Preklad IP adries v paketoch čiže NAT umožňuje pripojenie staníc s vnútornou IP adresou v lokálnej sieti na internet na paketovej úrovni. Tým je umožnené staniciam vo vnútornej sieti a väčšine aplikácií na nich prevádzkovaných pracovať s internetom, ako keby boli na internet pripojené priamo, a nie pomocou iného počítača. Odpadá tak nutnosť konfigurovať na každom počítači každú aplikáciu na prístup na internet zvlášť, stačí len raz správne nakonfigurovať protokol TCP/IP.
Znamená to, že adresy z lokálnej siete sa preložia na jedinečnú adresu, ktorá slúži pre vstup do inej siete ( napr. Internetu), prekladanú adresu si uloží do tabuľky pod náhodným portom, pri odpovedi si v tabuľke vyhľadá port a pošle pakety na IP adresu priradenú k danému portu. NAT je vlastne jednoduchým proxy serverom. NAT môže byť softwarového typu (Nat32, Kerio Winroute firewall) alebo hardwarového typu (router s implementáciou NAT).
Výhody
- Šetria náklady pri používaní verejných IP adries a zabezpečujú efektívne využívanie IP adries. NAT
umožňuje internej IP adrese miestneho hostiteľa aby bola prekonvertovaná na verejnú, preto môžete mať pre všetkých interných hostiteľov jednu verejnú IP adresu ( rieši sa tak nedostatok pridelených verejných IP adries ) - Zvyšuje bezpečnosť internej siete (počítačov pripojených za NATom) ukrytím IP adries. Mnoho útokov je smerovaných na IP adresy. Preto ak útočník nevidí IP adresy, interná sieť je zabezpečená.
Druhy sieťového prekladu
NAT pracuje so 4 typmi sieťového prekladu, ktoré len vymenujem a nebudem bližšie rozoberať (fakt to nie je nevyhnutné k životu) a to sú:
Prvé 3 typy NAT uchovávajú to isté mapovanie pre danú privátnu IP adresu nezávisle na cieľovej IP adrese. Avšak symetrické NAT alokuje nové mapovania ktoré sú závislé od cieľovej adresy.
IP adresa, druhy IP adries, smerovanie
Ak si chcete zistiť akú máte IP adresu, môžete na to použiť viacej spôsobov:
- Stiahnete si na to program, napr.: ShowIP
- Pozriete cez web stránku, napr.: http://whatismyipaddress.com/
WAN IP – je vonkajšia IP adresa (internetová)
LAN IP – je vnútorná IP adresa (lokálna)
Pokiaľ sú WAN IP a LAN IP rovnaké, potom máte verejnú IP adresu.
Ak sú rozdielne, potom máte neverejnú IP adresu.
Ďalej sa tieto IP adresy delia na statické (pevné) a dynamické (meniace).
Ak pri neverejnej IP adrese v LAN IP začína IP adresa čislom 10. .. je dynamická, a keď 192. .. tak potom je statická.
Pri verejnej IP adrese je jediná možnosť, ako zistiť či máte statickú alebo dynamickú, a to kontaktovať svojho ISP a spýtať sa ho.
Ak pri neverejnej IP adrese v LAN IP začína IP adresa čislom 10. .. je dynamická, a keď 192. .. tak potom je statická.
Pri verejnej IP adrese je jediná možnosť, ako zistiť či máte statickú alebo dynamickú, a to kontaktovať svojho ISP a spýtať sa ho.
Pevná verejná IP adresa - táto adresa je priamo prístupná z internetu (z vonku) a nemení sa.
Dynamická verejná IP adresa - táto adresa je priamo prístupná z internetu. Adresa sa mení v intervaloch, ktoré nastavuje ISP. ISP prideľuje novú IP adresu na dobu pripojenia, čiže po každom novom pripojení na internet sa mení aj IP adresa.
Pevná neverejná IP adresa - táto adresa nie je priamo prístupná z internetu. Aby sme ju mohli využívať, musíme použiť NAT 1:1 alebo namapovať port. Využíva sa často pre routre a serveri v lokálnej sieti (LAN).
Dynamická neverejná IP adresa – funkciu má rovnakú ako pevná neverejná IP adresa, ale mení sa pomocou určitého prideľovacieho protokolu (väčšinou je to protokol DHCP). Pri tomto spôsobe je možné komunikovať s iným počítačom (pokiaľ nie je tiež za NAT), ale on už nemôže nadviazať spojenie s vašim počítačom.
Pri verejnej IP adrese problém s NAT nie je. Vašu IP adresu si nastavíte v p2p (peer-to-peer) klientovi a pobeží bez problémov. Jediný problém nastane, ak máte dynamickú verejnú IP adresu a váš ISP ju zmenil a vy máte ešte stále v klientovi nastavenú tú starú. Treba si potom zistiť novú IP a zmeniť si ju v klientovi.
A ak máte neverejnú IP adresu (či už dynamickú alebo statickú), problém je v tom, že posielaný packet nevie, na ktorý počítač má prísť. Na to slúži nasmerovanie (naforvardovanie) portov na vašu IP adresu. Súkromné IP adresy sú rozoznávané medzi internými hostiteľmi. Ak odchádzajúce pakety určené nejakému verejnému serveru na Internete dosiahnu NAT router, router zmení zdrojovú adresu na verejnú IP adresu routera, určí dosiahnuteľný verejný port a prepošle ho. Zároveň si zapíše do tabuľky vzťah adresy a portu. Ak verejný server odpovedá, príchodzie dáta sú nasmerované na verejnú IP adresu routera a router si to zapíše do vlastnej tabuľky. Preto interný hostiteľ môže ľahko komunikovať s vonkajším.
