Крім SNAT, тобто. надання користувачам локальної мережі з внутрішніми адресами доступу до мережі Інтернет, часто застосовується також Destination NAT, коли звернення ззовні транслюються міжмережевим екраном на сервер у локальній мережі, що має внутрішню адресу і тому недоступний із зовнішньої мережі безпосередньо (без NAT).
На рисунках нижче наведено приклад дії механізму NAT.
Рис. 7.1.
Користувач корпоративної мережі надсилає запит до Інтернету, який надходить на внутрішній інтерфейс маршрутизатора, сервер доступу або міжмережевого екрана (пристрій NAT).
Пристрій NAT отримує пакет і робить запис у таблиці відстеження з'єднань, яка керує перетворенням адрес.
Потім підміняє адресу джерела пакета власною зовнішньою загальнодоступною IP-адресою і посилає пакет за місцем призначення до Інтернету.
Вузол призначення отримує пакет і передає відповідь назад до пристрою NAT .
Пристрій NAT, своєю чергою, отримавши цей пакет, шукає відправника вихідного пакета в таблиці відстеження з'єднань, замінює IP-адресапризначення на відповідну приватну IP-адресу та передає пакет на вихідний комп'ютер. Оскільки пристрій NAT надсилає пакети від імені всіх внутрішніх комп'ютерів, він змінює вихідний мережевий портта ця інформація зберігається в таблиці відстеження з'єднань.
Існує 3 базові концепції трансляції адрес:
- статична (SAT, Static Network Address Translation),
- динамічна (DAT, Dynamic Address Translation),
- маскарадна (NAPT, NAT Overload, PAT).
Статичний NATвідображає локальні IP-адреси на конкретні публічні адреси на основі один одного. Застосовується, коли локальний хост має бути доступний ззовні з використанням фіксованих адрес.
Динамічний NATвідображає набір приватних адрес на деяку кількість публічних IP-адрес. Якщо кількість локальних хостів не перевищує кількість наявних публічних адрес, кожній локальній адресі буде гарантуватися відповідність публічної адреси. Інакше кількість хостів, які можуть одночасно отримати доступ до зовнішніх мереж, буде обмежена кількістю публічних адрес.
Маскарадний NAT(NAPT, NAT Overload, PAT, маскарадинг) – форма динамічного NAT, який відображає кілька приватних адрес в єдину публічну IP-адресу, використовуючи різні порти. Відомий також як PAT (Port Address Translation).
Механізмів взаємодії внутрішньої локальної мережі із зовнішньою загальнодоступною мережею може бути кілька – це залежить від конкретної задачі забезпечення доступу до зовнішньої мережі і назад і прописується певними правилами. Визначено 4 типи трансляції мережевих адрес:
- Full Cone (Повний конус)
- Restricted Cone (Обмежений конус)
- Port Restricted Cone (Порт обмеженого конуса)
- Symmetric (Симетричний)
У перших трьох типах NAT для взаємодії різних IP-адрес зовнішньої мережі з адресами з локальної мережі використовується один і той же зовнішній порт. Четвертий тип – симетричний – для кожної адреси та порту використовує окремий зовнішній порт.
Full Cone, зовнішній порт пристрою (маршрутизатора, сервера доступу, міжмережевого екрана) відкритий для запитів, що надходять з будь-яких адрес. Якщо користувачеві з Інтернету потрібно надіслати пакет клієнту, розташованому за NAT 'ом, йому необхідно знати тільки зовнішній порт пристрою, через який встановлено з'єднання. Наприклад, комп'ютер за NAT 'ом з IP-адресою 192.168.0.4 посилає та отримує пакети через порт 8000, які відображаються на зовнішній IP-адресу та порт , як 10.1.1.1:12345. Пакети із зовнішньої мережі надходять на пристрій з IP-адресою: портом 10.1.1.1:12345 і далі відправляються на клієнтський комп'ютер 192.168.0.4:8000.
У вхідних пакетах перевіряється лише транспортний протокол; адреса та порт призначення, адреса та порт джерела значення не мають.
При використанні NAT, що працює за типом Restricted Cone, зовнішній порт пристрою (маршрутизатора, сервера доступу, міжмережевого екрану) відкритий для будь-якого пакета, надісланого з клієнтського комп'ютера, у нашому прикладі: 192.168.0.4:8000. А пакет, що надходить із зовнішньої мережі (наприклад, від комп'ютера 172.16.0.5:4000) на пристрій з адресою: портом 10.1.1.1:12345, буде відправлено на комп'ютер 192.168.0.4:8000 тільки в тому випадку, якщо 192.168.0. попередньо надсилав запит на IP-адресу зовнішнього хоста (у нашому випадку – на комп'ютер 172.16.0.5:4000). Тобто, маршрутизатор транслюватиме вхідні пакети лише з певної адреси джерела (у нашому випадку комп'ютер 172.16.0.5:4000), але номер порту джерела при цьому може бути будь-яким. Інакше NAT блокує пакети, що прийшли з хостів, на які 192.168.0.4:8000 не надсилав запиту.
Механізм NAT Port Restricted Coneмайже аналогічний механізму NAT Restricted Cone. Тільки в даному випадку NAT блокує всі пакети, що прийшли з хостів, на які клієнтський комп'ютер 192.168.0.4:8000 не надсилав запиту по будь-якій IP-адресі та порту. Маршрутизатор звертає увагу на відповідність номера порту джерела та не звертає уваги на адресу джерела. У нашому прикладі маршрутизатор транслюватиме вхідні пакети з будь-якою адресою джерела, але порт джерела при цьому має бути 4000. Якщо клієнт відправив запити до зовнішньої мережі до кількох IP-адрес та портів, то вони зможуть посилати пакети клієнту на IP-адресу: порт 10.1 .1.1:12345.
