Protokoly pro překlad adres NAT a PAT
Níže je uveden pouze náhled materiálu. Kliknutím na tlačítko 'Stáhnout soubor' stáhnete kompletní formátovaný materiál ve formátu DOC.
Jméno: Vít Kopunec
Třída: V3
Protokoly pro překlad adres - NAT a PAT
Protokoly pro překlad adres - NAT a PAT
NAT (Network Address Translation)
NAT, network address translation, čili překlad síťové adresy, je obecně technika, při které routery (a podobná zařízení) mění u průchozího paketu jeho zdrojovou nebo cílovou (IP) adresu. Obecný NAT dokonce mění i další údaje v hlavičce paketu.
Tato tabulka slouží pro překlad síťových adres.
Využívá se ke dvěma hlavním účelům:
1. Skrývá vnitřní strukturu sítě. 2. Převádí neveřejné adresy na jednu veřejnou adresu, abychom mohli i ze strojů z vnitřní sítě přistupovat ven.
Obsahuje tři řetězce, které se však nepoužívají k filtrování paketů (i když i to je možné), ale jak už její název napovídá, ke změnám adresy datagramu. Funguje to tak, že pokud paket při průchodu vyhoví zadanému pravidlu, tak mu je podle určeného vzoru změněna adresa jeho odesílatele resp. příjemce podle určeného vzoru. Podle toho hovoříme buď o překladu adres odesílatele (SNAT - Source NAT) nebo překladu adres příjemce (DNAT - Destination NAT).
A jak vůbec vypadá pouť datagramu NAT tabulkou?
Obr.2. Pouť datagramu NAT tabulkou
Příchozí pakety, ať už jejich destinace jakákoliv, prochází řetězcem PREROUTING, kde jim můžeme měnit adresu příjemce, tedy DNAT.
Odchozí pakety, bez ohledu na odesílatele zase mohou být SNATovány (zamaskování adresy odesílatele) v řetězci POSTROUTING.
Zvláštním případem je odchozí řetězec OUTPUT, který lze použít k DNATování paketů vzniklých pouze na lokálním počítači. V praxi se však OUTPUT DNAT používá jen zřídka.
Jednoduchý příklad:
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to ip_routera
router tedy bude nahrazovat IP odcházejících paketů svojí IP adresou.
Výhody
skrytí sítě - struktura sítě není viditelná zvenčí
cena - je potřeba pouze jedna veřejná IP adresa
není třeba zvláštní konfigurace klientů - stačí jako bránu nastavit server provádějící NAT
není potřeba úprava aplikací
Nevýhody
skrytí sítě - příchozí dotazy z vnější sítě nemůžou přistupovat dovnitř naší sítě, dokud není komunikace iniciována zevnitř nebo pokud nemáme speciální software pro přeposílání specifických portů
problémy při použití DHCP - spravování překladu při dynamickém přidělování adres ve vnitřní síti
DNAT (Destination NAT)
V tomto případě je již několik vnitřních adres mapováno na jednu vnější. Protože je pro převod všech interních adres použita pouze jedna vnější, musí administrátor určit jakým způsobem bude zajištěna identifikace každého počítače. To se dělá tak, že ke vnější adrese je přidáno také číslo portu transportní vrstvy odesílajícího počítače. Jakmile router namapuje vnitřní adresu na vnější, použije tuto vnější adresu v hlavičce IP datagramu a pošle jej dál (do internetu). Pokud cílový počítač odpoví, je po příchodu datagramu opět IP adresa přemapována a datagram je odeslán tomu počítači ve vnitřní síti, který si jej vyžádal.