NAT

NAT ( englanniksi.  Network Address Translation - "verkko-osoitteiden käännös") on TCP / IP-verkkojen mekanismi , jonka avulla voit muuntaa siirtopakettien IP -osoitteita . Kutsutaan myös IP-masqueradingiksi , verkon naamioiksi ja alkuperäisten osoitteiden käännöksiksi .

Toimiva

Osoitteen kääntäminen NAT - menetelmällä voidaan suorittaa melkein millä tahansa reititinlaitteella - reitittimellä [1] , pääsypalvelimella , palomuurilla . Suosituin on SNAT, jonka mekanismin ydin on korvata lähdeosoite ( englanninkielinen  lähde ), kun paketti kulkee yhteen suuntaan, ja päinvastoin korvata kohdeosoite ( englanninkielinen  kohde ) vastauspaketissa. Lähde-/kohde-osoitteiden ohella lähde- ja kohdeporttinumerot voidaan myös korvata .

Kun reititin vastaanottaa paketin paikalliselta tietokoneelta, se katsoo kohde-IP-osoitteen. Jos se on paikallinen osoite, paketti välitetään toiselle paikalliselle tietokoneelle. Jos ei, niin paketti on lähetettävä Internetiin. Mutta loppujen lopuksi paketin palautusosoite osoittaa tietokoneen paikallisen osoitteen, jota ei voi käyttää Internetistä. Siksi reititin "lennossa" kääntää (korvaa) paketin paluu-IP-osoitteen sen ulkoiseksi (Internetistä näkyväksi) IP-osoitteeksi ja muuttaa portin numeroa (erottaakseen eri paikallisille tietokoneille osoitetut vastauspaketit). Käänteiseen korvaamiseen tarvittavan yhdistelmän reititin tallentaa väliaikaiseen taulukkoonsa. Jonkin ajan kuluttua sen jälkeen, kun asiakas ja palvelin ovat lopettaneet pakettien vaihdon, reititin poistaa vanhentumisajan taulukostaan ​​merkinnän n:nnestä portista.

Lähde-NAT:n (jossa paikallisverkon käyttäjille tarjotaan sisäiset osoitteet Internetiin pääsyä varten ) lisäksi käytetään usein myös kohde-NAT:ia, kun palomuuri lähettää ulkopuolisia puheluita käyttäjän tietokoneelle paikallisessa verkossa, jossa on sisäinen verkko. osoitteeseen , joten se ei ole suoraan käytettävissä verkon ulkopuolelta (ilman NAT:ia).

Osoitteiden kääntämisessä on kolme peruskäsitettä: staattinen ( Staattinen verkko-osoitteiden käännös ), dynaaminen ( Dynamic Address Translation ), naamiainen (NAPT, NAT Overload, PAT).

Staattinen NAT  - Rekisteröimättömän IP-osoitteen yhdistäminen rekisteröityyn IP-osoitteeseen yksitellen. Erityisen hyödyllinen, kun laitteeseen on päästävä käsiksi verkon ulkopuolelta.

Dynaaminen NAT  - Yhdistää rekisteröimättömän IP-osoitteen rekisteröityyn osoitteeseen rekisteröityjen IP-osoitteiden ryhmästä. Dynaaminen NAT muodostaa myös suoran yhdistämisen rekisteröimättömien ja rekisteröityjen osoitteiden välille, mutta kartoitus voi muuttua kommunikoinnin aikana osoitepoolissa käytettävissä olevan rekisteröidyn osoitteen mukaan.

Ylikuormitettu NAT (NAPT, NAT Overload, PAT, naamiointi) on dynaamisen NAT:n muoto, joka yhdistää useita rekisteröimättömiä osoitteita yhdeksi rekisteröidyksi IP-osoitteeksi eri porttien avulla. Tunnetaan myös nimellä PAT (Port Address Translation). Ylikuormitettuna jokainen yksityisen verkon tietokone käännetään samaan osoitteeseen, mutta eri porttinumerolla.

NAT-mekanismi on määritelty RFC 1631 :ssä ja RFC 3022 :ssa .

NAT-tyypit

NAT-luokitus, joka esiintyy usein VoIP :n yhteydessä . [2] Termiä "yhteys" käytetään "UDP-pakettien sarjavaihdon" merkityksessä.

Symmetrinen NAT (Symmetric NAT) - käännös, jossa jokainen "sisäinen osoite: sisäinen portti" -parin käynnistämä yhteys muunnetaan ilmaiseksi ainutlaatuiseksi satunnaisesti valituksi pariksi "julkinen osoite: julkinen portti". Yhteyden muodostaminen julkisesta verkosta ei kuitenkaan ole mahdollista.

