Ein Router bringt eine Firewall mit, weil das einfach in der Funktionsweise eines SUA/NAT-Routers liegt. Die für den Privatanwender preislich erstehbaren Soho-Router bringen zusätzlich nur noch wenige Features mit, welche die Firewallfunktionalität (wie erwähnt hervorgerufen durch die Funktionsweise) ausbauen, z.B. StatefulPacketInspection... Somit braucht ein Router keine Firewallupdates, ausser, es steckt ein Fehler in der grundlegenden Routingfunktion.
Ganz kurz: Für gewöhnlich ist ein Router aus Sicht des lokalen Netzwerkes ein Multiplexer, welche mehrere Rechner (mit mehreren IP-Adressen) auf eine IP-Adresse umsetzt (die WAN-IP, welche vom Provider übermittelt wird). Ein Rechner möchte also Daten ins Internet übertragen, welche für gewöhnlich in kleinen Paketen verpackt sind und bereits wichtige, zusätzliche Daten enthalten und zwar QuellIP/Port und ZielIP/Port. Der Router nimmt die Pakete entgegen und muss nun QuellIP/Port austauschen - die IP muss auf die WAN-IP gewechselt werden, denn nur durch diese Adresse bleibt dies eindeutig adressierbar. Gleichzeitig muss man sich den Router aus Sicht des Internets als Demultiplexer vorstellen, welcher eine IP-Adresse (WAN-IP) auf mehrere IPs (lokale IP-Adressen der lokalen Rechner) umsetzt. Der ganze Verkehr kommt also sozusagen auf einer Leitung an (bitte nicht zu wörtlich nehmen) - in Paketform. Der Router muss diesen Verkehr nun "sortieren", indem er die IP-Adresse und den Port (letzteres muss nicht sein, aber kann), welche die einzelnen Pakete mitführen, austauscht gegen die passende lokale Adresse. Ich habe eben gesagt, dass der Router beim Versenden von Daten die IP-Adresse des lokalen Rechners gegen die WAN-IP austauscht - an dieser Stelle passiert aber noch etwas ganz Wesentliches: der Router merkt sich in einer Tabelle (NAT-Table) die Kombination aus lokaler IP-Adresse aus den Paket-Daten und der Zieladresse - denn kommt nun Datenverkehr rein, so kann der Router nun sagen, dass Paket X, von entferntem Rechner Y kommend, an lokalen Rechner Z weitergeleitet werden muss, weil Rechner Z zuvor mit Rechner Y kommuniziert hat und dies eine Antwort oder sonstwas sein könnte.
So ist also eindeutig zuordbar, welcher lokale Rechner welche ankommenden Pakete zu erhalten hat. Probleme gibt es genau dann, wenn zwei lokale Rechner gleichzeitig mit demselben entfernten Rechner kommunizieren wollen. Der entfernte Rechner sendet nun Daten zurück, der router kann aber nun nicht sagen, welcher Rechner die Antwortdaten erhalten soll (an dieser Stelle kommt dann meist der Port zur weiteren Unterscheidung zum Zuge...aber das geht dann wirklich zu weit hier
).
Alle Daten, welche ansonsten ankommen, wo also kein Eintrag in der NAT-Tabelle vorhanden ist, können also NICHT weitergeleitet werden (es kann nicht gesagt werden, an welchen lokalen Rehcner die Pakete denn nun weitergeleitet werden sollen) und werden verworfen, es sei denn, es wurden gewisse Regeln vereinbart. Demnach kann also kein entfernter Rechner mit einem lokalen Rechner kommunizieren, wenn der lokale Rechner nicht zuvor mit dem entfernten Rechner kommuniziert hat oder aber eine gewisse Regel den Verkehr direkt an den lokalen Rechner weiterleitet. somit ist die Firewallfunktionalität erklärt, welche zunächst mal alles Rausgehende erlaubt und alles Reinkommende verbietet.
Poblematisch wird es lediglich, wenn Trojaner am Werk sind, welche eben Daten raussenden wollen. Dann wird ein NAT-Table-Eintrag gemacht und alles was ankommt wird auf den verseuchten Rechner durchgelassen.
Updates gibt es also für diese Art von Routern nicht! Lediglich Bugfixes...
Du wiederholst nur meinen Post #2!
