www.brix.de - Hauptseite   SVHS
IK-Einstiegsseite   IK-Skript
Stand: 2010-11-02

NAT - zwischen (privatem) LAN und WAN

Am Beispiel eines aus- und eingehenden Paketes

In diesem Beispiel wird ein IP-Paket ausgehend von einem Client (ein Browser) im LAN begleitet. Das Paket gelangt zum Router, von dort zum Web-Server. Es wird beantwortet und gelangt über den Router schließlich zurück zum Client.

Beteiligte Geräte

ein Client im (privaten) LAN: 10.10.5.187
ein NAT-Router - (private) LAN-IP: 10.10.5.254 - WAN-IP: 79.198.139.152
ein Web-Server: 193.99.144.85 (www.heise.de)

Schritt 1 - von Client zum Router (per MAC-Adresse im Ethernet)

Die Nutzdaten werden vom Browser generiert, DNS hat für die IP-Adresse des Zieles gesorgt (weil der Benutzer einen Namen eingetippt hatte) und IP packt das Paket.

An:193.99.144.85:80TCP-Nutzdaten:
eine HTTP-Anfrage "Gib mir die Startseite deines Web-Angebotes!"
Von:10.10.5.187:22433
IP-Paket

Dieses Paket kommt per Ethernet (nachdem ARP ausgeführt wurde) beim Router des LANs (10.10.5.254) an.

Schritt 2 - im NAT-Router vom LAN ins WAN

Der Router erkennt, dass es sich beim Absender um eine private IP-Adresse handelt, die im Internet nicht benutzt werden darf. Er manipuliert daher das Paket und setzt seine eigene WAN-Adresse als Absender-Adresse ein.

An:193.99.144.85:80TCP-Nutzdaten:
eine HTTP-Anfrage "Gib mir die Startseite deines Web-Angebotes!"
Von:10.10.5.187:22433
IP-Paket

Manipulation an der Absender-Adresse.
Vorher: (private) LAN-IP des Client.
Nachher: WAN-IP des Routers.

An:193.99.144.85:80TCP-Nutzdaten:
eine HTTP-Anfrage "Gib mir die Startseite deines Web-Angebotes!"
Von:79.198.139.152:61001
IP-Paket

Allerdings merkt sich der Router die durchgeführte Manipulation in der so genannten NAT-Tabelle, damit er bei der Antwort auf dieses Paket die Manipulation rückgängig machen kann, um das Paket im privaten LAN zustellen zu können. Der Schlüssel für die NAT-Tabelle ist die Port-Nummer des ausgehenden Paketes!

(automatische) NAT-Tabelle im Router

globaler Port ---> [LAN-IP eines Rechners]:lokaler Port
-------------------------------------------------------

   61001      --->      10.10.5.187       :    22433

Schritt 3 - die Antwort vom Web-Server

Der Router hat das manipulierte Paket in das Internet vermittelt und dort wurde es (über andere Router) bis zum Ziel, dem Web-Server weitergeleitet. - Der Web-Server packt das Antwort-Paket und geht völlig automatisiert vor und trägt die Absender-Adresse samt Port (also den "Socket") als Adressat in das Antwort-Paket ein.

Das Antwort-Paket kommt schließlich am NAT-Router an, der ja das Frage-Paket abgeschickt hatte.

An:79.198.139.152:61001TCP-Nutzdaten:
eine HTTP-Antwort "Hier ist die Startseite (HTML-Text) des Web-Angebotes!"
Von:193.99.144.85:44655
IP-Paket

Schritt 4 - im NAT-Router vom WAN ins LAN

Das Paket kommt am NAT-Router an und dieser überprüft, ob es einen Eintrag mit der Port-Nummer des Paketes in seiner NAT-Tabelle gibt. Dabei werden die automatischen, die manuellen und die automatischen manuellen Einträge überprüft. Im Falle dieses Beispieles findet der Router den automatischen Eintrag und macht dadurch die Manipulation rückgängig.

Danach wird der automatische Eintrag in der NAT-Tabelle wieder gelöscht und die Port-Nummer steht für einen weiteren Manipulationsvorgang, der dann zu einem erneuten (aber durchaus anderen) Eintrag in die NAT-Tabelle führt, zur Verfügung.

An:79.198.139.152:61001TCP-Nutzdaten:
eine HTTP-Antwort "Hier ist die Startseite (HTML-Text) des Web-Angebotes!"
Von:193.99.144.85:44655
IP-Paket

Manipulation an der Adresse des Adressaten
Vorher: WAN-IP des Routers.
Nachher: (private) LAN-IP des Client.

An:10.10.5.187:22433TCP-Nutzdaten:
eine HTTP-Antwort "Hier ist die Startseite (HTML-Text) des Web-Angebotes!"
Von:193.99.144.85:44655
IP-Paket

Schritt 5 - zum Client im privaten LAN

Endlich verlässt das Paket den Router in das LAN zum Client, der aus seiner Sicht vom ganzen NAT-Vorgang nichts mitbekommen konnte. Der Client hat den Eindruck, dass das Paket direkt vom Web-Server kommt.

An:10.10.5.187:22433TCP-Nutzdaten:
eine HTTP-Antwort "Hier ist die Startseite (HTML-Text) des Web-Angebotes!"
Von:193.99.144.85:44655
IP-Paket

 


Stefan Brix
sx@brix.de

Was macht
fuxia?

www.brix.de