# Zusammenfassung: Schicht 4, Ports, NAT, Firewall und DMZ
**Zusammenfassung: Schicht 4, Ports, NAT, Firewall und DMZ**
**Bereich:** Seite 64 bis einschließlich Seite 94
**Themen:** Ports, TCP, UDP, QUIC, Portknocking, Portforwarding, NAT/PAT, Allowlist/Blocklist, Firewall, iptables, DMZ
---
**1. Schicht 4 – Transportschicht**
Die Schicht 4 ist die Transportschicht. Sie sorgt dafür, dass Daten nicht nur zu einem bestimmten Rechner gelangen, sondern auch zur richtigen Anwendung oder zum richtigen Dienst auf diesem Rechner.
Wichtige Themen der Schicht 4:
- Ports
- TCP
- UDP
- QUIC
- Portknocking
- Portforwarding / Destination NAT
- NAT / PAT / Source NAT
- Allowlist und Blocklist
Die IP-Adresse bestimmt den Host.
Der Port bestimmt den Dienst oder das Programm auf diesem Host.
Beispiel:
```text
192.168.1.11:80
```
Das bedeutet:
```text
Host: 192.168.1.11
Dienst/Port: 80
```
Port 80 steht typischerweise für HTTP.
Die Kombination aus IP-Adresse und Port nennt man Socket.
---
**Grafik 1: IP-Adresse, Port und Socket**
---
**2. Warum braucht man Ports?**
Ein Rechner kann mehrere Netzwerkprogramme gleichzeitig ausführen.
Beispiele:
- Webbrowser
- Mailprogramm
- Dateifreigabe
- Druckdienst
- Datenbankdienst
- Webserver
Nur mit der IP-Adresse weiß man zwar, welcher Rechner gemeint ist.
Man weiß aber noch nicht, welche Anwendung auf diesem Rechner gemeint ist.
Vergleich:
```text
IP-Adresse = Adresse eines Mehrfamilienhauses
Port = Name oder Wohnung der Person im Haus
```
Beispiel Printserver:
```text
10.1.1.1:9100 = Laserdrucker
10.1.1.1:9101 = Tintenstrahldrucker
10.1.1.1:9102 = Nadeldrucker
```
Alle Drucker haben dieselbe IP-Adresse, aber unterschiedliche Ports.
---
**3. Schreibweise von IP-Adresse und Port**
Bei IPv4 schreibt man:
```text
IPv4-Adresse:Port
192.168.1.11:80
```
Bei IPv6 muss die Adresse in eckige Klammern:
```text
[IPv6-Adresse]:Port
[2001:1234:5678:90AB:CDEF:1A2B:3C4D:5E6F]:80
```
Wichtig:
```text
IP-Adresse + Port = Socket
```
---
**4. Aufteilung der Ports**
Ports sind in drei große Bereiche eingeteilt.
| Bereich | Portnummern | Bedeutung |
|---|---:|---|
| System Ports | 0 bis 1023 | feste, bekannte Dienste |
| User Ports | 1024 bis 49151 | registrierte Anwendungsports |
| Dynamic/Private Ports | 49152 bis 65535 | temporäre Ports für kurzfristige Verbindungen |
---
**5. Wichtige System Ports**
Diese Ports sollte man für Prüfung und Praxis kennen:
| Port | Dienst | Protokoll |
|---:|---|---|
| 20 / 21 | FTP | TCP |
| 22 | SSH | TCP |
| 25 | SMTP | TCP |
| 53 | DNS | meist UDP |
| 67 / 68 | DHCP | UDP |
| 80 | HTTP | TCP |
| 110 | POP3 | TCP |
| 123 | NTP | meist UDP |
| 143 | IMAP | TCP |
| 443 | HTTPS | TCP |
| 445 | SMB / Samba | TCP |
---
**6. Wichtige User Ports**
| Port | Dienst | Protokoll |
|---:|---|---|
| 3128 | Squid Proxy | TCP |
| 3306 | MySQL | TCP |
| 9100 | HP-Druckerport | TCP |
| 10000 | Webmin | TCP |
---
**7. UDP**
UDP ist ein einfaches Transportprotokoll.
