Kaufberatung: DSL-Router

Dienste und Sicherheit

Das NAT-Verfahren funktioniert so lange nur Verbindungen von innen nach außen aufgebaut werden. Also beispielsweise beim Browsen im Internet oder Abrufen von Mails. Sollen allerdings Verbindungen von außen zu einem Rechner im LAN hergestellt werden, ist das nicht ohne Weiteres möglich. Der Router weiß ja nicht, welcher interne Rechner gemeint ist.

Mit einem Router-Feature namens Virtual Server lässt sich auch ein von außen gesteuerter Verbindungsaufbau realisieren. Dabei weist man den Router an, auf bestimmten TCP/IP-Ports eingehende Verbindungen direkt an einen Rechner im LAN weiterzuleiten. Bietet der Router zusätzlich Port Address Translation, kann man den Zielport auf dem Rechner bestimmen, also beispielsweise auf Port 80 eingehende Verbindungen auf den Port 8080 des Zielrechners weiterleiten.

Es gibt aber noch eine andere Kategorie von Internet-Anwendungen, die beim Einsatz eines Routers nicht mehr funktionieren. Diese Anwendungen stellen eine Verbindung mit einem TCP/IP-Port des Servers her, der seinerseits von sich aus einen festgelegten Port des Clients ansprechen will. Dies schlägt jedoch fehl, da der Server die IP-Adresse des Routers adressiert und dieser nicht weiß, wohin mit dem Datenpaket.

Unter der Bezeichnung Special Applications bieten beinahe alle SOHO-Router ansatzweise eine Funktion, die bei großen Firewalls als Stateful Inspection bekannt ist. Dabei überwacht der Router den ausgehenden Datenverkehr auf Verbindungsanforderungen zu den eingestellten Ports und merkt sich, von welchem Rechner im LAN sie kamen. Wenn nun der angesprochene Server die Verbindung in Gegenrichtung aufbauen will, leitet der Router dieses Datenpaket zum entsprechenden Rechner im LAN weiter. Der Spiele-Server Battle.net beispielsweise benötigt dieses Szenario.