Symmetric NATістотно відрізняється від перших трьох механізмів способом відображення внутрішньої IP-адреси: порту на зовнішню адресу: порт. Це відображення залежить від IP-адреси: порту комп'ютера, якому призначено надісланий запит. Наприклад, якщо клієнтський комп'ютер 192.168.0.4:8000 посилає запит комп'ютеру №1 (172.16.0.5:4000), він може бути відображений як 10.1.1.1:12345, в той же час, якщо він посилає з того ж порту (192.16. 0.4:8000) на іншу IP-адресу, він відображається по-іншому (10.1.1.1:12346).
Однак слід згадати і про недоліки цієї технології:
- Не всі протоколи можуть "подолати" NAT. Деякі не в змозі працювати, якщо на шляху між хостами, що взаємодіють, є трансляція адрес. Виділені міжмережеві екрани, що здійснюють трансляцію IP-адрес, можуть виправити цей недолік, відповідним чином замінюючи IP-адреси не тільки в заголовках IP, але і на більш високих рівнях (наприклад, у командах протоколу FTP).
- Через трансляцію адрес "багато в один" з'являються додаткові складнощі з ідентифікацією користувачів та необхідність зберігати повні логи трансляцій.
- Атака DoS з боку вузла, що здійснює NAT – якщо NAT використовується для підключення багатьох користувачів до одного і того ж сервісу, це може викликати ілюзію DoS-атаки на сервіс (безліч успішних та неуспішних спроб). Наприклад, надмірна кількість користувачів ICQ за NAT призводить до проблеми з підключенням до сервера деяких користувачів через перевищення допустимої швидкості підключення.
NAT або трансляція мережевих адрес є способом перепризначення одного адресного простору в інший шляхом зміни інформації мережевих адрес в Internet Protocol або IP. Заголовки пакетів змінюються в той час, коли вони перебувають у дорозі через пристрої маршрутизації. Цей методвикористовувався спочатку для простішого перенаправлення трафіку в мережах IP без необхідності нумерації кожного хоста. Він став важливим та популярним інструментом для розподілу та збереження глобального адресного простору в умовах гострої нестачі адрес IPv4.
Що таке NAT?
Використання трансляції мережевих адрес полягає в відображенні кожної адреси з одного адресного простору до адреси, яка знаходиться в іншому адресному просторі. Це може знадобитися в тому випадку, якщо змінився провайдер послуг, а користувач не має можливості публічно оголосити новий маршрут до мережі. Технологія NAT за умов глобального виснаження адресного простору з кінця 90-х використовується дедалі частіше. Зазвичай ця технологія використовується в поєднанні з IP-шифруванням. IP-шифрування є методом переходу декількох IP адрес в один простір. Цей механізм реалізований у пристрої маршрутизації, що використовує таблиці перекладу із збереженням стану для відображення в одну IP адресу прихованих адрес. Також він перенаправляє на вихід всі вихідні пакети IP. Таким чином, дані пакети відображаються такими, що виходять з пристрою маршрутизації. Відповіді у зворотному каналі зв'язку відображаються у вихідній IP-адресі за допомогою правил, які зберігаються в таблицях перекладу. У свою чергу таблиці перекладу очищаються через короткий час, якщо трафік не оновить свій стан. Ось у чому полягає основний механізм NAT. Що це означає? Дана технологіядозволяє організовувати зв'язок через маршрутизатор лише тому випадку, коли з'єднання відбувається у зашифрованої мережі, оскільки це створює таблиці перевода. Всередині такої мережі веб-браузер може переглядати сайт за її межами, однак, будучи встановленим поза нею, він не може відкрити ресурс, який у ній розміщений. Більшість пристроїв NAT сьогодні дозволяють адміністратору конфігурувати записи таблиці перекладу для постійного застосування. Ця функціяособливо часто згадується як перенаправлення портів або статичне NAT. Вона дає можливість трафіку, що виходить у «зовнішню» мережу, досягти призначених хостів у зашифрованій мережі. Через те, що метод, використовуваний для збереження адресного простору IPv4 користується популярністю, термін NAT практично став синонімом методу шифрування. Оскільки трансляція мережних адрес змінює інформацію про адресу IP-пакетів, це може мати серйозні наслідки якості підключення. Тож вона потребує пильної уваги до всіх деталей реалізації. Способи використання NAT один від одного відрізняються у своїй конкретній поведінці у різних ситуаціях, що стосуються впливу на мережевий трафік.
Базова NAT
Найпростіший тип NAT дозволяє забезпечити трансляцію IP-адрес «один-до-одному». Основним типом цієї трансляції є RFC-2663. У цьому випадку змінюються лише IP-адреси, а також контрольна сумазаголовків IP. Можна використовувати основні типи трансляції для з'єднання двох мереж IP, що мають несумісну адресацію.