Eigenschaften:
- verbindungslos
- schneller als TCP
- weniger Verwaltungsaufwand
- keine eingebaute Garantie, dass Pakete ankommen
- keine eingebaute Reihenfolgekontrolle
- wird häufig genutzt, wenn Geschwindigkeit wichtiger ist als perfekte Kontrolle
Typische Beispiele:
- DNS
- DHCP
- NTP
- Streaming
- VoIP
- Online-Gaming
Merksatz:
```text
UDP ist schnell, aber nicht besonders kontrollierend.
```
---
**8. TCP**
TCP ist verbindungsorientiert.
Eigenschaften:
- baut eine Verbindung auf
- bestätigt empfangene Daten
- kontrolliert Reihenfolge und Vollständigkeit
- ist zuverlässiger als UDP
- erzeugt aber mehr Verwaltungsaufwand
Typische Beispiele:
- HTTP
- HTTPS
- SSH
- FTP
- SMTP
- IMAP
- POP3
- SMB
Merksatz:
```text
TCP ist kontrollierter, aber aufwendiger.
```
---
**9. TCP-Verbindungsaufbau: 3-Wege-Handshake**
Beim TCP-Verbindungsaufbau werden drei Schritte genutzt.
1. Client sendet SYN.
2. Server antwortet mit SYN + ACK.
3. Client bestätigt mit ACK.
Danach ist die Verbindung aufgebaut.
---
**Grafik 2: TCP 3-Wege-Handshake**
---
**10. TCP-Verbindungsabbau: 4-Wege-Handshake**
Beim Verbindungsabbau werden vier Schritte genutzt.
1. Client sendet FIN.
2. Server bestätigt mit ACK.
3. Server sendet ebenfalls FIN.
4. Client bestätigt mit ACK.
Danach ist die Verbindung sauber beendet.
Merksatz:
```text
TCP-Aufbau: 3 Schritte
TCP-Abbau: 4 Schritte
```
---
**11. TCP und Sicherheit**
Beim TCP-Verbindungsaufbau kann es zu Angriffen kommen, zum Beispiel SYN-Flood-Angriffen.
Dabei werden viele SYN-Anfragen an einen Server gesendet.
Der Server wartet auf die abschließende Bestätigung, bekommt diese aber nicht oder nicht vollständig.
Dadurch können Ressourcen blockiert werden.
Das gehört zum Bereich Denial-of-Service beziehungsweise Distributed-Denial-of-Service.
---
**12. QUIC**
QUIC soll Vorteile von UDP und TCP kombinieren.
Eigenschaften:
- basiert technisch auf UDP
- soll schneller und moderner sein
- arbeitet immer mit Verschlüsselung
- wird besonders im modernen Web wichtig
Merksatz:
```text
QUIC versucht, UDP-Geschwindigkeit mit TCP-ähnlicher Zuverlässigkeit und Verschlüsselung zu verbinden.
```
---
**13. Portknocking**
Portknocking bedeutet sinngemäß:
```text
Erst richtig anklopfen, dann wird etwas freigegeben.
```
Dabei werden von außen bestimmte Ports in einer festgelegten Reihenfolge angesprochen.
Beispiel:
```text
11.1.2.4:1111
11.1.2.4:2222
11.1.2.4:3333
```
Nur wenn diese Reihenfolge stimmt, löst die Firewall oder der Router ein Ereignis aus.
Beispiel aus dem Kochbuch:
```text
Portknocking löst Wake-on-LAN aus.
Der interne Webserver startet.
Danach kann ein Zugriff erfolgen.
```
Vorteil:
- Dienste müssen nicht dauerhaft offen sichtbar sein.
Nachteil:
- zusätzlicher Verwaltungsaufwand
- kein Ersatz für echte Authentifizierung oder sichere Dienste
---
**14. Portforwarding / Destination NAT**
Portforwarding leitet Anfragen von außen nach innen weiter.
Ziel:
```text
Internet -> Router/Firewall -> interner Server
```
Beispiel:
```text
Externe Adresse: 11.1.2.4:80
Weiterleitung auf: 192.168.178.11:80
```
Oder:
```text
11.1.2.4:81 -> 192.168.178.22:80
```
Dadurch können zwei interne Webserver von außen erreichbar gemacht werden, obwohl beide intern Port 80 nutzen.
Wichtig:
Die externe IP-Adresse bleibt gleich.
Die externen Ports unterscheiden, welcher interne Dienst gemeint ist.
