Bridge mit Port-Forwarding

Konzept und Implementierung einer Bridge mit Port-Forwarding zur Erzeugung einer DMZ

Problembeschreibung

Typische Situation für Privatanwender und SOHOs ist die Bereitstellung eines DSL-Anschlußes mit einer möglicher Weise festen IP-Adresse. Soll hinter dem DSL-Anschluß ein Server betrieben werden, wird üblicher Weise ein Router eingesetzt, der ein sogenanntes Port-Forwarding vornimmt. Dabei wird anhand des Zielports des eingehenden Paketes die Zieladresse des Pakets umgeschrieben und so an einen hinter dem Router liegenden Rechner umgelenkt. In der Umkehrrichtung nimmt der Router bei ausgehenden Traffic eine Net-Address-Translation (NAT) vor. Ungünstig an dieser Lösung ist jedoch, daß die Pakete manipuliert werden müssen, um sie weiterzuleiten. Das kann unter bestimmten Umständen unvorteilhaft sein.

Aus Sicherheitsgründen bietet es sich an, auf der Bridge gleichzeitig eine stateful Firewall zu implementieren.

Aufgabenstellung

Um zu vermeiden, daß Pakete umgeschrieben werden müssen, wäre eine Lösung, eine Bridge mit mindestens drei Netzwerkschnittstellen zu verwenden, die abhängig vom Zielport des eingehenden Pakets die Nachricht auf dem jeweils zugeordneten Port ausgibt.

In der Arbeit ist zu diskutieren, wie eine solche Lösung grundsätzlich implementiert werden muß, welche konkreten Schwierigkeiten entstehen können und welche Besonderheiten zu beachten sind. Die technischen Vor- und Nachteile der Bridge-Lösung gegenüber einer Router-Variante mit NAT und Port-Forwarding sind darzustellen.

Um die in der Arbeit erarbeiteten theoretischen Überlegungen praktisch zu verifzieren, soll ein konkretes Testbed aufgebaut werden. Im Testbed ist ein SMTP-Server vorgesehen, da so fast alle Kommunikationssituationen (eingehend / ausgehender Transfer, sicheres Netz zur DMZ, DNS) dargestellt werden können.

Als Testbed sollte folgende Netzwerksituation aufgebaut werden:

"Internet"
   -> eth0 (incoming) Bridge
       -> eth1
          -> Router (192.0.2.10) mit NAT
             -> lokales Netz (10.0.0.0/24)
       -> eth2
          -> SMTP-Server (192.0.2.10)

Wie man sieht, "teilen" sich Router und SMTP-Server die öffentliche IP-Adresse. Genau hier liegt die Schwierigkeit (und der Grund für die Wahl des SMTP-Servers): Der SMTP-Server muß ausgehende DNS-Anfragen stellen können und die Antworten müssen bei ihm ankommen, das gilt aber auch für den NAT-Router.

Die DNS-Lösung (UDP und TCP!) sollte übertragbar auf andere Protokolle sein, wie z.B. das NTP (Network Time Protocol), das zur Uhrensynchronsiation eingesetzt wird.

Im Rahmen der Arbeit ist ein Konzept zu erstellen, wie genau dieses Problem gelöst werden kann, zusätzlich soll das oben skizzierte Testbed aufgebaut und erprobt werden.

Es ist in der Arbeit darzustellen, ob die gewählte Lösung auch mit anderen als SMTP-Servern funktioniert und zu überlegen, welche Schwierigkeiten dabei jeweils auftreten könnten.

Vorteilhaft für die Konfiguration einer Bridge ist m. E. (Net|Free|Open)BSD, aber auch "normales" Linux kann das mittlerweile ganz ordentlich. Im Rahmen der Arbeit wäre auch zu überlegen, welches System besser geeignet ist.

Zu beachten ist, daß es derzeit noch nicht vorhersagbar ist, ob das Problem tatsächlich lösbar ist. Wenn nein, müßte in der Arbeit begründet werden, warum es keine Lösung gibt.

Aufgabensteller / Betreuer

Aufgabensteller: Professor Dr. Gunnar Teege
Betreuer: Tobias Eggendorfer

Download > Prototyp einer Diplomarbeit Prototyp einer Diplomarbeit