Нат что это такое в роутере
Обновлено: 21.11.2024
В первую очередь NAT был представлен миру ИТ и сетей из-за отсутствия IP-адресов или взгляда на него с другой точки зрения из-за огромного количества растущих ИТ-технологий, основанных на IP-адресах. Кроме того, NAT добавляет уровень безопасности, скрывая компьютеры, серверы и другое ИТ-оборудование от внешнего мира.
Как работает NAT
Когда компьютеры и серверы в сети взаимодействуют друг с другом, они должны быть идентифицированы друг с другом по уникальному адресу, в результате чего создается 32-битное число, а комбинации этих 32-бит могут вмещать более 4 миллиардов уникальные адреса, известные как IP-адреса. Это было названо IPv4, и хотя более 4 миллиардов адресов звучит много, на самом деле это не учитывает того, как быстро вырос мир компьютеров и Интернета.
Чтобы обойти эту проблему, было создано временное решение, известное как NAT. NAT привел к двум типам IP-адресов: общедоступным и частным. Был введен ряд частных адресов, которые мог использовать любой, при условии, что они оставались частными в сети и не направлялись в Интернет. Диапазон частных адресов, известный как RFC 1918:
Класс А 10.0.0.0–10.255.255.255
Класс B 172.16.0.0–172.31.255.255
Класс C 192.168.0.0–192.168.255.255
NAT позволяет использовать эти частные IP-адреса во внутренней сети. Таким образом, в вашей частной сети вы назначите уникальный IP-адрес всем своим компьютерам, серверам и другим ресурсам, управляемым IP, обычно через DHCP. Другая компания также может использовать те же частные IP-адреса, если они хранятся внутри их сети. Таким образом, две компании могут использовать один и тот же диапазон IP-адресов, но поскольку они являются частными для своей сети, они не конфликтуют друг с другом.
Однако, когда внутренним хостам необходимо обмениваться данными с общедоступной сетью (Интернетом), тогда в уравнение вступает общедоступный адрес. Этот адрес, обычно приобретаемый у интернет-провайдера, является маршрутизируемым общедоступным адресом, который может видеть каждый, и он будет представлять ваш сетевой шлюз. Этот публичный адрес будет уникальным, никто другой не будет использовать этот адрес.
Теперь переходим к делу. Когда хосту во внутренней сети с внутренним IP-адресом необходимо общаться за пределами своей частной сети, он будет использовать общедоступный IP-адрес на сетевом шлюзе, чтобы идентифицировать себя для остального мира, и этот перевод преобразования частного IP-адреса обращение к публике осуществляется через NAT. Например, компьютер с внутренним адресом 192.168.1.10 хотел связаться с веб-сервером где-то в Интернете, NAT преобразовал бы адрес 192.168.1.10 в общедоступный адрес компании, например, назовем его 1.1.1.1. так что внутренний адрес идентифицируется как публичный адрес при общении с внешним миром. Это необходимо сделать, потому что когда веб-сервер где-то в Интернете должен был ответить этому внутреннему компьютеру, он должен отправить это на уникальный и маршрутизируемый адрес в Интернете, общедоступный адрес. Он не может использовать исходный адрес 192.168.1.10, так как он является частным, не маршрутизируемым и скрытым от внешнего мира. Этот адрес 1.1.1.1 будет адресом публичного адреса этой компании и будет виден всем. Теперь веб-сервер будет отвечать на этот публичный адрес 1.1.1.1. Затем NAT будет использовать свои записи для преобразования пакетов, полученных от веб-сервера, предназначенного для 1.1.1.1, обратно во внутренний сетевой адрес 192.168.1.10, и хотя компьютер, запросивший исходную информацию, получит запрошенные пакеты.< /p>
Теперь вы можете увидеть два преимущества NAT. Во-первых, это сэкономило бы на используемых нами IP-адресах, так как каждому отдельному компьютеру не нужен публичный адрес, а также скрыло бы эти частные компьютеры от внешнего мира. Все могут видеть только публичный адрес, остальное скрыто за этим публичным адресом. Таким образом, из Интернета виден только публичный адрес на внешнем интерфейсе брандмауэра или маршрутизатора и ничего за его пределами.