---
**Grafik 3: Portforwarding / Destination NAT**
---
**15. Sicherheitsproblem bei Portforwarding**
Portforwarding ist praktisch, aber nicht besonders sicher.
Problem:
```text
Von außen wird ein direkter Weg in das interne Netz geschaffen.
```
Das kann gefährlich sein, wenn der interne Dienst schlecht abgesichert ist.
Besser:
- möglichst kein unnötiges Portforwarding
- VPN oder Tailscale verwenden
- Dienste aktuell halten
- starke Authentifizierung nutzen
- Firewall-Regeln sauber setzen
- Zugriff einschränken
- Portforwarding eventuell mit Portknocking kombinieren
---
**16. NAT / PAT / Source NAT**
Im Alltag sagt man oft NAT.
Genauer ist bei vielen Heimroutern eigentlich PAT.
PAT bedeutet Port Address Translation.
Ziel:
```text
Mehrere interne Geräte teilen sich eine öffentliche IP-Adresse.
```
Beispiel:
```text
Interner PC: 192.168.178.11
Fritz!Box extern: 11.1.2.4
Ziel im Internet: 193.99.144.85:80
```
Der interne PC kann nicht direkt mit seiner privaten IP-Adresse ins Internet.
Die Fritz!Box ersetzt deshalb die interne Quelladresse durch ihre öffentliche Adresse und merkt sich den Zusammenhang in einer Tabelle.
---
**17. Ablauf bei NAT / PAT**
Beispiel:
```text
PC möchte Webseite öffnen:
192.168.178.11:55555 -> 193.99.144.85:80
```
Die Fritz!Box erstellt einen Fake-Port:
```text
11.1.2.4:60000 -> 193.99.144.85:80
```
Wenn die Antwort aus dem Internet zurückkommt, schaut die Fritz!Box in ihrer Tabelle nach:
```text
11.1.2.4:60000 gehört intern zu 192.168.178.11:55555
```
Dann leitet sie die Antwort an den richtigen internen PC weiter.
---
**Grafik 4: NAT / PAT / Source NAT**
---
**18. Unterschied Portforwarding und NAT/PAT**
| Begriff | Richtung | Zweck |
|---|---|---|
| Portforwarding / Destination NAT | extern nach intern | Zugriff aus dem Internet auf internen Dienst |
| NAT / PAT / Source NAT | intern nach extern | interne Geräte nutzen gemeinsam eine öffentliche IP |
Merksatz:
```text
Portforwarding: Internet möchte nach innen.
NAT/PAT: internes Netz möchte nach außen.
```
---
**19. Allowlist und Blocklist**
Früher sagte man Whitelist und Blacklist.
Heute sagt man besser Allowlist und Blocklist.
---
**20. Allowlist**
Grundprinzip:
```text
Alles ist verboten, außer es steht ausdrücklich in der Allowlist.
```
Beispiel:
```text
Allowlist:
web.de
```
Dann gilt:
```text
web.de erlaubt
gmx.de verboten
gmail.de verboten
```
Vorteil:
- sehr streng
- schützt gut vor unerwünschtem Zugriff
Nachteil:
- hoher Pflegeaufwand
- neue erlaubte Seiten müssen ständig ergänzt werden
---
**21. Blocklist**
Grundprinzip:
```text
Alles ist erlaubt, außer es steht ausdrücklich in der Blocklist.
```
Beispiel:
```text
Blocklist:
gmx.de
gmail.de
```
Dann gilt:
```text
web.de erlaubt
gmx.de verboten
gmail.de verboten
```
Vorteil:
- einfacher zu betreiben als reine Allowlist
- gut für bekannte unerwünschte Seiten
Nachteil:
- niemals vollständig
- neue gefährliche Seiten können noch fehlen
- manchmal werden Seiten gesperrt, die eigentlich erlaubt sein sollen
---
**22. Kombination aus Allowlist und Blocklist**
Praktische Lösung:
```text
Zuerst Allowlist prüfen.
Danach Blocklist prüfen.
```
Beispiel:
```text
Allowlist:
gmail.de
Blocklist:
gmx.de
gmail.de
```
Dann gilt:
```text
web.de erlaubt, weil in keiner Liste verboten
gmx.de verboten, weil in Blocklist
gmail.de erlaubt, weil Allowlist Vorrang hat
```
Das ist oft sinnvoller als nur eine reine Allowlist oder nur eine reine Blocklist.
