wird PAT aber als NAT overload verkauft - in den CISCO Prüfungen wäre dies aber falsch ....

 

Gruss

Robert