Cone NAT, Full Cone NAT  - yksiselitteinen (keskinäinen) käännös parien "sisäinen osoite: sisäinen portti" ja "julkinen osoite: julkinen portti" välillä. Mikä tahansa ulkoinen isäntä voi muodostaa yhteyden sisäiseen isäntään (jos se sallitaan palomuurisäännöissä).

Address-Restricted cone NAT, Restricted cone NAT  - pysyvä käännös parin "sisäinen osoite: sisäinen portti" ja "julkinen osoite: julkinen portti" välillä. Mikä tahansa sisäisestä osoitteesta aloitettu yhteys antaa hänelle mahdollisuuden vastaanottaa paketteja mistä tahansa julkisen isännän portista, jolle hän lähetti paketin (paketit) aikaisemmin.

Port-Restricted cone NAT  - käännös parin "sisäinen osoite: sisäinen portti" ja "julkinen osoite: julkinen portti" välillä, jossa saapuvat paketit menevät sisäiseen isäntään vain yhdestä julkisen isännän portista - siitä, johon sisäinen isäntä on jo lähettänyt paketin.

Edut

NAT suorittaa kolme tärkeää toimintoa.

1. Mahdollistaa IP-osoitteiden tallentamisen (vain käytettäessä NAT:ia PAT-tilassa) kääntämällä useita sisäisiä IP-osoitteita yhdeksi ulkoiseksi julkiseksi IP-osoitteeksi (tai useiksi, mutta vähemmän kuin sisäisiksi). Suurin osa maailman verkoista on rakennettu tällä periaatteella: 1 julkinen (ulkoinen) IP-osoite on varattu pienelle alueelle paikallisen palveluntarjoajan kotiverkosta tai toimistolle, jonka takana on rajapinta yksityiseen (sisäiseen) IP-osoitteeseen. osoitteet toimivat ja pääset käsiksi.
2. Voit estää tai rajoittaa pääsyn ulkopuolelta sisäisiin isänteihin jättäen mahdollisuuden pääsyn sisältä ulos. Kun yhteys aloitetaan verkon sisältä, käännös luodaan. Ulkopuolelta tulevat vastauspaketit vastaavat luotua käännöstä, joten ne ohitetaan. Jos ulkopuolelta tuleville paketeille ei ole vastaavaa käännöstä (ja se voidaan luoda, kun yhteys on aloitettu tai staattinen), niitä ei ohiteta.
3. Voit piilottaa tiettyjä sisäisten isäntien/palvelimien sisäiset palvelut. Itse asiassa sama yllä oleva käännös suoritetaan tietylle portille , mutta on mahdollista korvata virallisesti rekisteröidyn palvelun sisäinen portti (esimerkiksi TCP -portti 80 ( HTTP - palvelin) ulkoisella portilla 54055). Siten ulkopuolelta, ulkoisesta IP-osoitteesta, on mahdollista päästä osoitteeseen http://example.org:54055 sen jälkeen, kun osoitteet on käännetty asiantunteville vierailijoille tarkoitettuun sivustoon (tai keskusteluryhmään), mutta NAT:n takana olevalla sisäisellä palvelimella toimii normaalilla portilla 80. Turvallisuuden lisääminen ja "ei-julkisten" resurssien piilottaminen.

Haitat

1. vanhat protokollat . Protokollat ​​, jotka on kehitetty ennen NAT : n massakäyttöä , eivät toimi , jos kommunikoivien isäntien välisellä polulla on osoitekäännös . Jotkut IP-osoitteiden käännöspalomuurit voivat korjata tämän puutteen korvaamalla IP-osoitteet asianmukaisesti, ei vain IP-otsikoissa, vaan myös korkeammilla tasoilla (esimerkiksi FTP -protokollan komentoissa ). Katso Sovellustason yhdyskäytävä .
2. Käyttäjän tunnistaminen . Useista yhteen -osoitteen käännös aiheuttaa lisäongelmia käyttäjän tunnistamisessa ja tarve tallentaa täydellisiä käännöslokeja.
3. DoS-hyökkäys illuusio . Jos NAT:ia käytetään yhdistämään useita käyttäjiä samaan palveluun, tämä voi antaa illuusion palveluun kohdistuvasta DoS -hyökkäyksestä (useita onnistumisia ja epäonnistumisia). Esimerkiksi liiallinen määrä ICQ -käyttäjiä NAT:n takana johtaa joillekin käyttäjille ongelmaan yhteyden muodostamisessa palvelimeen sallitun yhteysnopeuden ylittämisen vuoksi. Osittainen ratkaisu ongelmaan on käyttää osoitepoolia (osoiteryhmää), jolle käännös suoritetaan.
4. vertaisverkot . NAT-laitteissa, jotka eivät tue Universal Plug & Play -tekniikkaa , joissakin tapauksissa tarvitaan lisämäärityksiä (katso Port-osoitteen käännös ), kun työskentelet vertaisverkkojen ja joidenkin muiden ohjelmien kanssa, joissa ei tarvitse vain käynnistää lähtevät yhteydet, mutta myös vastaanottaa saapuneet.

