Moin,

Auch nicht verkehrt(und gar nicht so teuer) sind Router die einen evtl. einen Paketfilter und NAT anbieten. Vor allem durch NAT kann man genau bestimmen ob und wenn ja welche Ports auf welchen Rechner weitergeleitet werden sollen.

NAT ist kein Sicherheitsfeature. Wurde erst kürzlich auf de.comp.security.firewall (glaube ich) durchgenommen.

Mal ne Frage hierzu - woher weiß so ein Router ob er ein IP-Paket (z.B. einen HTTP-Response) durchleiten soll oder nicht? Wenn ich mich nicht irre arbeiten Router doch nur auf IP-Ebene

Du irrst dich nicht. Die Lösung ist einfach: Das was dem Heimanwender da als 'Router' verkauft wird, ist in 99% aller Fälle keiner, deswegen wehre ich mich auch standhaft gegen diesen Begriff. Da es fast immer NAT macht und da auch nur die eingeschränkte Variante mit genau einer öffentlichen und mehreren privaten Addressen (manchmal auch Port Address Translation bzw. PAT genannt) ist es ein Masquerading-Gateway.

Ein echter Router arbeitet tatsächlich meistens nur auf der Ebene von IP und schickt einfach IP-Pakete die irgendwo reinkommen nach irgendeiner Regel irgendwo wieder raus.

Das Ding da das Masquerading macht, arbeitet teilweise auf höheren Ebenen: In der Regel TCP/UDP und IP aber bei ganz kranken Fällen wie FTP kann es auch notwendig sein, dort tätig zu werden. Wenn ein Paket von innen kommt und nach draussen soll, werden die alte Absenderaddresse und der alte Port (daher geht das nicht auf der IP-Ebene da es dort keine Ports gibt) gemerkt und die Absenderaddresse mit der öffentlichen Addresse des Gateways und der Absenderport  mit einer neuen Nummer ersetzt. Für den Empfänger sieht das so aus, als würde das Paket von dem Gateway kommen und er schickt seine Antwort dorthin und an die soeben ausgesuchte neue Portnummer zurück. Das Gateway nimmt das Paket in Emfang und sieht aufgrund der Portnummer und des Absenders in seiner Liste nach, schreibt die Addressen und Portnummern um und leitet das Paket nach drinnen weiter.