Типы NAT
Сегодня используются три основных типа правил NAT в зависимости от того, что необходимо выполнить;
Статический NAT
Устройству NAT назначается пул общедоступных IP-адресов. Затем частный IP-адрес может быть статически сопоставлен с любым из этих общедоступных адресов. Этот тип схемы NATTING обычно используется для серверов, которым всегда требуется один и тот же IP-адрес, отсюда и название «статический», поэтому серверу 1 всегда будет назначен один и тот же IP-адрес, а серверу 2 будет назначен другой общедоступный IP-адрес. и так далее.
Динамический NAT
Снова устройство NAT будет состоять из пула IP-адресов. На этот раз пул IP-адресов будет использоваться по мере необходимости, а затем возвращаться в пул. Таким образом, если компьютеру А нужен публичный адрес, он возьмет его из пула, а затем вернет обратно.В следующий раз, когда тому же компьютеру потребуется IP-адрес, ему может быть назначен другой общедоступный адрес из пула, потому что тот, который использовался ранее, может использоваться другим компьютером, отсюда и название «динамический». Таким образом, пользователи, которые хотят общаться в Интернете в любое время, будут ограничены количеством общедоступных IP-адресов, доступных в пуле NAT. Компания может приобрести несколько общедоступных IP-адресов в зависимости от своих потребностей.
Преобразование адресов портов (PAT)
Используя этот метод, компания сэкономит разумную сумму денег и IP-адресов, поскольку она использует только один IP-адрес. Это было основной причиной того, почему IPv6 упоминается уже несколько лет, но до сих пор не требуется в большинстве стран.
NAT также реализован в домашних маршрутизаторах и аппаратных брандмауэрах, таких как Netgear и Linksys, а также в высокотехнологичных аппаратных брандмауэрах, таких как Cisco и Juniper.
Это оказалось ценной функцией аппаратных брандмауэров для сохранения общедоступных IP-адресов, а также контрмерой для некоторых типов атак, таких как разведывательная атака.
Недостатки NAT
Как и везде, у NAT есть свои недостатки. Некоторые приложения и службы, такие как VPN и видеоконференции, плохо обрабатываются через NAT (не совсем так, поскольку в большинстве случаев вы можете настроить их для работы с NAT, но можете немного запутаться при настройке правил в приложениях, маршрутизаторах и т. д.). брандмауэры).
Однако, чтобы обойти указанную выше проблему, для этих выделенных служб можно приобрести несколько дополнительных общедоступных IP-адресов. Однако в долгосрочной перспективе IPv6 уже внедряется в некоторых технологиях и в некоторых частях мира. Эта схема адресации использует 128-битную схему нумерации, в отличие от 32-битной схемы IPv4, используемой для адресов. IPv6 поддерживает 2 адреса в степени 128, по сравнению с IPv4 2 в степени 32, сейчас это огромное увеличение IP-адресов, хотя в будущем это подтверждает рост IP-адресации с использованием IPv6.
Для доступа в Интернет требуется один общедоступный IP-адрес, но мы можем использовать частный IP-адрес в нашей частной сети. Идея NAT состоит в том, чтобы разрешить нескольким устройствам доступ в Интернет через один общедоступный адрес. Для этого требуется преобразование частного IP-адреса в общедоступный IP-адрес. Преобразование сетевых адресов (NAT) — это процесс, при котором один или несколько локальных IP-адресов преобразуются в один или несколько глобальных IP-адресов и наоборот, чтобы обеспечить доступ в Интернет для локальных узлов. Кроме того, он выполняет преобразование номеров портов, т. е. маскирует номер порта хоста другим номером порта в пакете, который будет направлен к месту назначения. Затем он делает соответствующие записи IP-адреса и номера порта в таблице NAT. NAT обычно работает на маршрутизаторе или брандмауэре.
Трансляция сетевых адресов (NAT) работает.
Как правило, граничный маршрутизатор настроен для NAT, т. е. маршрутизатор, который имеет один интерфейс в локальной (внутренней) сети и один интерфейс в глобальной (внешней) сети. Когда пакет проходит за пределы локальной (внутренней) сети, NAT преобразует этот локальный (частный) IP-адрес в глобальный (общедоступный) IP-адрес. Когда пакет входит в локальную сеть, глобальный (общедоступный) IP-адрес преобразуется в локальный (частный) IP-адрес.
Если NAT исчерпал адреса, т. е. в сконфигурированном пуле не осталось ни одного адреса, то пакеты будут отброшены, а адресату будет отправлен пакет ICMP о недоступности хоста.
Зачем маскировать номера портов?