Більшість різновидів NAT здатна порівняти кілька приватних хостів до однієї IP-адреси, який публічно позначений. Локальна мережа в типовій конфігурації використовує один із призначених «приватних» IP-адрес підмережі. У цій мережі маршрутизатор має приватну адресу у просторі. Також маршрутизатор підключається до інтернету за допомогою публічної адреси, який присвоюється провайдером інтернету. Оскільки трафік проходить з локальної мережі Інтернет, то адреса джерела в кожному пакеті переводиться з приватного до публічного на льоту. Також маршрутизатор відстежує основні дані про кожну активну з'єднання. Зокрема, це стосується такої інформації, як адреса та порт призначення. Коли відповідь повертається до неї, вона використовує дані з'єднання, що зберігаються під час виїзного етапу. Це необхідно для того, щоб визначити приватну адресу внутрішньої мережі, до якої потрібно надіслати відповідь. Основною перевагою такого функціоналу є те, що є практичним вирішенням проблеми вичерпання адресного простору IPv4. За допомогою однієї IP-адреси до Інтернету можуть бути підключені навіть великі мережі. Всі дейтаграми пакетів в IP мережах мають дві IP адреси – це вихідна адреса та адреса пункту призначення. Пакети, що проходять із приватної мережі до мережі загального користування, матимуть адресу джерела пакетів, яке змінюється під час переходу від публічної мережі до приватної. Також можливі складніші зміни.
Особливості налаштування NAT
Налаштування NAT може мати певні особливості. Щоб уникнути труднощів, пов'язаних з перекладом повернутих пакетів, можуть знадобитися їх подальші модифікації. Більшість інтернет-трафіку йтиме через протоколи UDPта TCP. Їхні номери змінюються таким чином, що адреси IP та номери порту при зворотному надсиланні даних починає зіставлятися. Протоколи, які не базуються на UDP або TCP, потребують інших методів перекладу. Як правило, ICMP або протокол управління повідомлення в мережі інтернет, співвідносить інформацію, що передається, з наявним з'єднанням. Це означає, що вони повинні відображатися з використанням тієї ж IP-адреси та номера, який був встановлений спочатку. Що ж потрібно враховувати? Налаштування NAT в роутері не надає можливості з'єднання «з кінця в кінець». З цієї причини такі маршрутизатори не можуть брати участь у деяких інтернет-протоколах. Послуги, які вимагають з'єднання TCP від зовнішньої мережі або користувачів без протоколів, можуть бути просто недоступні. Якщо маршрутизатор NAT не робить особливих зусиль для підтримки таких протоколів, то вхідні пакети можуть так і не досягти місця призначення. Деякі протоколи можуть бути розміщені в одній трансляції між хостами, що беруть участь, іноді за допомогою шлюзу прикладного рівня. Проте з'єднання не буде встановлено, коли обидві системи за допомогою NAT відокремлені від Інтернету. Також використання NAT ускладнює тунельні протоколи типу IPsec, оскільки вона змінює значення в заголовках, які взаємодіють з перевірками цілісності запитів.
NAT: існуюча проблема
Основним принципом інтернету є з'єднання «з кінця до кінця». Воно існує з його розробки. Поточний стан мережі лише доводить, що NAT є порушенням цього принципу. У професійному середовищі є серйозне занепокоєння, пов'язане з повсюдним використанням IPv6 трансляції мережевих адрес. Таким чином, сьогодні порушується питання про те, як можна усунути цю проблему. Через те, що таблиці, що зберігають стан трансляції в маршрутизаторах NAT за своєю природою, не вічні, пристрої внутрішньої мережі втрачають з'єднання IP протягом дуже короткого періоду часу. Не можна забувати про цю обставину говорячи про те, що являє собою NAT в роутері. Це значно скорочує час роботи компактних пристроїв, що працюють на акумуляторах та батарейках.
Масштабованість
При використанні NAT також відстежуються ті порти, які можуть бути швидко виснажені внутрішніми програмами, які використовують кілька одночасних з'єднань. Це можуть бути запити HTTP для сторінок з великою кількістю вбудованих об'єктів. Пом'якшити цю проблемуможна відстеження IP адреси у призначеннях на додаток до порту. Один локальний порт у такий спосіб може бути розділений великою кількістю віддалених хостів.
NAT: деякі складнощі
Оскільки всі внутрішні адреси є замаскованими під один загальнодоступний, для зовнішніх хостів неможливо ініціювати підключення до певного внутрішнього вузла без налаштування спеціальної конфігурації на брандмауері. Ця конфігурація повинна перенаправляти підключення до певного порту. Програми для IP-телефонії, відеоконференцій та подібні послуги для свого нормального функціонування повинні використовувати методи обходу NAT. Порт перекладу Raptі зворотна адреса дозволяє хосту, у якого IP адреса змінюється час від часу, залишатися доступною як сервер за допомогою фіксованої IP адреси домашньої мережі. Це, в принципі, має дозволити налаштування серверів зберігати з'єднання. Незважаючи на те, що таке вирішення проблеми є не ідеальним, це може стати ще одним корисним інструментом в арсеналі адміністратора мережі при вирішенні завдань, пов'язаних з налаштуванням на роутері NAT.
PAT або Port Address Translation
Port Address Translation є реалізацією Cisco Rapt, яка відображає кілька приватних IP-адрес у вигляді одного публічного. Таким чином, кілька адрес можуть бути відображені як адреса, тому що кожен з них відстежується за допомогою номера порту. PAT використовує унікальні номери портів джерела на внутрішньому глобальному IP, щоб розрізняти напрямок передачі даних. Цими номерами є цілі 16-розрядні числа. Загальна кількість внутрішніх адрес, які можуть бути переведені на одну зовнішню адресу, теоретично може досягати 65536. Насправді кількість портів, на які може бути призначена єдина адреса IP, становить приблизно 4000. PAT, як правило, намагається зберегти вихідний порт «оригіналу» . У тому випадку, якщо він вже використовується Port Address Translation, призначає перший доступний номер порту, починаючи з початку відповідної групи. Коли доступних портів не залишається і є більше однієї зовнішньої IP адреси, PAT переходить до наступного виділення вихідного порту. Цей процес буде продовжуватися, поки доступні дані не закінчаться. Служба Cisco відображає адресу та порт. Вона поєднує в собі адресу порту перекладу та дані тунелювання пакетів IPv4 внутрішньої мережі IPv6. По суті це альтернативний варіант Carrier Grade NAT та DS-Lite, який підтримує IP трансляції портів та адрес. Це дозволяє уникнути проблем, пов'язаних із встановленням та підтримкою з'єднання. Також це дозволяє забезпечити механізм переходу для розгортання IPv6.
