%2C%20wenn%20die%20Firewall%20keine%20eingehenden%20Verbindungen%20akzeptiert%3F%20.png)
Es gibt in der Juniper-Firewall keine Richtlinie vom Internet zum lokalen Netzwerk, aber Software wie Skype und Torrents funktionieren problemlos. Wie funktionieren diese Programme ohne eingehende Richtlinie?
Antwort1
Normalerweise durch (Miss-)Ausnutzung der Zustandssicherheit der Firewall.
Die meisten, wenn nicht alle Firewalls heutzutage sind Stateful. Sie verfolgen den ein- und ausgehenden Datenverkehr, sodass sie die „Beziehung“ zwischen Paketen kennen. Wenn beispielsweise ein Host innerhalb des Netzwerks ein SYN-Paket an einen externen Host sendet, weiß die Firewall das und kann ein entsprechendes SYN-ACK-Paket von der Adresse erwarten, an die das ursprüngliche SYN gesendet wurde.
Solange also ein Host im Inneren eine Verbindung nach außen aufbaut, sind die „Schleusen geöffnet“ für den Rückverkehr.
Es gibt auch andere, kompliziertere Methoden. Eine kleine Beispielliste enthält:
Antwort2
P2P-Anwendungen nutzen Techniken zum Durchqueren derNATsdie die meisten Leute in ihrem Residential Gateway haben. Die verwendeten Tricks basieren auf der Tatsache, dass ausgehende Verbindungen erlaubt sind, weshalb sie auf Firewalls funktionieren, die dieselbe Richtlinie haben.
Die einfachste und erfolgreichste Methode istUDP-Lochstanzen.
Es istTCP-Varianteist etwas komplizierter, aber wenn es fehlschlägt, kann eine Software versuchen, auf das Tunneln von TCP über UDP zurückzugreifen.
Es gibt auchICMP-Lochstanzenwelches einen anderen Ansatz nutzt, um eine Erstkontaktaufnahme ohne den Umweg über Dritte zu ermöglichen.