Предположим, в сети соединены два хоста A и B. Теперь оба они запрашивают одно и то же место назначения на одном и том же номере порта, скажем, 1000, на стороне хоста в одно и то же время. Если NAT выполняет только преобразование IP-адресов, то, когда их пакеты будут поступать в NAT, оба их IP-адреса будут замаскированы общедоступным IP-адресом сети и отправлены в пункт назначения. Пункт назначения будет отправлять ответы на общедоступный IP-адрес маршрутизатора. Таким образом, при получении ответа NAT будет неясно, какой ответ принадлежит какому хосту (поскольку номера исходных портов для A и B одинаковы). Следовательно, чтобы избежать такой проблемы, NAT также маскирует номер исходного порта и делает запись в таблице NAT.
Внутренние и внешние адреса NAT.
Внутренние относятся к адресам, которые необходимо преобразовать. Внешний относится к адресам, которые не контролируются организацией. Это сетевые адреса, в которых будет выполняться преобразование адресов.
- Внутренний локальный адрес — IP-адрес, назначенный хосту во внутренней (локальной) сети. Адрес, вероятно, не является IP-адресом, назначенным поставщиком услуг, т. Е. Это частные IP-адреса. Это внутренний хост, видимый из внутренней сети.
- Внутренний глобальный адрес — IP-адрес, представляющий один или несколько внутренних локальных IP-адресов для внешнего мира.Это внутренний хост, видимый из внешней сети.
- Внешний локальный адрес — это фактический IP-адрес узла назначения в локальной сети после преобразования.
- Внешний глобальный адрес — внешний хост, видимый из внешней сети. Это IP-адрес внешнего хоста назначения перед трансляцией.
-
Статический NAT — при этом один незарегистрированный (частный) IP-адрес сопоставляется с юридически зарегистрированным (общедоступным) IP-адресом, т. е. сопоставление один к одному между локальными и глобальными адресами. Это обычно используется для веб-хостинга. Они не используются в организациях, так как есть много устройств, которым потребуется доступ в Интернет, а для предоставления доступа в Интернет необходим общедоступный IP-адрес.
Преобразование сетевых адресов помогает повысить безопасность за счет повторного использования IP-адресов. Маршрутизатор NAT преобразует трафик, входящий и исходящий из частной сети. Смотрите другие изображения компьютерных сетей.
Если вы читаете эту статью, скорее всего, вы подключены к Интернету и просматриваете ее на веб-сайте HowStuffWorks. Скорее всего, вы сейчас используете преобразование сетевых адресов (NAT).
Интернет стал больше, чем кто-либо мог себе представить. Хотя точный размер неизвестен, по текущим оценкам в Интернете насчитывается около 100 миллионов хостов и более 350 миллионов пользователей. Это больше, чем все население Соединенных Штатов! На самом деле темпы роста таковы, что Интернет удваивается каждый год.
Какое отношение размер Интернета имеет к NAT? Все! Чтобы компьютер мог взаимодействовать с другими компьютерами и веб-серверами в Интернете, он должен иметь IP-адрес. IP-адрес (IP означает Интернет-протокол) — это уникальное 32-битное число, которое определяет местоположение вашего компьютера в сети. По сути, он работает так же, как и ваш почтовый адрес — как способ точно узнать, где вы находитесь, и предоставить вам информацию.
Когда впервые появилась IP-адресация, все думали, что существует множество адресов для удовлетворения любых потребностей. Теоретически у вас может быть 4 294 967 296 уникальных адресов (2 32 ). Фактическое количество доступных адресов меньше (где-то между 3,2 и 3,3 миллиарда) из-за способа разделения адресов на классы, а также из-за того, что некоторые адреса зарезервированы для многоадресной рассылки, тестирования или других специальных целей.
В связи с бурным развитием Интернета и ростом числа домашних и корпоративных сетей количество доступных IP-адресов становится просто недостаточным. Очевидное решение состоит в том, чтобы изменить формат адреса, чтобы обеспечить большее количество возможных адресов. Он разрабатывается (называется IPv6), но на его реализацию уйдет несколько лет, поскольку для этого потребуется модифицировать всю инфраструктуру Интернета.
Здесь на помощь приходит NAT (RFC 1631). Преобразование сетевых адресов позволяет одному устройству, например маршрутизатору, выступать в качестве агента между Интернетом (или «общедоступной сетью») и локальной (или «частной») сетью. Это означает, что для представления целой группы компьютеров требуется только один уникальный IP-адрес.