Методи перекладу
Відомо кілька основних способів реалізації перекладу мережевої адреси та порту. У певних прикладних протоколах потрібно визначити зовнішню адресу NAT, яка використовується на іншому кінці з'єднання. Також часто необхідно вивчити та класифікувати тип передачі. Як правило, це робиться тому, що бажано між двома клієнтами, що знаходяться за окремими NAT, створити прямий канал зв'язку. Для цього був розроблений спеціальний протокол RFC 3489, який забезпечує простий обхід UPD через NATS. Він сьогодні вже вважається застарілим, оскільки у наші дні такі методи вважаються недостатніми для правильної оцінки роботи пристроїв. У 2008 році було розроблено протокол RFC 5389, в якому були стандартизовані нові методи. Ця специфікація сьогодні називається Session Traversal. Вона є спеціальну утиліту, призначену до роботи NAT.
Створення двостороннього зв'язку
Кожен пакет UDP та TCP містить IP адресу джерела та його номер порту, а також координати кінцевого порту. Номер порту має дуже важливе значення для отримання загальнодоступних послуг, як функціонал поштових серверів. Так, наприклад, порт 25 підключається до SMTP поштовогосервера, а порт 80 підключається до програмного забезпеченнявеб-сервер. Істотне значення має також і IP-адреса загальнодоступного сервера. Дані параметри повинні бути достовірно відомі вузлам, які мають намір встановити з'єднання. Приватні IP-адреси мають значення лише в локальних мережах.
Давно не новина, що мережевих IP-адрес для всіх пристроїв, що бажають перебувати в Інтернеті, мало. В даний час вихід із цієї ситуації знайшли, розробивши протокол IPv6, в якому довжина адреси становить 128 біт, тоді як нинішній IPv4 всього 32 біти. Але на початку 2000-х років знайшли інше рішення – використати перетворення мережевих адрес, скорочено nat. Далі у статті буде проведено налаштування nat у роутері.
Вхід у меню налаштувань роутера
Як приклад візьмемо роутер фірми ZyXEL серії ZyWALL USG та NXC5200.
Насамперед заходимо в налаштування роутера. Для цього в будь-якому веб-браузері в адресному рядку набираємо 192.168.1.1. (стандартна адреса роутера), з'явиться вікно з вимогою ввести логін та пароль.
У полі "Ім'я користувача" вводимо admin, у полі "Пароль" вводимо 1234. Натискаємо "ОК".
Налаштування nat у роутері
У вікні меню переходимо у вкладку «Configuration» (значок з двома шестирічками), далі «Network», далі «Routing». У вибраному вікні переходимо на закладку Policy Routing.
Меню налаштувань роутера ZyXEL
В даному менюналаштовується політика маршрутизації. В області «Criteria» налаштовуємо критерії для вибірки трафіку – який трафік необхідно транслювати (власне налаштувати nat), а який просто маршрутизувати. Трафік можна вибрати за кількома критеріями:
- Користувач (User);
- За інтерфейсом (Incoming);
- IP-адресою джерела (Source Address);
- IP-адресою одержувача (Destination Address);
- По порту призначення (Service).
В області «Next-Hop» призначаємо об'єкт для перенаправлення трафіку:
Вибір об'єкта перенаправлення роутера ZyXEL
Де «Auto» – трафік перенаправлятиметься у глобальний інтерфейс, призначений за замовчуванням; Gateway – на адресу вказаного в установках шлюзу; VPN Tunnel – IPSec віртуальний приватний тунель; Trunk – маршрут на «транк», де «транк» – це кілька інтерфейсів, налаштованих працювати разом чи режим резервування; Interface – перенаправлення на вказаний інтерфейс:
Важливо не забувати при будь-якому внесенні змін до настройок роутера натискати кнопку «OK», щоб зберегти налаштування, а не просто закривати веб-браузер.
Налаштування nat на комп'ютері
Як відомо, як роутер може служити і сам персональний комп'ютер. Найчастіше буває ситуація, коли є комп'ютерна мережаз кількох комп'ютерів, один із яких має вихід до Інтернету. У цій ситуації можна взагалі не купувати маршрутизаторів, а налаштувати комп'ютер з виходом в Інтернет як роутер і налаштувати nat вже на ньому. Розглянемо такий випадок докладніше.
Обов'язково на головному комп'ютері, який дивиться в Інтернет (назвемо його SERVER) було встановлено 2 мережеві карти– перша для підключення до локальної мережі, друга до провайдера. У прикладі використовуватиметься операційна система Windows Server 2012
Для налаштування насамперед запускаємо "Диспетчер сервера" (Пуск -> Адміністрація -> Диспетчер сервера). З'явиться вікно налаштування:
Звідси ми керуватимемо нашим сервером. Щоб продовжити налаштування, натисніть «Додати ролі та компоненти», щоб відкрити вікно майстра додавання ролей. Перший крок – Тип установки:
У наступному вікні необхідно вибрати роль, яку ми встановлюємо на сервер. Ставимо галку напроти «Віддалений доступ».
З'явиться наступне вікно, де відображається список необхідних для роботи компонентів. Натискаємо «Додати компоненти», це вікно зникне. Тиснемо «Далі».