---
**23. SquidGuard**
SquidGuard kann Webseiten nach Kategorien filtern.
Beispiele für Kategorien:
- Dating
- Mailing
- Hacking
- Werbung
- Malware
- Glücksspiel
Das Ausrufezeichen bedeutet „nicht“ beziehungsweise „verboten“.
Beispielhafte Logik:
```text
Allowlist !Dating !Mailing !Hacking any
```
Sinngemäß:
1. Prüfe zuerst Allowlist.
2. Wenn Treffer in Allowlist: erlauben.
3. Wenn kein Treffer: prüfe verbotene Kategorien.
4. Wenn Treffer in verbotener Kategorie: sperren.
5. Wenn kein Treffer: erlauben.
---
**24. Firewalls**
Eine Firewall kontrolliert Netzwerkverkehr anhand von Regeln.
Sie entscheidet:
```text
Darf dieses Paket durch?
Ja oder Nein?
```
Firewalls können auf verschiedenen Ebenen arbeiten:
- Host-Firewall
- Unternehmens-Firewall
- Paketfilter-Firewall
- Stateful-Packet-Inspection-Firewall
---
**25. Personal-Firewall und Unternehmens-Firewall**
| Firewall-Typ | Aufgabe |
|---|---|
| Personal-Firewall | schützt einen einzelnen PC oder Server |
| Unternehmens-Firewall | schützt ein ganzes LAN oder Teilnetze |
---
**26. Paketfilter-Firewall**
Eine Paketfilter-Firewall ist einfacher und älter.
Problem:
Bei klassischen Paketfiltern muss häufig Hinweg und Rückweg erlaubt werden.
Beispiel:
```text
Client -> Server erlauben
Server -> Client ebenfalls erlauben
```
Das ist fehleranfälliger.
---
**27. Stateful Packet Inspection Firewall**
Eine SPI-Firewall merkt sich den Zustand einer Verbindung.
Vorteil:
```text
Nur der Hinweg muss ausdrücklich erlaubt werden.
Der Rückweg wird automatisch als passende Antwort erkannt.
```
Das ist moderner und sicherer.
Beispiel:
```text
Intern -> Internet erlaubt
Antwort Internet -> Intern wird automatisch erkannt
```
---
**28. Steuerbare Schichten einer SPI-Firewall**
Eine SPI-Firewall kann mehrere Bedingungen prüfen.
| OSI-Schicht | Prüfbares Merkmal |
|---|---|
| Schicht 2 | MAC-Adresse |
| Schicht 3 | IP-Adresse |
| Schicht 4 | TCP oder UDP |
| Schicht 5 bis 7 | Port / Anwendung |
Wichtig:
```text
Alle angegebenen Bedingungen sind logisch UND-verknüpft.
```
Beispiel:
```text
Nur diese MAC-Adresse
UND nur diese IP-Adresse
UND nur TCP
UND nur Port 22
```
Dann darf nur genau dieser passende Verkehr durch.
Wichtiger Merksatz:
```text
Was nicht abgefragt wird, ist erlaubt.
```
Das bedeutet:
Wenn eine Regel keine MAC-Adresse prüft, ist die MAC-Adresse für diese Regel egal.
---
**29. Firewall als Brücke zwischen intern und extern**
Im Kochbuch wird die Firewall mit einer Brücke zwischen Insel und Festland verglichen.
- Insel = internes sicheres Netz
- Festland = externes unsicheres Netz
- Brücke = Firewall
- Wachmannschaft = Linux-System mit Firewall
- grüne Seite = internes Netz
- rote Seite = externes Netz
Die Firewall kontrolliert, wer von innen nach außen und von außen nach innen darf.
---
**30. iptables: INPUT, OUTPUT und FORWARD**
Bei iptables gibt es drei wichtige Regelketten.
| Regelkette | Bedeutung |
|---|---|
| INPUT | Verkehr zur Firewall selbst |
| OUTPUT | Verkehr von der Firewall selbst nach außen |
| FORWARD | Verkehr, der durch die Firewall hindurchgeleitet wird |
---
**Grafik 5: INPUT, OUTPUT und FORWARD**
---
**31. FORWARD**
FORWARD betrifft Datenverkehr, der durch die Firewall hindurchgeht.