Но нехватка IP-адресов — это только одна из причин использования NAT. В этой статье вы узнаете больше о преимуществах NAT. Но сначала давайте подробнее рассмотрим NAT и его возможности.
Что делает NAT?
NAT похож на администратора в большом офисе. Допустим, вы оставили администратору инструкции не переадресовывать вам звонки, если вы этого не попросите. Позже вы звоните потенциальному клиенту и оставляете сообщение, чтобы этот клиент перезвонил вам. Вы говорите администратору, что ожидаете звонка от этого клиента, и соедините его.
Клиент звонит в ваш офис по основному номеру, который известен только клиенту. Когда клиент сообщает администратору, что ищет вас, администратор проверяет таблицу поиска, которая соответствует вашему имени и вашему добавочному номеру. Секретарь знает, что вы запросили этот звонок, и поэтому перенаправляет звонящего на ваш добавочный номер.
Разработанная Cisco, трансляция сетевых адресов используется устройством (брандмауэром, маршрутизатором или компьютером, находящимся между внутренней сетью и остальным миром). NAT имеет множество форм и может работать несколькими способами:
При статическом NAT компьютер с IP-адресом 192.168.32.10 всегда будет преобразовываться в 213.18.123.110.
- Статический NAT — сопоставление незарегистрированного IP-адреса с зарегистрированным IP-адресом по принципу «один к одному». Это особенно полезно, когда устройство должно быть доступно из-за пределов сети.
В динамическом NAT компьютер с IP-адресом 192.168.32.10 будет преобразован в первый доступный адрес в диапазоне от 213.18.123.100 до 213.18.123.150.
- Динамический NAT. Сопоставляет незарегистрированный IP-адрес с зарегистрированным IP-адресом из группы зарегистрированных IP-адресов.
- Перегрузка. Форма динамического преобразования сетевых адресов, при которой несколько незарегистрированных IP-адресов сопоставляются с одним зарегистрированным IP-адресом с использованием разных портов. Это также известно как PAT (преобразование адресов портов), NAT с одним адресом или NAT с мультиплексированием на уровне порта.
При перегрузке каждый компьютер в частной сети преобразуется в один и тот же IP-адрес (213.18.123.100), но с другим назначенным номером порта.
- Перекрытие. Когда IP-адреса, используемые в вашей внутренней сети, являются зарегистрированными IP-адресами, используемыми в другой сети, маршрутизатор должен поддерживать таблицу поиска этих адресов, чтобы он мог их перехватывать и заменять зарегистрированными уникальными IP-адресами. Важно отметить, что маршрутизатор NAT должен преобразовывать «внутренние» адреса в зарегистрированные уникальные адреса, а также преобразовывать «внешние» зарегистрированные адреса в адреса, уникальные для частной сети. Это можно сделать либо через статический NAT, либо с помощью DNS и реализации динамического NAT.
Внутренний диапазон IP-адресов (237.16.32.xx) также является зарегистрированным диапазоном, используемым другой сетью. Поэтому маршрутизатор транслирует адреса, чтобы избежать потенциального конфликта с другой сетью. Он также преобразует зарегистрированные глобальные IP-адреса обратно в незарегистрированные локальные IP-адреса при отправке информации во внутреннюю сеть.
Внутренняя сеть обычно представляет собой локальную сеть (LAN), обычно называемую доменом-заглушкой. Домен-заглушка — это локальная сеть, которая использует внутренние IP-адреса. Большая часть сетевого трафика в домене-заглушке является локальной, поэтому он не выходит за пределы внутренней сети. Домен-заглушка может включать как зарегистрированные, так и незарегистрированные IP-адреса. Разумеется, любые компьютеры, использующие незарегистрированные IP-адреса, должны использовать преобразование сетевых адресов для связи с остальным миром.
В следующем разделе мы рассмотрим различные способы настройки NAT.
Выражаем особую благодарность Cisco за поддержку при создании этой статьи.
IP-адреса имеют разные обозначения в зависимости от того, находятся ли они в частной сети (домен-заглушка) или в общедоступной сети (Интернет), а также от того, является ли трафик входящим или исходящим.
NAT можно настроить различными способами. В приведенном ниже примере маршрутизатор NAT настроен на преобразование незарегистрированных (внутренних, локальных) IP-адресов, находящихся в частной (внутренней) сети, в зарегистрированные IP-адреса. Это происходит всякий раз, когда внутреннему устройству с незарегистрированным адресом необходимо установить связь с общедоступной (внешней) сетью.