У наступному вікні майстер пропонує додати компоненти сервера. Нічого міняти не треба, тиснемо "Далі".
На наступній сторінці майстер просто інформує нас про роль «Віддалений доступ». Тиснемо «Далі».
На наступному кроці виберіть «Служби ролей». Ставимо галочку навпроти "Маршрутизація", тиснемо "Далі".
Наступне вікно знову інформаційне, нічого вибирати не треба, але можна поставити галочку навпроти «Автоматичний перезапуск на вибраному сервері…», у результаті сервер після установки буде автоматично перезавантажено. Але це можна зробити і вручну. Тиснемо «Далі».
І останній крок – безпосереднє встановлення сервера. Після закінчення натискаємо кнопку "Закрити".
Встановлення сервера
Отже, ми налаштували комп'ютер, підключений до Інтернету, в режим сервера. Тепер потрібно на ньому налаштувати nat.
Переходимо в Пуск / Адміністрація / Маршрутизація та віддалений доступ. У вікні, що з'явилося, в лівій частині знаходимо пункт «SERVER (локально)», клікнемо по ньому правою кнопкоюмиші та у меню, що випало, тиснемо «Налаштувати і включити маршрутизацію та віддалений доступ».
З'явиться майстер налаштування сервера маршрутизації та дистанційного доступу, В якому і налаштуємо nat.
На першій сторінці нас коротко знайомлять із майстром – тиснемо «Далі». На наступному кроці необхідно вибрати одну із служб, які запускатимуться на даному сервері. Вибираємо "перетворення мережевих адрес (NAT)", тиснемо "Далі".
Далі майстер попросить вибрати мережеве з'єднання, що дивиться в Інтернет. У списку будуть присутні обидві мережеві карти (як мінімум, залежно від того, скільки їх встановлено на сервері). Вибираємо ту, до якої підключено мережевий кабельпровайдера. Тиснемо «Далі».
У наступному вікні майстер почне лаятись, що йому не вдається виявити у локальній мережі DHCP або DNS. Пропонується два варіанти продовження – увімкнути базові служби або встановити служби пізніше.
Вибираємо перший пункт, тиснемо "Далі". На наступній сторінці нас проінформую, у якому діапазоні працюватиме nat. Майстер налаштування цей діапазон вибирає автоматично, виходячи з конфігурації підключення до локальної мережі. Тиснемо «Далі».
Діапазон nat
Все, майстер налаштування завершує налаштування nat. Тиснемо «Далі», і в наступному вікні «Готово».
Залишилося останнє – налаштувати клієнтські комп'ютери, тобто всі інші комп'ютери локальної мережі. Для цього в комп'ютері клієнта (так необхідно буде зробити на кожному комп'ютері мережі) переходимо в Пуск / Панель управління / Центр управління мережами спільним доступом/ зміна параметрів адаптера. Заходимо до « Мережеві підключення». Клацаємо по значку правою кнопкою миші і в меню вибираємо «Властивості». У вікні вибираємо «Протокол Інтернету версії 4 (TCP/IPv4)», тиснемо «Властивості».
У після «Основний шлюз» пишемо IP-адресу комп'ютера сервера (яку налаштовували на минулому кроці), у полі «Уважаний DNS-сервер» пишемо IP-адреса DNSсервера провайдера, вказаного у відомостях про підключення до інтернету на сервері. Тиснемо "OK", і ще раз "OK". Все, клієнтський комп'ютер підключено до Інтернету.
Якщо Ви читаєте цей документ, то, швидше за все, ви під'єднані до Інтернету, і використовуєте трансляцію мережевих адрес ( Network Address Translation, NAT) прямо зараз! Інтернет став настільки величезним, ніж будь-хто міг собі уявити. Хоча точний розмір невідомий, поточна оцінка становить приблизно 100 мільйонів хостів і більш ніж 350 мільйонів користувачів, що активно працюють в Інтернеті. Фактично норма зростання така, що Інтернет ефективно подвоюється в розмірі щороку. Для комп'ютера, щоб спілкуватися з іншими комп'ютерами та Web-серверами в Інтернеті, він повинен мати IP-адресу. IP адреса (IP означає Інтернет Протокол) - це унікальне 32-бітове число, яке ідентифікує розташування вашого комп'ютера на мережі. В основному це працює так само, як ваша вулична адреса: спосіб точно з'ясувати, де ви знаходитесь і доставити вам інформацію. Теоретично можна мати 4,294,967,296 унікальних адрес (2^32). Фактичне число доступних адрес є меншим (десь між 3.2 і 3.3 мільярда) через спосіб, яким адреси поділені на класи та потреби відвести деякі з адрес для мультимовлення, тестування або інших певних потреб. Зі збільшенням домашніх мереж і ділових мереж, кількість доступних IP адрес вже недостатньо. Очевидне рішення полягає в тому, щоб перепроектувати формат адреси, щоб врахувати більше можливих адрес. Таким чином, розвивається протокол IPv6, але, це займе кілька років, тому що вимагає модифікації всієї інфраструктури Інтернету.
Ось де приходить NAT нам на спасіння. В основному, Мережева Трансляція Адреса дозволяє єдиному пристрої, типу маршрутизатора, діяти як агент між Інтернетом (або "публічною мережею") і локальною (або "приватною") мережею. Це означає, що потрібна тільки єдина унікальна IP-адреса, щоб представляти всю групу комп'ютерів чомусь поза їхньою мережею. Нестача IP адрес - лише одна причина використовувати NAT. Дві інші серйозні підстави це безпека та адміністрування
Ви дізнаєтеся про те, як можна отримати вигоду з NAT, але спочатку, давайте познайомимося з NAT трохи ближче і подивимося, що він може робити.
