Protokoly pro překlad adres NAT a PAT
Níže je uveden pouze náhled materiálu. Kliknutím na tlačítko 'Stáhnout soubor' stáhnete kompletní formátovaný materiál ve formátu DOC.
Když je modifikována cílová adresa prvního paketu, pak je to Cílová NAT - například se změní cíl. Cílová NAT je vždy prováděna před započetím směrování, těsně po přijetí paketu z drátů. Port-forwarding, load-sharing a transparentní proxy jsou speciální formou DNAT.
iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.1.1-192.168.1.10
SNAT (Source NAT)
Když je modifikována zdrojová adresa prvního paketu, pak je to Zdrojová NAT - například se změní zdroj vysílání. Zdrojová NAT je vždy prováděna až po dokončení směrování, těsně předtím než je paket vyslán po drátech. Masquerading je speciální forma SNAT.
SNAT - mění zdrojovou adresu/port.
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 194.236.50.155-194.236.50.160:1024-32000
MASQUERADE - forma SNATu vhodná pro dynamicky přidělovaná IP (např. vytáčená spojení), kdy maskujeme stroje s neveřejnými IP za IP rozhraní firewallu na venkovní síti. Navíc zahazuje tabulku spojení po shození rozhraní.
iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE --to-ports 1024-31000
PAT (Port Address Translation)
Princip je skoro stejný jako u NAT, ale jde o překlad adres portů. Je to vlastně funkce obstarávající pomocí routerů komunikaci se všemi ostatními v síti (třeba jako internet) aniž by odhalila jejich vlastní privátní IP-adresy. Všechny odchozí pakety mají jejich IP adresu překládanou do routerovských externích IP adres. Odezvy přijdou zpět na router, který je přeloží zpět na privátní IP adresy původního hosta a jsou tedy připraveny ke konečnému postoupení.
Jakým způsobem procházejí data přes firewall
Firewall pro zajištění bezpečnosti používá většinou mechanismus překladu adres (Network Address Transaltion) a portů (Port Address Transaltion). Překlad adres (NAT) a portů (PAT) může být statický nebo dynamický. Statického překladu adres se obvykle používá v případě, že přeložená adresa je registrována a musí zůstat neměnná, například u WWW, FTP a Mail serverů.
Dynamický překlad adres se používá k umožnění přístupu klientům z chráněné sítě do veřejných a tudíž nechráněných sítí.
Jakmile přijde nějaký packet do zabezpečovací interface firewallu, firewall zkontroluje, jestli předchozí soubor pochází od stejného účastníka sítě. Pokud ne, firewall vytvoří překladový slot pro nové spojení. Slot obsahuje vnitřní IP adresu a unikátní IP adresu registrovanou u NAT, PAT, nebo Identitu, kterou používá vnitřní adresa jako vnější adresu. Firewall potom zamění tento packet původních adres za globální registrovanou adresu, modifikuje vnitřní součet a další potřebné položky, a pošle ho do příslušné nechráněné interface a pak do vnější sítě. Pokud přichází nějaký packet z vnější nechráněné sítě do firewallu, musí nejprve projít bezpečnostním testem firewallu. Jestliže vyhoví bezpečnostním kritériím, firewall změní cílovou IP adresu na interní IP adresu a packet prochází do chráněné zóny.