Port-Forwarding (Inverses Masquerading)

Beim einfachen Masquerading werden alle IP-Adressen im lokalen Netz hinter der IP-Adresse des Routers maskiert (versteckt). Soll nun ein bestimmter Rechner im LAN für Stationen aus dem Internet erreichbar sein (z. B. ein FTP-Server), dann ist bei Einsatz des einfachen Masquerading auch die IP-Adresse des FTP-Servers im Internet nicht bekannt. Ein Verbindungsaufbau zu diesem FTP-Server aus dem Internet ist also so nicht mehr möglich.

Um den Zugriff auf einen solchen Server ("exposed host") im LAN zu ermöglichen, wird in einer Tabelle (Port-Forwarding-Tabelle) die IP-Adresse des FTP-Servers eingetragen mit allen Diensten (Ports), die er auch außerhalb des LANs anbieten soll. Schickt nun ein Rechner aus dem Internet ein Paket an den FTP-Server im LAN, so sieht es für diesen Rechner so aus, als wäre der Router der FTP-Server. Der Router liest anhand des verwendeten Protokolls aus dem Eintrag in der Port-Forwarding-Tabelle die IP-Adresse des FTP-Servers im LAN und leitet das Paket an die dort eingetragene lokale IP-Adresse weiter. Alle Pakete, die vom FTP-Server im LAN kommen (Antworten des Servers), werden wieder hinter der IP-Adresse des Routers versteckt.

Der generelle Unterschied zwischen einfachem und inversem Masquerading:

Der Zugriff von außen auf einen Dienst (Port) im Intranet muss beim inversen Masquerading manuell durch Angabe einer Port-Nummer definiert werden. In der Port-Forwarding-Tabelle wird dazu der Ziel-Port mit der Intranet-Adresse z. B. des FTP-Servers angegeben.
Beim Zugriff aus dem LAN auf das Internet hingegen wird der Eintrag in der Tabelle mit Port- und IP-Adress-Informationen automatisch durch den Router selbst vorgenommen.

Wichtig: Die entsprechende Tabelle kann max. 2048 Einträge aufnehmen, also gleichzeitig 2048 Übertragungen zwischen dem maskierten und dem unmaskierten Netz ermöglichen.

Nach einer einstellbaren Zeit geht der Router jedoch davon aus, dass der Eintrag nicht mehr benötigt wird, und löscht ihn selbständig wieder aus der Tabelle.

Wichtig: Stateful-Inspection und inverses Masquerading: Wenn im Masquerading-Modul ein Port freigeschaltet wird (d. h. alle auf diesem Port empfangenen Pakete sollen an einen Rechner im lokalen Netz weitergeleitet werden), so erfordert dies bei einer Deny-All Firewall-Strategie einen zusätzlichen Eintrag in der Stateful-Inspection Firewall, der den Zugriff aller Rechner auf den jeweiligen Server ermöglicht.

Manchmal ist es allerdings gewünscht, dass der so eingerichtete "exposed host" nicht mit dem standardmäßig verwendeten Port angesprochen wird, sondern aus Sicherheitsgründen ein anderer Port verwendet wird. In diesem Fall wird also nicht nur das Umsetzen von Ports auf eine IP-Adresse benötigt, sondern auch das Umsetzen auf andere Ports (Port-Mapping). Ein weiteres Anwendungsbeispiel für diese Port-Umsetzung ist das Umsetzen von mehreren Ports aus dem WAN auf einen gemeinsamen Port im LAN, die jedoch verschiedenen IP-Adressen zugeordnet werden (N-IP-Mapping).

Bei der Konfiguration des Port-Mappings wird einem Port oder Portbereich (Anfangs-Port bis End-Port) eine IP-Adresse aus dem LAN als Ziel und der im LAN zu verwendende Port (Map-Port) zugewiesen.

LANconfig: IP-Router > Maskierung > Port-Forwarding-Tabelle

Konsole: Setup > IP-Router > 1-N-NAT > Service-Tabelle

Anfangs-Port: Anfangs-Port für den Dienst.
End-Port: End-Port für den Dienst.
Gegenstelle: Gegenstelle, für die dieser Eintrag gültig ist. Die Verwendung von virtuellen Routern (Advanced Routing and Forwarding (ARF)) erfordert beim Port-Forwarding eine gezielte Auswahl der Gegenstelle. Wird keine Gegenstelle angegeben, gilt der Eintrag für alle Gegenstellen.
Intranet-Adresse: Intranet-Adresse, an die ein im Portbereich liegendes Paket weitergeleitet wird.
Map-Port: Port, mit dem das Paket weitergeleitet wird.
Wichtig: Wird als Map-Port die "0" eingetragen, werden im LAN die gleichen Ports verwendet wie im WAN. Wird ein Portbereich umgesetzt, gibt der Map-Port den ersten verwendeten Port im LAN an. Beim Umsetzen des Portbereichs '1200' bis '1205' auf den internen Map-Port '1000' werden also die Ports von 1000 bis einschließlich 1005 für den Datenverkehr im LAN verwendet.

Wichtig: Das Port-Mapping ist statisch, deshalb können zwei Ports oder Portbereiche nicht auf den gleichen Map-Port eines Ziel-Rechners im LAN umgesetzt werden. Für verschiedene Zielrechner können gleiche Port-Mappings verwendet werden.
Protokoll: Protokoll, für das dieser Eintrag gültig ist.
WAN-Adresse: WAN-Adresse, für die dieser Eintrag gültig ist. Wenn das Gerät über mehr als eine statische IP-Adresse verfügt, kann das Port-Forwarding so auf bestimmte Verbindungen eingeschränkt werden.
Eintrag aktiv: Schaltet den Eintrag ein oder aus.
Kommentar: Kommentar zum definierten Eintrag (64 Zeichen).