Frage:

Warum kann Portforwarding nicht aus dem lokalen Netzwerk heraus ueber
die dynamische IP des Providers getestet werden?


Antwort:

Dies ist kein fli4l-spezifisches Problem, sondern ein allgemeines,
welches jeder Router hat.

Hier mal ein plastisches Beispiel:


              eth1   195.1.1.1  <- durch Provider vergebene IP.
                         |
                       ROUTER
                         |
              eth0   192.168.6.1  <- lokale IP
                         |
                         |
               ---------------------
               |                   |
           192.168.6.2         192.168.6.254
               |                   |
             Client               Server


Nehmen wir nun an, es waere ein Forwarding fuer Port 80 nach
Server 192.168.6.254 eingestellt.

Ich stelle mich jetzt mal ganz dumm und frage mich:

"Maskiert ROUTER, wenn ich von innen nach innen forwarde?"

Nehmen wir weiterhin an, ich wuesste die Antwort nicht, dann muss
ich beide Moeglichkeiten durchspielen.

1. Fall: ROUTER maskiert nicht von innen nach innen:

   Der Client adressiert die externe IP. Im Paket steht also:

     Absender:   192.168.6.2
     Empfaenger: 195.1.1.1:80

   Das Paket gelangt (logisch gesehen) zur eth1. ROUTER schickt
   dieses Paket nun (unsere Annahme) an den lokalen Server, wobei
   er die Empfaenger-Adresse auf 192.168.6.254 aendert.

   Auf dem Server kaeme also an:

     Absender:   192.168.6.2        <- ungeaendert
     Empfaenger: 192.168.6.254:80   <- geaendert wg. Portfw

   Prima. Nun kann der Server antworten. Er wird die Antwort an
   den lokalen Rechner 192.168.6.2 schicken, denn dieser ist als
   Absender drin.

   Der Client bekommt das Paket also direkt(!) von 192.168.6.254
   und stutzt: "Hae, ich habe den Request an "195.1.1.1" geschickt
   und bekomme die Antwort von 192.168.6.254???". Der Client
   wird darauf sehr verwirrt sein und das Antwort-Paket verwerfen.

2. Fall: ROUTER maskiert auch von innen nach innen:

   Der Client adressiert die externe IP. Im Paket steht also:

     Absender:   192.168.6.2
     Empfaenger: 195.1.1.1:80

   Das Paket wird wegen Portfw an den internen Server weitergeleitet:

     Absender:   195.1.1.1         <- Masquerading!
     Empfaenger: 192.168.6.254:80  <- Forwarding!

   Es waeren nun also Absender _und_ Empfaenger gefaelscht.

   Der Server antwortet nun an 195.1.1.1 mit Absender 192.168.6.254,
   also:

     Absender:   192.168.6.254
     Empfaenger: 195.1.1.1

   ROUTER wuerde nun daraus machen:

     Absender:   195.1.1.1        <- Masquerading!
     Empfaenger: 195.1.1.1        <- unveraendert, da extern.

   Whoooops!


Beide Probleme erkannt? Es geht so oder so nicht - unabhaengig davon,
wie fli4l es mit Linux als Betriebssystem wirklich handhabt.

Frank Meyer, Januar 2003