Маскування
NAT нагадує секретаря великого офісу. Скажімо, ви залишили інструкції секретареві, щоб не перенаправляти вам жодні дзвінки, доки ви не попросите про це. Пізніше ви телефонуєте потенційному клієнту і залишаєте повідомлення для нього, щоб він передзвонив вам. Ви кажете секретареві, що чекаєте на дзвінок від цього клієнта і дзвінок потрібно перекласти. Клієнт дзвонить на основний номер офісу, який є єдиним номером, який він знає. Коли клієнт говорить секретареві, кого він шукає, секретар перевіряє свій список співробітників, щоб знайти відповідність імені та його номери розширення. Секретар знає, що ви запитували цей дзвінок, тому він переводить того, хто дзвонив на ваш телефон.
Розроблена технологія Cisco, Трансляція Мережевих Адреса використовується пристроєм (міжмережевим екраном, маршрутизатором або комп'ютером), який знаходиться між внутрішньою мережею та іншою частиною світу. NAT має багато форм і може працювати кількома способами:
Статичний NAT- Відображення незареєстрованої IP-адреси на зареєстровану IP-адресу на підставі один до одного. Особливо корисно, коли пристрій повинен бути доступним зовні.
У статичному NAT, комп'ютер з адресою 192.168.32.10 завжди транслюватиметься на адресу 213.18.123.110:
Динамічний NAT- Відображає незареєстровану IP-адресу на зареєстровану адресу від групи зареєстрованих IP-адрес. Динамічний NAT також встановлює безпосереднє відображення між незареєстрованою та зареєстрованою адресою, але відображення може змінюватись залежно від зареєстрованої адреси, доступної в пулі адрес, під час комунікації.
У динамічному NAT, комп'ютер з адресою 192.168.32.10 транслюється в першу доступну адресу в діапазоні від 213.18.123.100 до 213.18.123.150
Перевантаження (Overload)- Форма динамічного NAT, який відображає кілька незареєстрованих адрес в єдину зареєстровану IP адресу, використовуючи різні порти. Відомий також як PAT (Port Address Translation)
При перевантаженні кожен комп'ютер у приватній мережі транслюється в ту саму адресу (213.18.123.100), але з різним номером порту
Перекриття- Коли IP адреси, що використовуються у вашій внутрішній мережі, також використовуються в іншій мережі, маршрутизатор повинен тримати таблицю пошуку цих адрес так, щоб він міг перехопити і замінити їх зареєстрованими унікальними IP адресами. Важливо відзначити, що маршрутизатор NAT повинен транслювати "внутрішні" адреси в зареєстровані унікальні адреси, а також повинен транслювати "зовнішні" зареєстровані адреси в адреси, які є унікальними для приватної мережі. Це може бути зроблено або через статичний NAT або ви можете використовувати DNS і реалізувати динамічний NAT.
Приклад:
Внутрішній діапазон IP (237.16.32.xx) є також зареєстрованим діапазоном, що використовується іншою мережею. Тому маршрутизатор транслює адреси, щоб уникнути потенційного конфлікту. Він також буде транслювати зареєстровані глобальні IP адреси назад до незареєстрованих локальних адрес, коли пакети надсилаються у внутрішню мережу
Внутрішня мережа – це зазвичай LAN (локальна мережа), найчастіше, звана, тупиковим доменом. Тупиковий домен це LAN, яка використовує внутрішні IP-адреси. Більшість мережевого трафікув такому домені є локальним, він не залишає межі внутрішньої мережі. Домен може включати як зареєстровані, так і незареєстровані IP адреси. Звичайно, будь-які комп'ютери, які використовують незареєстровані IP-адреси, повинні використовувати NAT, щоб спілкуватися з рештою світу.
NAT може бути налаштований у різний спосіб. У прикладі нижче NAT-маршрутизатор конфігурований так, щоб транслювати незареєстровані IP-адреси (локальні внутрішні адреси), які постійно знаходяться в приватній (внутрішній) мережі в зареєстровані IP-адреси. Це трапляється щоразу, коли пристрій на внутрішній частині з незареєстрованою адресою повинен спілкуватися із зовнішньою мережею.
NAT-перевантаження (overloading) використовує особливість стека протоколу TCP/IP, таку як мультиплексування, яке дозволяє комп'ютеру підтримувати кілька паралельних підключень віддаленим комп'ютером, використовуючи різні TCP або UDP порти. Пакет IP має заголовок, який містить таку інформацію:
- Вихідна адреса - IP-адреса комп'ютера джерела, наприклад, 201.3.83.132.
- Вихідний порт - це номер TCP або UDP порту, призначений комп'ютером джерелом для цього пакета, наприклад, Порт 1080.
- Адреса призначення - IP-адреса комп'ютера приймача. Наприклад, 145.51.18.223.
- Порт призначення - номер TCP або UDP порту, який просить відкрити комп'ютер джерело на застосунку, наприклад порт 3021.
IP-адреси визначають дві машини з кожної сторони, в той час як номери портів гарантують, що з'єднання між цими двома комп'ютерами має унікальний ідентифікатор. Комбінація цих чотирьох чисел визначає єдине з'єднання TCP/IP. Кожен номер порту використовує 16 бітів, що означає, що існує 65536 (2^16) можливих значення. Насправді, оскільки різні виробники відображають порти трохи різними способами, ви можете очікувати приблизно 4000 доступних портів.
