Co to jest ścisły, umiarkowany i otwarty NAT?

13

Opcje NAT na routerach krajowych często są skonfigurowane jako surowe . Co to znaczy? Co robią moderujący lub otwarty ? Przekierowanie portów / dostęp do DMZ działa poprawnie na ścisłym poziomie, więc po co zawracać sobie głowę pozostałymi dwoma?

Spojrzenie przez router sugeruje, że wpływa to na zaporę ogniową . Kiedy spędzasz dużo czasu na zabezpieczaniu sieci za pomocą Cisco / iptables, taka słaba, nieopisowa odpowiedź jest niczym więcej niż irytująca i nie pozostawia żadnych wskazówek, jaki wpływ ma to na zaporę ogniową .

Proszę, czy ktoś może rzucić trochę światła.

Metalshark
źródło
Niektóre marki \ byłyby pomocne, pytanie wydaje się bardziej skierowane na rynek superużytkowników. Czy planujesz ich użycie w jakimś celu biznesowym, wydaje się, że jest to pytanie typu superużytkownik?
Helvick,
1
Przykro mi, ale uważam, że te warunki są najczęściej używane przez system gier konsumenckich i nie są powszechnie używane przez administratorów systemu. Być może powinieneś zapytać Microsoft, co dokładnie znaczy ich głupie słowa. support.microsoft.com/kb/908880
Zoredache
NetGEAR WNDR3700 w tym przypadku, ale Drayteks (używany przez kilka biur SoHo i salonów wystawowych) również ma tę samą opcję. Chciałbym tylko wiedzieć, co robi każda opcja, którą wielu musi zbadać, gdy pojawią się problemy. Ten w szczególności wydaje się coraz powszechniejszy we wszystkich modelach. Chociaż, jeśli lepiej zapytać w SuperUser, spróbuję tam zamiast tego.
Metalshark,

Odpowiedzi:

32

Ważne jest, aby najpierw wiedzieć, jak działa Network Address Translation (NAT). Ustanawiasz połączenie z serwerem w Internecie. W rzeczywistości wysyłasz pakiety do routera, wychodząc z komputera na losowo wybrany port:

Your computer        Router
+------------+     +-----------+
|            |     |           |
| port 31746 o====>o           |
|            |     |           |
+------------+     +-----------+

Z kolei router ustanawia połączenie z serwerem, z którym chcesz rozmawiać. Mówi, że ma swój losowo wybrany port:

                     Router            www.google.com
                   +-----------+     +----------------+
                   |           |     |                |
                   | port 21283o====>o port 80        |
                   |           |     |                |
                   +-----------+     +----------------+

Gdy serwer Google wysyła Ci informacje zwrotne, w rzeczywistości wysyła je z powrotem do routera (ponieważ router jest facetem w Internecie):

                     Router            www.google.com
                   +-----------+     +----------------+
                   |           |     |                |
                   | port 21283o<====o port 80        |
                   |           |     |                |
                   +-----------+     +----------------+

Pakiet dociera do routera na port 21283z www.google.com. Co powinien z tym zrobić router?

W takim przypadku router zapisał ciebie i ruch, który wysłał www.google.com:80z portu 21283w twoim imieniu. Router przekaże pakiet do komputera:

Your computer        Router
+------------+     +-----------+
|            |     |           |
| port 31746 o<====o           |
|            |     |           |
+------------+     +-----------+

Otwórz NAT

W otwartym NAT, dowolna maszyna w Internecie może wysyłać ruch do portu routera 21283, a pakiet zostanie odesłany do Ciebie:

Your computer        Router            
+------------+     +-----------+     {www.google.com:80
|            |     |           |     {www.google.com:443
| port 31746 o<====o port 21283o<===={serverfault.com:80
|            |     |           |     {fbi.gov:32188
+------------+     +-----------+     {botnet.cn:11288

Zamknięty NAT

Zamknięty nat jest bardziej restrykcyjny. Nie pozwoli na nic, chyba że pochodzi z oryginalnego adresu i portu, z którym chcesz rozmawiać, tj. www.googlePort 80:

Your computer        Router            
+------------+     +-----------+     {www.google.com:80
|            |     |           |     | (rejected) www.google.com:443
| port 31746 o<====o port 21283o<====+ (rejected) serverfault.com:80
|            |     |           |       (rejected) fbi.gov:32188
+------------+     +-----------+       (rejected) botnet.cn:11288

Umiarkowany NAT

Umiarkowany NAT to mieszanka, w której router akceptuje każdy ruch z dowolnego portu , ale tylko z tego samego hosta :

Your computer        Router            
+------------+     +-----------+     
|            |     |           |     {www.google.com:80
| port 31746 o<====o port 21283o<===={www.google.com:443
|            |     |           |       (rejected) serverfault.com:80
+------------+     +-----------+       (rejected) fbi.gov:32188
                                       (rejected) botnet.cn:11288

To jeden zestaw definicji. Drugi to:

  • Otwórz: umożliwia komputerom w sieci LAN używanie UPNP do otwierania portów
  • Umiarkowane: niektóre przekierowania portów zostały utworzone i działają
  • Zamknięte: nie istnieje statyczne przekierowanie portów

Ale terminologia jest naprawdę mglista.

Zobacz też

Ian Boyd
źródło
1
Dobre wytłumaczenie. To tylko jeden rodzaj NAT i nazywa się PAT (tłumaczenie adresu portu)
J.Money,
„tylko z tego samego hosta” - tylko z tego samego hosta co ?
BT
@BT „tylko z tego samego hosta co ” - jako hosta, z którym rozmawiamy. (np. google.com)
Ian Boyd