- Интернет-провайдер назначает вашей компании диапазон IP-адресов. Назначенный блок адресов регистрируется уникальными IP-адресами и вызывается внутри глобальных адресов. Незарегистрированные частные IP-адреса делятся на две группы. Одна — это небольшая группа (внешних локальных адресов), которая будет использоваться маршрутизаторами NAT. Другая, гораздо большая группа, известная как внутренние локальные адреса, будет использоваться в домене-заглушке. Внешние локальные адреса используются для преобразования уникальных IP-адресов, известных как внешние глобальные адреса, устройств в общедоступной сети.
- Большинство компьютеров в домене-заглушке взаимодействуют друг с другом, используя внутренние локальные адреса.
- Некоторые компьютеры в тупиковом домене активно обмениваются данными за пределами сети. Эти компьютеры имеют внутренние глобальные адреса, что означает, что они не требуют преобразования.
- Когда компьютер в тупиковом домене, имеющий внутренний локальный адрес, хочет установить связь за пределами сети, пакет отправляется на один из маршрутизаторов NAT.
- Маршрутизатор NAT проверяет таблицу маршрутизации на наличие записи для адреса назначения. Если это так, маршрутизатор NAT преобразует пакет и создает для него запись в таблице преобразования адресов. Если адрес назначения отсутствует в таблице маршрутизации, пакет отбрасывается.
- Используя внутренний глобальный адрес, маршрутизатор отправляет пакет по назначению.
- Компьютер в общедоступной сети отправляет пакет в частную сеть. Адрес источника в пакете является внешним глобальным адресом. Адрес назначения является внутренним глобальным адресом.
- Маршрутизатор NAT просматривает таблицу преобразования адресов и определяет, что в ней указан адрес назначения, сопоставленный с компьютером в домене-заглушке.
- Маршрутизатор NAT преобразует внутренний глобальный адрес пакета во внутренний локальный адрес и отправляет его на компьютер назначения.
Перегрузка NAT использует функцию стека протоколов TCP/IP, мультиплексирование, которое позволяет компьютеру поддерживать несколько одновременных подключений к удаленному компьютеру (или компьютерам), используя разные порты TCP или UDP. IP-пакет имеет заголовок, содержащий следующую информацию:
- Исходный адрес – IP-адрес исходного компьютера, например 201.3.83.132.
- Исходный порт – номер порта TCP или UDP, назначенный исходным компьютером для этого пакета, например, порт 1080.
- Адрес назначения – IP-адрес принимающего компьютера, например 145.51.18.223.
- Порт назначения — номер порта TCP или UDP, который исходный компьютер запрашивает у принимающего компьютера, например, порт 3021.
Адреса указывают две машины на каждом конце, а номера портов гарантируют, что соединение между двумя компьютерами имеет уникальный идентификатор. Комбинация этих четырех чисел определяет одно соединение TCP/IP. Каждый номер порта использует 16 бит, что означает, что возможно 65 536 (2 16 ) значений. На самом деле, поскольку разные производители отображают порты немного по-разному, можно ожидать, что будет доступно около 4000 портов.
Динамический NAT и перегрузка
Вот как работает динамический NAT:
- Внутренняя сеть (домен-заглушка) была настроена с IP-адресами, которые не были специально выделены этой компании IANA (Администрацией по присвоению номеров в Интернете), глобальным органом, который выдает IP-адреса. Эти адреса следует считать немаршрутизируемыми, поскольку они не уникальны.
- Компания устанавливает маршрутизатор с поддержкой NAT. Маршрутизатор имеет ряд уникальных IP-адресов, предоставленных компании IANA.
- Компьютер в домене-заглушке пытается подключиться к компьютеру за пределами сети, например к веб-серверу.
- Маршрутизатор получает пакет от компьютера в тупиковом домене.
- Маршрутизатор сохраняет немаршрутизируемый IP-адрес компьютера в таблице преобразования адресов. Маршрутизатор заменяет немаршрутизируемый IP-адрес отправляющего компьютера первым доступным IP-адресом из диапазона уникальных IP-адресов. В таблице преобразования теперь есть сопоставление немаршрутизируемого IP-адреса компьютера с одним из уникальных IP-адресов.