Esimerkki

Paikallisen verkon , jonka osoitealue on 172.16.14.0 /24 , käännös globaaliin verkkoon suoritetaan yhden ulkoisen IP-osoitteen kautta (käännön suorittavan reitittimen osoite).

Käyttö: IP-verkko yhden IP-osoitteen kautta

• Työasemilla määritetty oletusyhdyskäytävä tai -yhdyskäytävä
• Muuntaa palvelun otsikot, luo identtisen IP-paketin
• Paikallisten resurssien julkaiseminen ulkoisessa IP-verkossa

• Kustannushyöty yhden IP-yhteyden ostamisesta IP-verkon sijaan.

• Sisäisen IP-verkon rakenteen piilottaminen ulkopuolelta.

• Hajautetun kuorman järjestelmän organisointi.

• Jakaminen NAT:n kautta käyttää läpinäkyvästi suojattua sisäistä rakennetta ilman palomuuria jne.

• Monet verkkoprotokollat ​​toimivat oikein NAT:n kautta. Suunnittelutoteutukset (jakaminen on NAT-yhteys) on NAT:n laitteistototeutus (palomuurit on integroitu).

NAT loopback

NAT loopback -tekniikan (tai NAT hairpinning ) merkitys on yksinkertainen: jos paketti tulee sisäisestä verkosta reitittimen ulkoiseen IP-osoitteeseen, sen katsotaan tulevan ulkopuolelta - mikä tarkoittaa, että palomuurisäännöt liittyvät ulkoiseen liitokset toimivat. Ja jos paketti kulkee onnistuneesti palomuurin läpi, NAT toimii ja ottaa välityksen kahden intranet-koneen välillä. Tämä antaa kaksi asiaa.

1. Heti paikallisverkon sisältä voit tarkistaa, kuinka verkkopalvelut on määritetty.
2. Pääsy paikallisverkossa sijaitsevaan palvelimeen toimialueen nimellä. Ilman NAT-palautusta sinun on muokattava kunkin koneen hosts-tiedostoa jokaisessa toimialueella ja aliverkkotunnuksessa.

NAT loopbackin haittana on keskittimen ja reitittimen lisääntynyt kuormitus (verrattuna suoraan palvelimeen pääsyyn).

NAT Traversal

NAT Traversal (NAT traversal tai auto-configuration) on joukko ominaisuuksia, joiden avulla verkkosovellukset voivat määrittää, että ne ovat NAT:n tarjoavan laitteen takana, oppia tämän laitteen ulkoisen IP-osoitteen ja suorittaa porttikartoituksen pakettien välittämiseksi ulkoisesta NAT:sta. portti sovelluksen käyttämään sisäiseen porttiin; tämä kaikki tapahtuu automaattisesti, käyttäjän ei tarvitse määrittää porttikartoituksia manuaalisesti tai tehdä muutoksia muihin asetuksiin. Tällaisten sovellusten luottamisessa on kuitenkin varotoimenpiteitä - ne saavat laajan hallinnan laitteeseen, mahdollisia haavoittuvuuksia ilmaantuu.

NAT:n ohjelmistototeutus

Jos sinulla on jo olemassa oleva palvelin, joka käyttää palvelimen käyttöjärjestelmää , on mahdollista järjestää osoitteenkäännös ilman lisälaitteita. Pääsääntöisesti NAT:n ohjelmistototeutus vaatii palvelimessa vähintään kaksi verkkosovitinta (vaihtoehdot yhdellä, mutta runko- VLAN -verkolla ).

Kaikki olemassa olevat ja käytetyt palvelinkäyttöjärjestelmät tukevat yksinkertaisinta osoitteenkäännöstä.

Vikasietokyvyn, joustavuuden ja suorituskyvyn suhteen käytetään UNIX -perheen käyttöjärjestelmiä (useimmat GNU / Linux-, *BSD - järjestelmät sekä OpenSolaris jne.). Monissa niistä NAT on saatavana heti, toisissa se voidaan toteuttaa lisäämällä moduuleja yhdessä palomuurien kanssa, joissa on osoitteenmuuntotoimintoja ( IPFW , IPtables jne.). NAT toimii myös heti valmiina Windows Server -käyttöjärjestelmäperheessä .

Katso myös

• Välityspalvelin
• Portin osoitteen käännös (PAT)
• Sovellustason yhdyskäytävä
• TAINNUTTAA

Muistiinpanot

1. ↑ Verkkoprotokollien  käsikirja . - 2. - Javvin Technologies Inc. - P. 27. - ISBN 9780974094526 .
2. ↑ Andrei Žukov. Verkko-osoitteiden käännöstyypit (NAT) arkistoitu 8. toukokuuta 2020 Wayback Machinessa