Приклади динамічного NAT та NAT з навантаженням
Нижче показано, як працює динамічний NAT.Клацніть одну з зелених кнопок, щоб надіслати успішний пакет або в або з внутрішньої мережі. Натисніть одну з червоних кнопок, щоб надіслати пакет, який буде відкинуто маршрутизатором через неприпустиму адресу.
- внутрішня була встановлена з IP-адресами, які не були спеціально відведені для цієї компанії IANA (Органом з нагляду за присвоєнням адрес в Інтернеті), глобальне бюро, яке роздає IP адреси. Такі адреси слід вважати немаршрутизованими, оскільки вони не є унікальними. Це внутрішні локальні адреси.
- компанія встановлює маршрутизатор із NAT. Маршрутизатор має діапазон унікальних IP-адрес, виданих компанії. Це – внутрішні глобальні адреси.
- комп'ютер на LAN намагається з'єднатися з комп'ютером поза мережею типу Web-сервера.
- маршрутизатор отримує пакет від комп'ютера до LAN.
- Після перевірки таблиці маршрутизації і процесу перевірки для трансляції, маршрутизатор зберігає адресу комп'ютера, що не маршрутизується, в таблиці трансляції адрес. Маршрутизатор замінює немаршрутизовану адресу комп'ютера відправника першою доступною IP-адресою з діапазону унікальних адрес. Таблиця трансляцій тепер має відображення IP адреси комп'ютера, що не маршрутизується, якому відповідає одна з унікальних IP адрес.
- Коли пакет повертається від комп'ютера адресата, маршрутизатор перевіряє адресу приймача у пакеті. Потім він дивиться в таблицю трансляції адрес, щоб знайти, якому комп'ютера в домені належить цей пакет. Він змінює адресу приймача на те, що було збережено раніше в таблиці трансляції і посилає пакет потрібному комп'ютеру. Якщо роутер не знаходить відповідність таблиці, він знищує пакет.
- Комп'ютер отримує пакет від маршрутизатора і весь процес повторюється, поки комп'ютер спілкується із зовнішньою системою.
- Внутрішня мережа була встановлена з немаршрутизованим IP адресами, які не були спеціально відведені для компанії
- компанія встановлює маршрутизатор із NAT. Маршрутизатор має унікальну IP адресу, яку видала IANA
- комп'ютер в домені намагається з'єднатися з комп'ютером поза мережею типу Web-сервера.
- маршрутизатор отримує пакет від комп'ютера домену.
- Після маршрутизації та перевірки пакета для виконання трансляції, маршрутизатор зберігає немаршрутизовану IP адресу комп'ютера та номер порту в таблиці трансляції. Маршрутизатор замінює немаршрутизовану IP адресу комп'ютера відправника IP адресою маршрутизатора. Маршрутизатор замінює вихідний порт комп'ютера відправника деяким випадковим номером порту та зберігає його в таблиці трансляції адрес для цього відправника. Таблиця трансляцій має відображення IP адреси комп'ютера, що не маршрутизується, і номери порту поряд з IP адресою маршрутизатора.
- Коли пакет повертається з адресата, маршрутизатор перевіряє порт приміника в пакеті. Він потім дивиться в таблицю трансляцій, щоб знайти, якому комп'ютера в домені належить пакет. Далі роутер змінює адресу приймача та порт приймача на ті значення, які були раніше збережені в таблиці трансляцій і посилає пакет кінцевому вузлу.
- комп'ютер отримує пакет від маршрутизатора та процес повторюється
- Оскільки маршрутизатор NAT тепер має вихідну адресу комп'ютера і вихідний порт, збережений до таблиці трансляцій, він продовжить використовувати той же номер порту для наступних підключень. Щоразу, коли маршрутизатор звертається до запису в таблиці трансляцій скидається таймер життя цього запису. Якщо до запису не звертаються, перш ніж таймер закінчується, вона видаляється з таблиці
Число одночасних трансляцій, які маршрутизатор буде підтримувати, визначається переважно кількістю DRAM (Динамічна Пам'ять Довільного доступу). Так як типовий запис у таблиці трансляцій займає приблизно 160 байт, маршрутизатор з 4 Мбайтами RAM може теоретично обробити 26214 одночасних з'єднань, що є більш ніж достатньо більшості додатків.
Безпека та Адміністрація
Реалізація динамічного NAT автоматично створює міжмережевий захист між вашою внутрішньою мережею та зовнішніми мережами або Інтернет. Динамічний NAT дозволяє лише підключення, що породжуються у локальній мережі. По суті, це означає, що комп'ютер на зовнішній мережі не може з'єднатися з комп'ютером, якщо комп'ютер не розпочав з'єднання. Таким чином, ви можете працювати в Інтернеті та з'єднатися з сайтом, і навіть вивантажити файл. Але більше ніхто не може просто покуситися на вашу IP адресу і використовувати його, щоб з'єднатися з портом на вашому комп'ютері.
Статичний NAT, також званий вхідним мапінгом (inbound mapping), дозволяє підключення, ініційовані зовнішніми пристроямидо комп'ютерів у LAN за певних обставин. Наприклад, ви можете відобразити внутрішню глобальну адресу на певну внутрішню локальну адресу, яка призначена на ваш Web-сервер.
Статичний NAT дозволяє комп'ютеру в LAN підтримувати певну адресу, спілкуючись із пристроями поза мережею:
Деякі NAT маршрутизатори передбачають велику фільтрацію та логування трафіку. Фільтрування дозволяє вашій компанії контролювати, які сайти в Мережі відвідують працівники, перешкоджаючи їм переглядати сумнівний матеріал. Ви можете використовувати реєстрацію трафіку, щоб створити журнал, які сайти відвідуються та на підставі цього генерувати різні звіти.