- Когда пакет возвращается с компьютера назначения, маршрутизатор проверяет адрес назначения в пакете. Затем он просматривает таблицу преобразования адресов, чтобы увидеть, какому компьютеру в домене-заглушке принадлежит пакет. Он изменяет адрес назначения на адрес, сохраненный в таблице преобразования адресов, и отправляет его на этот компьютер. Если он не находит совпадения в таблице, он отбрасывает пакет.
- Компьютер получает пакет от маршрутизатора. Процесс повторяется до тех пор, пока компьютер обменивается данными с внешней системой.
Вот как работает перегрузка:
- Внутренняя сеть (домен-заглушка) настроена с немаршрутизируемыми IP-адресами, которые не были специально выделены этой компании IANA.
- Компания устанавливает маршрутизатор с поддержкой NAT. Маршрутизатор имеет уникальный IP-адрес, присвоенный компании IANA.
- Компьютер в домене-заглушке пытается подключиться к компьютеру за пределами сети, например к веб-серверу.
- Маршрутизатор получает пакет от компьютера в тупиковом домене.
- Маршрутизатор сохраняет немаршрутизируемый IP-адрес и номер порта компьютера в таблицу преобразования адресов. Маршрутизатор заменяет немаршрутизируемый IP-адрес отправляющего компьютера на IP-адрес маршрутизатора. Маршрутизатор заменяет исходный порт отправляющего компьютера номером порта, который соответствует месту, где маршрутизатор сохранил информацию об адресе отправляющего компьютера в таблице преобразования адресов. В таблице преобразования теперь есть сопоставление немаршрутизируемого IP-адреса компьютера и номера порта, а также IP-адреса маршрутизатора.
- Когда пакет возвращается с компьютера назначения, маршрутизатор проверяет порт назначения в пакете. Затем он просматривает таблицу преобразования адресов, чтобы увидеть, какому компьютеру в домене-заглушке принадлежит пакет. Он изменяет адрес назначения и порт назначения на те, которые сохранены в таблице преобразования адресов, и отправляет их на этот компьютер.
- Компьютер получает пакет от маршрутизатора. Процесс повторяется до тех пор, пока компьютер обменивается данными с внешней системой.
- Поскольку маршрутизатор NAT теперь имеет исходный адрес компьютера и исходный порт, сохраненные в таблице преобразования адресов, он будет продолжать использовать тот же номер порта на протяжении всего соединения. Таймер сбрасывается каждый раз, когда маршрутизатор обращается к записи в таблице. Если к записи не обращаются снова до истечения таймера, запись удаляется из таблицы.
В следующем разделе мы рассмотрим организацию доменов-заглушек.
См. ниже, чтобы увидеть, как компьютеры в домене-заглушке могут отображаться во внешних сетях.
Исходный компьютер A
IP-адрес: 192.168.32.10
Порт компьютера: 400
IP-адрес маршрутизатора NAT: 215.37.32.203
Номер порта, назначенный маршрутизатору NAT: 1
Исходный компьютер B
IP-адрес: 192.168.32.13
Порт компьютера: 50
IP-адрес маршрутизатора NAT: 215.37.32.203
Номер порта, назначенный маршрутизатору NAT: 2
Исходный компьютер C
IP-адрес: 192.168.32.15
Порт компьютера: 3750
IP-адрес маршрутизатора NAT: 215.37.32.203
Номер порта, назначенный маршрутизатору NAT: 3
Исходный компьютер D
IP-адрес: 192.168.32.18
Порт компьютера: 206
IP-адрес маршрутизатора NAT: 215.37.32.203
Номер порта, назначенный маршрутизатору NAT: 4
Как видите, маршрутизатор NAT хранит IP-адрес и номер порта каждого компьютера. Затем он заменяет IP-адрес собственным зарегистрированным IP-адресом и номером порта, соответствующим местоположению в таблице записи для исходного компьютера этого пакета. Таким образом, любая внешняя сеть видит IP-адрес маршрутизатора NAT и номер порта, назначенный маршрутизатором, в качестве информации об исходном компьютере для каждого пакета.
У вас все еще может быть несколько компьютеров в тупиковом домене, использующих выделенные IP-адреса. Вы можете создать список доступа IP-адресов, который сообщает маршрутизатору, какие компьютеры в сети требуют NAT. Все остальные IP-адреса будут проходить без перевода.
Количество одновременных трансляций, поддерживаемых маршрутизатором, в основном определяется объемом имеющейся у него DRAM (динамической памяти с произвольным доступом). Но поскольку типичная запись в таблице преобразования адресов занимает всего около 160 байт, маршрутизатор с 4 МБ DRAM теоретически может обрабатывать 26 214 одновременных преобразований, что более чем достаточно для большинства приложений.