Beispiele:
```text
internes Netz -> Firewall -> Internet
Internet -> Firewall -> internes Netz
```
FORWARD ist wichtig, wenn die Firewall als Router zwischen zwei Netzen arbeitet.
---
**32. INPUT**
INPUT betrifft Datenverkehr, der direkt an die Firewall selbst gerichtet ist.
Beispiele:
```text
Admin-PC -> Firewall per SSH
Monitoring-Server -> Firewall
Ping an Firewall
```
---
**33. OUTPUT**
OUTPUT betrifft Datenverkehr, der von der Firewall selbst erzeugt wird.
Beispiele:
```text
Firewall -> NTP-Server
Firewall -> DNS-Server
Firewall -> Update-Server
```
---
**34. Beispiel einfache Firewall**
Beim Erstellen einer Firewall-Regel muss man sich immer fragen:
- Wo ist die Quelle?
- Wo ist das Ziel?
- Ist es INPUT, OUTPUT oder FORWARD?
- Wird TCP, UDP oder ICMP genutzt?
- Welcher Port wird genutzt?
- Ist die IP-Adresse ein einzelner Host oder ein ganzes Netz?
- Muss eine Subnetzmaske angegeben werden?
- Soll zusätzlich die MAC-Adresse geprüft werden?
Wichtig:
```text
ICMP hat keinen Port.
```
---
**35. iptables-Syntax aus dem Kochbuch**
Beispielhafte Regeln:
```bash
$FT $MP -s 192.168.2.0/24 -d 192.168.1.2 --dports 80,3128 $R
$IT $MAC 1A:2B:3C:4D:5E:6F -s 192.168.2.2 -d 192.168.2.1 --dport 22 $R
$OU -s 192.168.1.1 -d 192.168.1.2 --dport 123 $R
```
Bedeutung:
| Kürzel / Option | Bedeutung |
|---|---|
| FT | FORWARD TCP |
| IT | INPUT TCP |
| OU | OUTPUT UDP |
| MP | Multiport, also mehrere Ports |
| -s | Source / Quelle |
| -d | Destination / Ziel |
| --dport | ein Ziel-Port |
| --dports | mehrere Ziel-Ports |
| MAC | MAC-Adresse zusätzlich prüfen |
| ACCEPT | Regel erlaubt den Verkehr |
| DROP | Paket wird verworfen |
---
**36. Catch-all-Regel**
Am Ende steht häufig:
```bash
iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP
iptables -A FORWARD -j DROP
```
Bedeutung:
```text
Alles, was vorher nicht ausdrücklich erlaubt wurde, wird verboten.
```
Das ist ein sehr wichtiges Firewall-Prinzip.
Merksatz:
```text
Erst erlauben, was gebraucht wird.
Dann alles andere blockieren.
```
---
**37. Praktische Umsetzung einer einfachen Firewall**
Für das einfache Beispiel braucht man:
- Linux-PC
- zwei Netzwerkkarten
- Root-Rechte
- iptables-Skript
- passende IP-Adressen auf den Netzwerkkarten
Beispiel:
```text
Netzwerkkarte 1: 192.168.1.1
Netzwerkkarte 2: 192.168.2.1
```
Typische Befehle:
```bash
sudo -s
chmod 755 alle.sh
./alle.sh
```
---
**38. DMZ – Demilitarisierte Zone**
Eine DMZ ist ein separates Zwischennetz.
Sie wird genutzt für Server, die sowohl von intern als auch von extern erreichbar sein sollen.
Beispiele:
- Webserver
- Mailserver
- DNS-Server
- Reverse Proxy
Die DMZ liegt nicht direkt im internen LAN.
Ziel:
```text
Wenn ein öffentlicher Server angegriffen wird, soll nicht direkt das interne LAN betroffen sein.
```
---
**39. DMZ-Farben**
Typische Darstellung:
| Bereich | Farbe |
|---|---|
| Internes LAN | grün |
| Externes Netz / Internet | rot |
| DMZ | orange |
---
**40. Zwei-stufiges DMZ-Konzept**
Das zwei-stufige Konzept nutzt zwei Firewalls.