Іноді Мережеву Трансляцію Адреса плутають із проксі-серверами, де є певні відмінності. NAT прозорий для комп'ютерів джерела та приймача. Ніхто з них не знає, що це має справу з третім пристроєм. Але проксі сервер не прозорий. Вихідний комп'ютер знає, що робить запит на проксі. Комп'ютер адресата думає, що проксі сервер - це вихідний комп'ютер і має справу безпосередньо з ним. Крім того, проксі-сервери зазвичай працюють на рівні 4 (Transport) моделі OSI або вище, тоді як NAT – це протокол рівня 3 (Network). Робота на більш високих рівнях робить проксі-сервери повільнішими, ніж NAT пристрої в більшості випадків.
Що таке NAT
Ваш комп'ютер може бути підключений безпосередньо до Інтернету. Тоді кажуть, що в нього зовнішній IP-адреса.
Зазвичай це означає, що комп'ютер підключено відразу до модему (DSL, кабельного або звичайного аналогового).
За NATозначає, що ваш комп'ютер підключено не до Інтернету, а до локальної мережі. Тоді в нього внутрішній IP адреса, з інтернету сама по собі недоступна.
Доступ до інтернету ваш комп'ютер отримує через NAT – процес трансляції внутрішніх адрес у зовнішні та назад. NAT-пристрій зазвичай називають раутером.
Специфіка роботи NAT така, що з'єднання, які ініціює ваш комп'ютер, прозоро проходять через NAT-пристрій в інтернет. Проте з'єднання, які хотіли б з вами встановити інші комп'ютери з Інтернету, до вас дійти не можуть.
Знаходимо IP адресу комп'ютера
Run">Відкрийте діалогове вікно для запуску програм: клік на кнопці Пуск, у меню виберіть Виконати.
У Windows 2000/XP набираємо команду cmd /k ipconfig, натискаємо OK і дивимося на результат.
Windows 2000 IP Configuration Ethernet Adapter Local Area Connection: Connection-specific DNS Suffix. : IP Address . . . . . . . . . . . : 192.168.1.10 Subnet Mask. . . . . . . . . . . : 255.255.255.0 Default Gateway. . . . . . . . . : 192.168.1.1
Перша з цих адрес - це IP адреса вашого комп'ютера.
Чи знаходитесь ви за NAT
Три спеціальні діапазони IP адрес зарезервовані для локальних мережта в інтернеті не використовуються:
10. 0. 0. 0 - 10. 255.255.255 172. 16. 0. 0 - 172. 31.255.255 192.168. 0. 0 - 192.168.255.255
Якщо IP-адреса вашого комп'ютера знаходиться в одному з цих діапазонів, тобто починається з 10. або з 192.168. або 172.nn. (де nn - від 16 до 31) , це локальний (внутрішній) адресу, і ви точно перебуваєте за NAT.
Якщо ні, то тепер перевірте, під якою IP-адресою вас бачать інші комп'ютери в інтернеті. Наприклад, на whatsmyip.org ("Your IP Address is x.x.x.x" вгорі сторінки) або на myipaddress.com .
Якщо IP адреса вашого комп'ютера збігається з показаним одним із цих сайтів, то ви точно підключені до інтернету безпосередньо.
В інших випадках, напевно, сказати не можна. Можливі такі варіанти:
- ви знаходитесь за NAT, але ваш мережевий адміністратор вибрав нестандартні внутрішні адреси для вашої локальної мережі. Знайдіть його та поцікавтеся, навіщо так треба було робити.
- ви виходите в інтернет через проксі-сервер (тоді whatsmyip.org показав вам адресу цього проксі-сервера). У багатьох випадках ви можете визначити, чи є між вами та інтернетом проксі сервер, використовуючи, наприклад, lagado.com/proxy-test.
Підключення через проксі в цьому посібнику не розглядається.
Варіанти підключення через NAT
Якщо ви за NAT, то наступним кроком треба визначити, де саме знаходиться NAT-пристрій.
NAT провайдера
- Тоді кажуть, що
- провайдер надає вам інтернет через NAT,
- або що провайдер не дає вам зовнішню IP адресу,
- або що ви підключені через локальну мережу провайдера
Найпростіше зателефонувати провайдеру та дізнатися. Або поцікавитися у знаючих сусідів із таким самим підключенням.
При підключенні до інтернету через локальну мережу провайдера зробити доступний порт не можна. Якщо, звичайно, провайдер спеціально вам не перенаправить певний порт, що малореально. Або якщо ви не заплатите додатково за послугу, яка зазвичай називається "зовнішня" ("біла") IP адреса.
NAT в офісі або багатоквартирному будинку
В принципі ситуація така сама, але ви можете пошукати підходи до місцевого адміна. Зрештою вирішення питання доступності порту залежить від того, чи маєте ви доступ до настройок раутера.
Крім того, можна спробувати UPnP, раптом у раутері залишили його дозволеним.
NAT ваш власний
У цьому випадку ви завжди можете його налаштувати і отримати доступний порт.
Зазвичай це підключення через домашній раутер або підключення через інший комп'ютер, наприклад використовуючи ICS (другий варіант тут не розглядається).
Звичайно, в принципі буває і так, що NAT є і у вас вдома, і у провайдера, тобто ваш комп'ютер знаходиться за двома NAT відразу. Це можна перевірити, зайшовши в налаштування раутера, подивившись на його зовнішню адресу і далі дотримуючись вищеописаного сценарію (чи належить цейадрес діапазонам локальних мереж, чи збігається він з тією адресою, під якою вас бачать в інтернеті).
Мережева безпека
