Heimanbindung

Admin / Knowhow / TCPIP - Kurzübersicht
Ausführliches Web zum Thema Internetprotokoll mit allen seinen Feinheiten und Raffinessen

IP-Adressen

Portlisten

andere Protokolle

Glossar  

IP-Adressen, Ports, Protokolle 

'Packet Filtering Firewalls' filtern Netzpakete nach Absender und Adressat, definiert über die IP-Adressen, sowie nach dem Netzdienst, der sich aus dem angesprochenen Port und dem verwendeten IP-Protokoll ergibt. ipfivadrn kann bei der Regeldefinition alle diese Eigenschaften berücksichtigen.

Eine IP-Adresse ist eine 32stellige Binärzahl, die man in Form von vier durch Punkte getrennten Bytes angibt. Dabei bezeichnen die ersten Bits dieser Zahl das Subnetz, in dem sich der Rechner befindet; der Rest unterscheidet die einzelnen Hosts innerhalb des Subnetzes. Die Netzmaske legt fest, welche Bits der IP-Adresse das Subnetz bezeichnen. Sie enthält für jedes Subnetz-Bit eine Eins, für jedes Host-Bit eine Null. Verknüpft man IP-Adresse und Netzmaske mit einem binären Und, bleibt die Adresse des Subnetzes übrig [5].

Üblicherweise gibt man die Netzmaske ebenfalls in Form von vier Bytes an: 255.255.255.0 beispielsweise bedeutet, dass die ersten 24 Bit der IP-Adresse das Subnetz bezeichnen, wahrend die letzten 8 Bit die einzelnen Rechner in dem Subnetz unterscheiden. ipfivadm erlaubt es, die Netzmaske auch als Anzahl der Subnetz-Bits anzugeben. Eine IP-Adresse wie 192.154.32.20/16 bedeutet, dass die ersten 16 Bit das Subnetz kennzeichnen (also 192. 154.0.0), wahrend die letzten 16 Bit den Host adressieren.

Häufig bieten Server im Internet verschiedene Dienste an - so könnte derselbe Rechner gleichzeitig als Mail-, News und WWW-Server fungieren und noch zu Wartungszwecken einen Telnet-Zugang anbieten. Erreicht ein Netzpaket einen solchen Rechner, muss das System erkennen, für welchen der laufenden Server das Paket bestimmt ist. Dazu dienen die Ports.

Jedem Netzdienst ist ein spezieller Port zugeordnet. So kommen DNS-Anfragen über den Port 53; um eine Telnet-Verbindung aufzubauen, muss man den Port 23 des Zielrechners ansprechen; WWW-Seiten fordert der Browser über Port 80 an; ftp benutzt die Ports 20 und 21; Mailserver nehmen Anfragen auf Port 25 entgegen; P0P3- und IMAPAnfragen werden über die Ports 110 und 220 abgewickelt. Die Server lauschen an ,ihren' Ports und reagieren nur auf Netzpakete, die auf dem jeweiligen Port ankommen. Eine Auflistung aller Netzdienste mit den zugehörigen Ports findet sich in der Datei Ietc/services.

Die Ports mit Nummern bis 1024 bezeichnet man als privilegierte Ports; in diesem Bereich warten die verschiedenen Server auf eine Kontaktaufnahme. Die Ports zwischen 1025 und 65535 sind unprivilegiert; Clients verwenden sie für ihre Verbindungen.

Zusätzlich komplizierter wird die Sache dadurch, dass verschiedene Protokolle über IP-Pakete abgewickelt werden:

Das verbindungsorientierte TCP, das die meisten Internet-Dienste nutzen, verlangt bei jedem Paket eine Bestätigung des Zielrechners (,acknowledge'). Bei den verbindungslosen Protokollen ICMP (etwa bei ping) und UDP (beispielsweise DNS, SNMP oder NFS) gibt es keine solche Bestätigung: Der anfragende Rechner schickt seine Datenpakete ins Netz, ohne zu wissen, ob die Gegenstelle die Pakete auch annimmt.

Für den Aufbau eines Firewall ist es wichtig, dass jeder Port einmal in der TCP- und einmal in der UDP-Spielart existiert, sodass man unter Umständen bei der Regeldefinition auch den Protokolltyp explizit mit angeben muss. Allerdings verwenden nur wenige Dienste beide Protokolltypen: telnet beispielsweise läuft vollständig über TCP, der UDP-Port 23. ist ungenutzt; das Simple Network Management Protokoll SNMP nutzt lediglich die UDP-Ports 161 und 162. ICMP kennt keine Ports.

Aus c't 3/99