Aufbau:
```text
Internet -> Firewall 1 -> DMZ -> Firewall 2 -> internes LAN
```
Vorteile:
- sicherer
- doppelte Verteidigungslinie
- in IHK-Prüfungen oft bevorzugt
Nachteile:
- aufwendiger
- zwei Firewalls
- zwei Regelwerke
- Routing muss sauber geplant werden
Merksatz:
```text
Zwei-stufige DMZ = sicherer, aber aufwendiger.
```
---
**41. Ein-stufiges DMZ-Konzept**
Das ein-stufige Konzept nutzt eine Firewall mit drei Netzwerkkarten.
Aufbau:
```text
Internes LAN
|
Firewall mit 3 Netzwerkkarten
|
Internet
|
DMZ
```
Vorteile:
- weniger Aufwand
- nur eine Firewall
- nur ein Regelwerk
Nachteile:
- weniger sicher als zwei-stufiges Konzept
- nur eine Verteidigungslinie
Merksatz:
```text
Ein-stufige DMZ = einfacher, aber unsicherer.
```
---
**Grafik 6: Ein-stufige DMZ mit drei Netzwerkkarten**
---
**Grafik 7: Zwei-stufige DMZ**
---
**42. Komplexere Firewall mit DMZ**
Im komplexeren Beispiel wird eine Linux-Maschine mit drei Netzwerkkarten als Firewall eingesetzt.
Beispielhafte Netze:
```text
Externes Netz: 192.168.1.0/24
Internes Netz: 192.168.2.0/24
DMZ: 192.168.3.0/24
```
Die Firewall hat dann zum Beispiel:
```text
1. Netzwerkkarte: 192.168.1.1
2. Netzwerkkarte: 192.168.2.1
3. Netzwerkkarte: 192.168.3.1
```
Regeln können dann zum Beispiel erlauben:
- internes Netz darf Web/Proxy nach extern nutzen
- interner Host darf per SSH auf Firewall
- interner Admin-PC darf per SSH auf DMZ-Server
- internes Netz darf DNS-Server in der DMZ nutzen
- Firewall darf NTP nach außen nutzen
Alles andere wird durch DROP verworfen.
---
**43. Prüfungssichere Merksätze**
```text
IP-Adresse = welcher Host?
Port = welcher Dienst?
Socket = IP-Adresse + Port
TCP (Transmission Control Protocol) = verbindungsorientiert und zuverlässig
TCP ist wie ein Einschreiben mit Rückschein. Es ist extrem zuverlässig, aber durch die vielen Kontrollen etwas langsamer.
TCP baut vor der eigentlichen Datenübertragung eine Verbindung auf. Dafür wird der sogenannte Three-Way-Handshake verwendet.
Vereinfacht:
1. Client fragt: Darf ich eine Verbindung aufbauen?
2. Server antwortet: Ja, ich bin bereit.
3. Client bestätigt: Verbindung steht.
UDP (User Datagram Protocol) = verbindungslos und schnell
Verbindungslos: Es wird keine formelle Verbindung (kein "Handshake") zwischen Sender und Empfänger aufgebaut,
bevor Daten gesendet werden. Daten werden einfach "abgeschickt"
Unzuverlässig: Es gibt keine Empfangsbestätigung und keine Prüfung, ob ein Paket angekommen ist.
Geht ein Paket verloren, wird es nicht erneut gesendet.
UDP ist wie das Werfen eines Balls. Es sendet Daten einfach los, ohne zu prüfen, ob sie ankommen.
Es ist rasend schnell und wird daher oft für Live-Streaming, Online-Gaming oder Telefonie (VoIP) genutzt.
QUIC = modernes Protokoll auf UDP-Basis mit Verschlüsselung
Portforwarding = von außen nach innen
NAT/PAT (Network/Port Address Translation) = von innen nach außen über eine gemeinsame öffentliche IP
NAT/PAT = interne private Adressen werden beim Zugriff nach außen in eine öffentliche Adresse übersetzt.
Allowlist = alles verboten außer erlaubt
Blocklist = alles erlaubt außer verboten
SPI-Firewall (Stateful Packet Inspection) = merkt sich Verbindungszustände
Erklärung: ist eine hochentwickelte Sicherheitstechnologie in Routern und Firewalls. Sie schützt Netzwerke, indem sie Datenpakete nicht nur einzeln bewertet, sondern den gesamten Kontext und Verbindungsstatus (den "Zustand") einer Kommunikation überwacht und speichert.