IANA выделила определенные диапазоны IP-адресов для использования в качестве немаршрутизируемых внутренних сетевых адресов. Эти адреса считаются незарегистрированными (дополнительную информацию см. в RFC 1918: Распределение адресов для частных интернетов, в котором определяются эти диапазоны адресов). Ни одна компания или агентство не может претендовать на владение незарегистрированными адресами или использовать их на общедоступных компьютерах. Маршрутизаторы предназначены для отбрасывания (вместо пересылки) незарегистрированных адресов. Это означает, что пакет от компьютера с незарегистрированным адресом может достичь зарегистрированного конечного компьютера, но ответ будет отклонен первым маршрутизатором, на который он пришел.
Существует диапазон для каждого из трех классов IP-адресов, используемых для работы в сети:
- Диапазон 1: класс A — от 10.0.0.0 до 10.255.255.255
- Диапазон 2: класс B — от 172.16.0.0 до 172.31.255.255
- Диапазон 3: класс C — от 192.168.0.0 до 192.168.255.255
Хотя каждый диапазон относится к другому классу, вам не обязательно использовать какой-либо конкретный диапазон для внутренней сети. Однако это хорошая практика, поскольку она значительно снижает вероятность конфликта IP-адресов.
Решения для обеспечения безопасности маршрутизаторов NAT
Советы и рекомендации, которых вы раньше не знали
Хотя некоторые интернет-провайдеры могут немного ворчать из-за того, что многие компьютеры используют одну «учетную запись Интернета», они также испытывают облегчение, поскольку каждый интернет-провайдер имеет ограниченное количество IP-адресов клиентов. Таким образом, по мере роста домашних и офисных сетей маршрутизаторы NAT становятся удобными для интернет-провайдеров.
Присущая NAT-маршрутизатору безопасность
Хотя NAT-маршрутизаторы обычно не покупаются из-за их преимуществ в плане безопасности, все NAT-маршрутизаторы по своей сути функционируют как очень эффективные аппаратные брандмауэры (с некоторыми предостережениями, рассмотренными ниже). В качестве аппаратного брандмауэра они предотвращают «незапрошенный», неожиданный, нежелательный и потенциально раздражающий или опасный трафик из общедоступного Интернета, проходящий через маршрутизатор и попадающий в частную локальную сеть пользователя.
Причина, по которой они это делают, очень проста: при наличии нескольких "внутренних" компьютеров в локальной сети за маршрутизатором маршрутизатор должен знать, какой внутренний компьютер должен получать каждый входящий пакет данных. Поскольку ВСЕ входящие пакеты данных имеют один и тот же IP-адрес (единственный IP-адрес маршрутизатора), маршрутизатор может узнать, какой компьютер должен получить входящий пакет, только если один из внутренних компьютеров в частной локальной сети FIRST< /u> отправил пакеты данных out источнику возвращаемых пакетов.
Как это делается?
Поскольку маршрутизатор NAT связывает внутреннюю частную сеть с Интернетом, он видит все, что отправляется в Интернет компьютерами в локальной сети. Он запоминает IP-адрес назначения и номер порта каждого исходящего пакета во внутренней таблице «соединений» и назначает пакету собственный IP-адрес и один из своих портов для приема обратного трафика. Наконец, он записывает эту информацию вместе с IP-адресом внутреннего компьютера в локальной сети, отправившего исходящий пакет, в таблицу «текущие подключения».
Когда какие-либо входящие пакеты поступают на маршрутизатор из Интернета, маршрутизатор сканирует свою таблицу «текущие подключения», чтобы определить, ожидаются ли эти данные, путем поиска удаленного IP-адреса и номера порта в таблице текущих подключений. Если совпадение найдено, запись в таблице также сообщает маршрутизатору, какой компьютер в частной локальной сети ожидает получения входящего трафика с этого удаленного адреса.Таким образом, маршрутизатор переадресует (преобразует) пакет на этот внутренний компьютер и отправляет его в локальную сеть.
И вот действительно хорошая часть:
Если прибывший пакет не совсем соответствует трафику, ожидаемому в данный момент маршрутизатором, маршрутизатор считает, что это просто нежелательный "интернет-шум", и отбрасывает незапрашиваемый пакет данных.
