Veröffentlicht 18. November 200816 j Bei folgenden zwei Aufgaben weiß ich gar nicht wie ich vorgehen soll. Deswegen würde ich mich freuen wenn mir das mal jemand erläutern könnte. Danke. c) Für IP Multicast-Adressen ist das Präfix 1110 (Klasse D) vorgesehen. Geben Sie den IP Multicast-Adressbereich (Start- bis Endadresse) in Dezimal-Punkt-Schreibweise an. (2 Punkte) d) Die Videokonfernzanwendung verwendet die IP Multicast-Adresse 224.2.106.233 Geben Sie die MAC Multicast-Adresse in Hexadezimal-Schreibweise an. Vorschrift: Die niederwertigsten Bit der IP-Adresse werden auf die niederwertigsten 23 Bit der Ethernet Multicast-Adresse 01-00-5E-00-00-00 abgebildet. (2 Punkte)
18. November 200816 j Ach und dann noch die Frage warum man bei Firewalls oftmals nur eine Richtung angibt. Es gibt doch keine einseitigen Verbindungen, oder? Ich meine angenommen ich möchte Daten von einem FTP laden dann gebe ich den Impuls (eingehend) und der Server schickt mir eine Antwort (ausgehend). So funktioniert das doch überall. Warum also nur eine Richtung angeben?
18. November 200816 j Zum zweiten Posting: Verbindungen werden normalerweise geblockt, wenn sie initialisiert werden sollen. ZU dem Zeitpunkt wird an einem bestimmten Port "angeklopft". Die Antwort zu blocken ist recht komplex, da die Ports auf denen geantwortet und die weitere Kommunikation läuft, meist dynamisch zwischen Client/Server ausgehandelt werden. Um das zu verfolgen, braucht es eine Firewall, die in die Pakete reinschaut und die dann die entsprechenden Ports sperren würde. Einfacher ist es aber, die Vervbindung erst gar nicht initialisieren zu lassen. Dann braucht man auch keine Antwort blocken, da ja gar nicht erst eine kommt. Wenn etwas in die andere Richtung verboten sein soll, dann wird das auch entsprechend auf der Firewall eingerichtet.
18. November 200816 j Und was soll dann sowas? Gerät Dienst Port Richtung Linux Firewall SMTP 25 eingehend/ausgehend Linux Firewall FTP-Data 20 eingehend Linux Firewall FTP 21 eingehend Linux Firewall HTTP 80 ausgehend ISA-Server SMTP 25 eingehend/ausgehend ISA-Server HTTP 80 ausgehend
18. November 200816 j Hallo I.d.R. sperrt eine Firewall erstmal alles, was von Aussen rein kommt und lässt alles von Innen nach Aussen durch. Durch Regeln schlägst du Lücken in die Firewall, sodass auch Verbindungen von Aussen nach Innen möglich sind, z.B. wenn du einen Web- oder FTP-Server betreibst. Verbindungen die von Innen nach Aussen gehen, werden durch das sog. 'connection-tracking' behandelt. Die Firewall 'merkt' sich die Verbindung und lässt Antwortpakete von Aussen nach Innen durch. Wenn du nicht möchtest, dass Benutzer von Innen nach Aussen eine HTTP Verbindung (auf deutsch: surfen) aufbauen, sperrst du HTTP ausgehend. Alternativ kannst du auch komplett alles Sperren und nur bestimmte Ports durchlassen. Das Regelwerk dafür bedeutet aber wesendlich mehr Aufwand. Viele Grüße Frank
18. November 200816 j @DaSilva: Wenn etwas sowohl ein- als auch ausgehend erlaubt ist, wo ist da dann das Problem bei der Logik? Wäre Port 21 z.B. in beide Richtungen erlaubt, dann wäre ein interner FTP-Server von aussen erreichbar und man könnte auch auf externe FTP-Server zugreifen.
18. November 200816 j Also es ist klar was es bedeutet wenn keine Richtung oder beiden Richtungen zugelassen sind. Wenn aber nur eine Richtung zugelassen wird kann gar keine Verbindung aufgebaut werden. Angenommen Server X blockt alle eingehenden Verbindungen, dann kann es auch keine Anfragen oder Statusreports geben, sodass auch keine ausgehende Verbindung aufgebaut wird. Andersrum ähnlich: Wenn Server Y nur eingehende Verbindungen zulässt empfängt er zwar die Anforderungen, antwortet aber nicht -> auch keine Verbindung. Steh ich da auf dem Schlauch oder handelt es sich bei der Richtungsangabe nur um die richtigen Daten, nicht aber Headerinformationen etc.?
18. November 200816 j [...]Wenn aber nur eine Richtung zugelassen wird kann gar keine Verbindung aufgebaut werden. Angenommen Server X blockt alle eingehenden Verbindungen, dann kann es auch keine Anfragen oder Statusreports geben, sodass auch keine ausgehende Verbindung aufgebaut wird. Andersrum ähnlich: Wenn Server Y nur eingehende Verbindungen zulässt empfängt er zwar die Anforderungen, antwortet aber nicht -> auch keine Verbindung.[...]Wie schon oben erwähnt wurde, werden den Verbindungen sessions zugeordnet, so dass Verbindungen, deren Initialisierung erlaubt ist, auch den Rückkanal geöffnet bekommen. Bei der Antwort wird der Port mitgeteilt, auf dem Der PC erwartet, von dem anderen PC für die weitere Verbindung angesprochen zu werden und auch der Verkehr wird dann normalerweise durchgelassen. Daher können also sehr wohl Verbindungen aufgebaut werden.
18. November 200816 j c) Für IP Multicast-Adressen ist das Präfix 1110 (Klasse D) vorgesehen. Geben Sie den IP Multicast-Adressbereich (Start- bis Endadresse) in Dezimal-Punkt-Schreibweise an. (2 Punkte) Anfang: 11100000.00000000.00000000.00000000 ---> 224.0.0.0 Ende: 11101111.11111111.11111111.11111111 ---> 239.255.255.255 Das heißt, der Bereich geht von 224.0.0.0 bis 239.255.255.255 Sorry, muss los, keine Zeit für Erklärung, hoffe, ich hab da keinen Schnitzer drin
20. November 200816 j schau mal hier: http://forum.fachinformatiker.de/pruefungsaufgaben-loesungen/104824-ap-winter-05-06-aufgabe-1d.html
Archiv
Dieses Thema wurde archiviert und kann nicht mehr beantwortet werden.