INPUT = zur Firewall selbst
OUTPUT = von der Firewall selbst
FORWARD = durch die Firewall hindurch
Portforwarding = eingehende Verbindung von außen wird gezielt an ein internes Gerät weitergeleitet.
DMZ = separates Zwischennetz für öffentlich erreichbare Server
Zwei-stufige DMZ = sicherer, aber aufwendiger
Ein-stufige DMZ = einfacher, aber unsicherer
```
---
**44. Mini-Vergleich: wichtigste Begriffe**
| Begriff | Kurz erklärt |
|---|---|
| Port | Nummer für Dienst oder Anwendung |
| Socket | Kombination aus IP-Adresse und Port |
| TCP | zuverlässige Verbindung mit Aufbau und Abbau |
| UDP | schnelle, verbindungslose Übertragung |
| QUIC | modernes, verschlüsseltes Protokoll auf UDP-Basis |
| Portknocking | richtige Port-Reihenfolge löst Ereignis aus |
| Portforwarding | externer Port wird auf internen Dienst weitergeleitet |
| NAT/PAT | interne Geräte teilen sich öffentliche IP-Adresse |
| Allowlist | nur ausdrücklich Erlaubtes ist erlaubt |
| Blocklist | alles erlaubt außer ausdrücklich Verbotenem |
| Firewall | kontrolliert Netzwerkverkehr anhand von Regeln |
| SPI | Stateful Packet Inspection, merkt sich Verbindungen |
| INPUT | Pakete zur Firewall |
| OUTPUT | Pakete von der Firewall |
| FORWARD | Pakete durch die Firewall |
| DMZ | separates Netz für Dienste zwischen intern und extern |
---
**45. Typische Prüfungsfrage: Was ist der Unterschied zwischen NAT und Portforwarding?**
NAT/PAT wird genutzt, wenn interne Geräte ins Internet wollen.
Dabei ersetzt der Router die private Quelladresse durch seine öffentliche IP-Adresse und merkt sich die Verbindung über Ports.
Portforwarding wird genutzt, wenn externe Geräte aus dem Internet auf einen internen Dienst zugreifen sollen.
Dabei wird ein externer Port auf eine interne IP-Adresse und einen internen Port weitergeleitet.
Kurz:
```text
NAT/PAT: innen -> außen
Portforwarding: außen -> innen
```
---
**46. Typische Prüfungsfrage: Warum ist eine DMZ sinnvoll?**
Eine DMZ trennt öffentlich erreichbare Server vom internen LAN.
Wenn ein Webserver in der DMZ angegriffen oder kompromittiert wird, liegt er nicht direkt im internen Netz.
Dadurch wird das interne LAN besser geschützt.
Kurz:
```text
DMZ = Sicherheitszone zwischen Internet und internem LAN.
```
---
**47. Typische Prüfungsfrage: Warum ist eine SPI-Firewall besser als ein einfacher Paketfilter?**
Eine SPI-Firewall merkt sich den Zustand einer Verbindung.
Wenn ein interner Client eine Verbindung nach außen aufbaut, erkennt die Firewall die passende Antwort automatisch.
Man muss den Rückweg nicht separat freigeben.
Kurz:
```text
Paketfilter: Hinweg und Rückweg oft manuell regeln.
SPI-Firewall: Hinweg erlauben, Rückweg wird passend erkannt.
```
---
**48. Typische Prüfungsfrage: Was bedeutet „Default DROP“?**
Default DROP bedeutet:
```text
Alles, was nicht ausdrücklich erlaubt ist, wird verworfen.
```
Das ist ein sicheres Firewall-Grundprinzip.
Man erstellt zuerst die notwendigen Erlaubnisregeln.
Am Ende wird alles andere blockiert.
---
**49. Gesamtbild**
Die Seiten 64 bis 94 zeigen den Übergang von der Transportschicht zur praktischen Netzwerksicherheit.
Erst wird erklärt, wie Dienste über Ports unterschieden werden.
Danach wird gezeigt, wie TCP, UDP und QUIC arbeiten.
Anschließend geht es darum, wie Verbindungen nach innen oder außen weitergeleitet werden.
Zum Schluss werden Firewalls, iptables-Regeln und DMZ-Konzepte erklärt.
Das zentrale Prinzip lautet:
```text
Netzwerkkommunikation muss adressiert, unterschieden, kontrolliert und abgesichert werden.
```