С маршрутизатором NAT, защищающим ваше подключение к Интернету, даже если у вас есть только один компьютер в локальной сети за маршрутизатором, не будет интернет-сканирования, червей, хакеров и других надоедливых и вредоносных интернет-ресурсов. вздор может попасть на ваш компьютер или компьютеры.
Если маршрутизатор NAT еще не ожидает входящие данные, потому что одна из машин в локальной сети запросила их из Интернета, маршрутизатор молча отбрасывает их, и ваша частная сеть никогда не беспокоит.
Итак, теперь у нас есть основы. . .
При разработке собственного интернет-канала
полезно рассматривать NAT-маршрутизатор как односторонний клапан.
Пакеты данных могут свободно передаваться из защищенной локальной сети в незащищенную
глобальную сеть, но "незапрашиваемый" трафик, пытающийся проникнуть из незащищенной
глобальной сети в защищенную локальную сеть, автоматически блокируется.
Кроме того, многопортовый NAT-маршрутизатор — это два компонента в одном корпусе:
Что важно для нашего обсуждения, так это то, что все внутренние машины связаны между собой в одной локальной сети. Это удобно для обмена файлами и данными между машинами, но создает проблему безопасности, если все машины не одинаково безопасны и не заслуживают доверия. Если какая-либо вредоносная или троянская программа каким-то образом попадет на какую-либо одну из машин, и эта машина находится в локальной сети со всеми остальными (как это обычно и бывает), вредоносная программа получит доступ к любая другая незараженная машина, использующая когда-то безопасную локальную сеть. Отправляя «ARP-трансляции» в локальную сеть, зараженная машина может определить IP-адреса и «MAC»-адреса всех остальных машин в локальной сети. . . и приступайте к работе над ними.
Злоумышленники знают все об этой уязвимости на стороне локальной сети. Вот почему многие современные вирусы и черви пытаются распространяться не только путем сканирования Интернета на наличие дополнительных уязвимых целей, но также пытаются распространяться локально через общий доступ к файлам Windows, уязвимости RPC и многие другие известные уязвимости Windows. Как только одна машина будет атакована, жертвой могут стать все машины в локальной сети.
Компьютеры в «полузащищенной» (средней) локальной сети могут получать доступ к Интернету, но они защищены «внешним преобразованием сетевых адресов» от большинства интернет-вредностей.
Компьютеры во внутренней «сверхзащищенной» локальной сети также могут получить доступ к Интернету, сначала выйдя через «внутренний NAT», а затем через «внешний NAT». Как и в случае с машинами в полузащищенной локальной сети, «внешний NAT» будет препятствовать проникновению нежелательного трафика в сеть.
Поскольку полузащищенная локальная сеть находится СНАРУЖИ (со стороны WAN) внутреннего NAT, машины в полузащищенной локальной сети не могут получить свободный доступ к машинам за внутренним NAT.
Машины за внутренним NAT могут получить доступ к машинам в середине, но НЕ наоборот!
Где могут быть полезны ДВА маршрутизатора NAT?
Полная изоляция DMZ-сети и серверов маршрутизатора.
Изоляция открытой точки беспроводного доступа или точки доступа с низким уровнем безопасности.
Защита одной «дорогостоящей» машины от остальной сети.
Давайте рассмотрим каждое приложение по очереди:
Полная изоляция DMZ-сети и серверов маршрутизатора.
В нашем предыдущем обсуждении маршрутизаторов NAT говорилось, что входящие пакеты, которые не были явно запрошены машинами на стороне LAN маршрутизатора, отбрасываются. Конфигурация маршрутизатора по умолчанию "отбрасывать все нежелательные пакеты" может быть изменена для более сложных приложений:
Переадресацию портов можно включить, чтобы настроить маршрутизаторы для пересылки нежелательных пакетов, поступающих на указанные порты маршрутизатора, на указанные машины в локальной сети маршрутизатора. Это может быть полезно при использовании некоторых систем обмена мгновенными сообщениями, VoIP или одноранговых сетей, которые в противном случае не могут проникнуть через брандмауэр, изначально созданный маршрутизаторами NAT.
Как вы можете себе представить, машина маршрутизатора с "DMZ" и даже машина с "переадресацией портов" должны иметь существенная безопасность, или он будет ползать с интернет-грибом в мгновение ока. Это БОЛЬШАЯ проблема с точки зрения безопасности. Почему? |
Помните, что маршрутизаторы NAT подобны односторонним клапанам для данных: |