So finden Sie den NAT-Antwortport

Question

Beachten Sie, dass es bei TCP- und UDP-Sitzungen zwei Ports gibt. Den Quellport und den Zielport. Daher ist es einfacher, über NAT zu sprechen, wenn Sie sich auf einen Port beziehen, der gesendet wirdZuund ein Port wird gesendetaus.

Wenn Sie beispielsweise eine Anfrage an einen Webserver senden, wird diese an Port 80 gesendet, und zwar von einem temporären Port – einem Port, der für die Dauer der Verbindung geöffnet ist – der über 1024 liegt. In Ihrem Beispiel ist der Quellport, wenn Sie ihn richtig lesen, 5555. Dieser Port gehört zu der Anwendung, die die Anfrage stellt, und ist für diese Anwendung eindeutig, bis die Anfrage abgeschlossen ist. Solange dieser Quellport noch aktiv ist, kann auf diesem Computer keine andere Verbindung von diesem Quellport hergestellt werden.

Normalerweise empfängt der Webserver die Anfrage auf Port 80 und sendet seine AntwortZuPort 5555 undausPort 80.

Wenn NAT im Spiel ist, insbesondere PAT (Port Address Translation), wo sich viele Geräte eine einzige öffentliche IP-Adresse teilen müssen, kann der von jedem Gerät ursprünglich verwendete Port nicht als eindeutig betrachtet werden. Zwei Maschinen könnten Port 5555 als Quellport verwenden, und daher wäre nicht klar, wohin die Antwortpakete gesendet werden sollen, wenn sie vom Webserver wieder beim Router ankommen.

Zusätzlich zur Änderung der Quell-IP-Adresse in die öffentliche Adresse des Routers während des NAT wird auch der Quellport in einen geändert, der aus Sicht des Routers eindeutig ist. Dies wird in einer Statustabelle verwaltet. Alle Antwortpakete kommen vom Webserver an den vom Router gewählten Port, und dann wird das NAT rückgängig gemacht und über den von ihm geöffneten Port an das interne Gerät weitergeleitet.

Nur sehr wenige Heimrouter bieten die Möglichkeit, die Statustabelle anzuzeigen. Auf Cisco-Routern können Sie Folgendes tun:

 show ip nat trans

Dadurch wird eine Liste aller aktiven NATs angezeigt.

Die einzige andere Möglichkeit wäre, die ausgehenden Verbindungen vom Router zu untersuchen. Dazu müsste der Datenverkehr über ein von Ihnen gesteuertes Gerät laufen, was in einer privaten Umgebung wiederum unwahrscheinlich ist.

Answer 1

Beachten Sie, dass es bei TCP- und UDP-Sitzungen zwei Ports gibt. Den Quellport und den Zielport. Daher ist es einfacher, über NAT zu sprechen, wenn Sie sich auf einen Port beziehen, der gesendet wirdZuund ein Port wird gesendetaus.

Wenn Sie beispielsweise eine Anfrage an einen Webserver senden, wird diese an Port 80 gesendet, und zwar von einem temporären Port – einem Port, der für die Dauer der Verbindung geöffnet ist – der über 1024 liegt. In Ihrem Beispiel ist der Quellport, wenn Sie ihn richtig lesen, 5555. Dieser Port gehört zu der Anwendung, die die Anfrage stellt, und ist für diese Anwendung eindeutig, bis die Anfrage abgeschlossen ist. Solange dieser Quellport noch aktiv ist, kann auf diesem Computer keine andere Verbindung von diesem Quellport hergestellt werden.

Normalerweise empfängt der Webserver die Anfrage auf Port 80 und sendet seine AntwortZuPort 5555 undausPort 80.

Wenn NAT im Spiel ist, insbesondere PAT (Port Address Translation), wo sich viele Geräte eine einzige öffentliche IP-Adresse teilen müssen, kann der von jedem Gerät ursprünglich verwendete Port nicht als eindeutig betrachtet werden. Zwei Maschinen könnten Port 5555 als Quellport verwenden, und daher wäre nicht klar, wohin die Antwortpakete gesendet werden sollen, wenn sie vom Webserver wieder beim Router ankommen.

Zusätzlich zur Änderung der Quell-IP-Adresse in die öffentliche Adresse des Routers während des NAT wird auch der Quellport in einen geändert, der aus Sicht des Routers eindeutig ist. Dies wird in einer Statustabelle verwaltet. Alle Antwortpakete kommen vom Webserver an den vom Router gewählten Port, und dann wird das NAT rückgängig gemacht und über den von ihm geöffneten Port an das interne Gerät weitergeleitet.

Nur sehr wenige Heimrouter bieten die Möglichkeit, die Statustabelle anzuzeigen. Auf Cisco-Routern können Sie Folgendes tun:

 show ip nat trans

Dadurch wird eine Liste aller aktiven NATs angezeigt.

Die einzige andere Möglichkeit wäre, die ausgehenden Verbindungen vom Router zu untersuchen. Dazu müsste der Datenverkehr über ein von Ihnen gesteuertes Gerät laufen, was in einer privaten Umgebung wiederum unwahrscheinlich ist.

So finden Sie den NAT-Antwortport

Antwort1

verwandte Informationen