zustandsgesteuerten Filterung (also mit Stateful Packet Inspection)?

Bei der zustandsgesteuerten Filterung (also mit Stateful Packet Inspection) kann der Zustand der Verbindung in das Regelwerk mit einbezogen werden:

• Quelle A darf Pakete an Ziel B mit Zielport 443 senden, wenn sie zu einer neuen oder zu einer bestehenden Verbindung gehören.
• Quelle B darf nur Pakete an Ziel A senden, wenn sie zu einer bestehenden Verbindung gehören.

wenn nun Source NAT durchgeführt wird, quellport und quell ip ändert sich, worauf bezieht sich nun zustandsgesteuerten Filterung bezüglich quellport und quell ip, vor nat, lokaler rechner oder nach nat.

bitte genau lesen, was ich möchte, ihr solltet schon gutes wissen haben, um mir diese frage zu beantworten,

Answer 1

[Sparrow75]

Das bezieht sich auf die tatsächliche source ip und nicht auf die genattete ip.

Answer 2

[Thomasg]

Das lässt sich nicht so pauschal sagen aus den dünnen Informationen, die du lieferst.

Wenn das NAT ausserhalb der Firewall durchgeführt wird, bevor das Paket die Firewall erreicht, muss natürlich die NAT IP in den Firewallregeln verwendet werden.

wenn das NAT ausserhalb der Firewall passiert, nachdem das Paket durch die Firewall gelaufen ist, dann muss natürlich die reale Quell IP verwendet werden.

Wenn das NAT in der Firewall selbst passiert, dann hängt es von der Firewall ab, ob die Firewall Regeln vor oder nach dem NAT ausgewertet werden. Dazu musst du dann die Doku der jeweiligen Firewall Lösung konsultieren.

Hier ist es zum Beispiel für iptables beschrieben: https://gist.github.com/nerdalert/a1687ae4da1cc44a437d

Woher ich das weiß: Berufserfahrung – Seit langer Zeit als Systemadministrator tätig

Answer 3

[norbertk62]

Ich komm nicht ganz dahinter, welche Antwort du suchst. Ich versuch mal:

das Paket wird transportiert im Quellnetz, geht via Firewall ins Internet - wieder Transport und Firewall und dein Netz. Dazu brauchst du erst mal den NAT-Mechanismus, weil Quell- und Zielmaschine hinter Firewalls stehen. Das ist die Ebene mit der Adressierung auf IP-Basis

Jetzt ist also ein Paket fehlerfrei von Quelle nach Ziel geflutscht. damit dir Zuordnung der Ports richtig gestellt wird, brauchst du PAT - also Quelle:quellport sendet nach Ziel:443 - damit das Paket zwischen den Ports der Firewall und dem Zielordner richtig zugewiesen wird, hast du das PAT. Das ist die TCP-Basis (noch nichts weiter). 

Als nächstes brauchst du aber nicht nur das Paket, das durchläuft, sondern du willst ja eine Verbindung, die dir die Pakete zwischen Quelle:quellport und Ziel:443 (in deinem Fall) verlustfrei und in der richtigen Reihenfolge austauscht - eben die TCP-Session.

Dazu wird im nächsten Schritt der TCP-Handshake gemacht mit den SYN - ACK - SYN/ACK Paketen, womit sich die beiden abstimmen. Der wird überwacht durch das stateful Paket-Filtering, weil du dort festlegst, welcher Port deiner Zielmaschine überhaupt von außen angesprochen werden darf. Bedeutet: wenn von außen ein SYN kommt und du lässt das nicht zu, dann geht das nicht durch die Firewall - der Port ist also von außen her tot.

Bedeutet: deine Firewall bzw. Zielrechner kennt vom Ziel nur dessen öffentliche Adresse (und dann kommt NAT/PAT auf dessen interne LAN-Adresse).

Hast du das gemeint?