Ako funguje smerovanie v praxi?
Klient odošle požiadavku na komunikáciu, router sa pozrie do tabuľky a zistí, či ide o adresu lokálnu alebo vonkajšiu adresu. V prípade externej adresy si do tabuľky uloží číslo náhodného portu, pod ktorým bude vysielať a k nemu si priradí IP adresu.
a) packet sa posiela na router 217.202.89.4, ale s informáciou že je určený pre port 6881. Routerzistí, že port 6881 je pridelený k vašej IP adrese vo vnútornej sieti (LAN), a tak vám ho pošle na váš PC.
b) packet sa posiela na router 217.202.89.4, ale s informáciou, že je určený pre port 1111 a ten nie je pridelený k vašej IP adrese a tak router nevie, kde ho má poslať a zahodí ho.
c) packet sa posiela priamo na vašu IP adresu vo vnútornej sieti (LAN) na port 6881, ale tým, že ste za routerom a ten má inú IP adresu ako vy vo vnútornej sieti, tak k vám packet nedorazí, lebo ho router odmietne, alebo bude poslaný niekomu inému, a ten ho neprijme.
NAT / Firewall
Firewall chráni váš server aj počítačovú sieť pred útokmi a neoprávnenými pokusmi o prienik z internetu. Preklad adries (NAT) umožňuje jednoducho pristupovať na internet z väčšiny aplikácií bez nutnosti ich konfigurácie. Firewall pracuje na princípe paketového filtra a nastavuje sa pomocou sád povolení spojení na jednotlivých sieťových rozhraniach. Ak teda nie je nejaké spojenie v nastavení firewallu explicitne povolené, potom platí, že je zakázané.
Nastavenie NAT protokolu
Router zvyčajne slúži ako NAT (Network Address Translation) router a niekedy ho potrebujeme vedieť nastaviť, napr., ak chceme zabezpečiť prístup počítača z vonkajšej siete k nejakému externému zariadeniu vo vnútornej sieti - napríklad kamera, tlačiareň a podobne. Aby router vedel, kam komunikáciu posielať a aby v tom nemal chaos, treba nastaviť IP adresy a porty. Ako teda nastaviť router na NAT protokol? Dúfam, že môj "menší" návod pomôže. Obrázky sú sťahované z internetu a nepoužíval som prostredia len jedného typu routru, čo je v podstate jedno, pretože tie nastavenia sú pri všetkých typoch routrov podobné.lokálnej siete, alebo spustite CMD (ak ste vo Windowse) a do príkazového riadku napíšte príkaz ipconfig. (Ak používate Linux, tak príkaz v terminály bude vyzerať podobne: if config). V tabuľke sa vám zobrazí IP Adresou počítača (IP address), maskoa podsiete (network mask) a predvolená brána (default gateway).
2. IP adresu brány je potrebné zadať do IE (napríklad 192.168.1.1). Väčšina routrov požaduje prihlásenie pomocou mena a hesla. Defaultné meno a heslo nájdete v manuáli routra.
Často bývajú defaultne zadané:
User Name: admin
Password: admin
3. Po prihlásení sa vám zobrazí hlavné menu routra. U väčšiny routrov je menu približne rovnaké.
Pre presmerovanie portov je potrebné zväčša kliknúť na odkaz NAT prípadne Port Forwarding (presmerovanie portov), niekde to treba hľadať v podmenu (napr. cez Advanced Setup). Po kliknutí na NAT alebo Port Forwarding by sa mala zobraziť takáto tabuľka (pre istotu 3 rôzne...) :
Keďže jednotlivé prostredia sa líšia, môžete sa stretnúť s týmito pojmami:
Pre presmerovanie portov je potrebné zväčša kliknúť na odkaz NAT prípadne Port Forwarding (presmerovanie portov), niekde to treba hľadať v podmenu (napr. cez Advanced Setup). Po kliknutí na NAT alebo Port Forwarding by sa mala zobraziť takáto tabuľka (pre istotu 3 rôzne...) :
Keďže jednotlivé prostredia sa líšia, môžete sa stretnúť s týmito pojmami:
Aplication (meno služby): Zadajte popis sieťovej služby.
Protocol (protokol): Zadajte protokol transportnej vrstvy (TCP alebo UDP).
Start Port (počiatočný port) a End Port (koncový port), alebo Ext.Port (rozsah portov)
Protocol (protokol): Zadajte protokol transportnej vrstvy (TCP alebo UDP).
Start Port (počiatočný port) a End Port (koncový port), alebo Ext.Port (rozsah portov)
Public Port (verejný port): Špecifikujte, ktorý port môže byť presmerovaný na určitú súkromnú IP adresu a port interného hostiteľa
Local IP address (privátna IP): Zadajte lokálnu IP adresu záznamového zariadenia.
Private Port (privátny port): Špecifikujte vnútorné číslo portu pre privátnu adresu.
Local IP address (privátna IP): Zadajte lokálnu IP adresu záznamového zariadenia.
Private Port (privátny port): Špecifikujte vnútorné číslo portu pre privátnu adresu.
Enable (aktívne): Treba zapnúť pri portoch, ktoré chcete aby fungovali.
Konfigurácia CISCO routra
Dovolím si pridať tutoriál z youtube, keďže pre nedostatok času sa mi nechce vypisovať všetky príkazy ručne.
Žiadne komentáre:
Zverejnenie komentára