как узнать использует ли провайдер nat

Сетевой порт/Что такое NAT и как определить, находитесь ли вы за NAT

В Википедии имеется статья по теме «NAT»

Содержание

Что такое NAT [ править ]

NAT — Network Address Translation, трансляция сетевых адресов. Оригинал RFC 1631, RFC 3022. Перевод RFC 3022.

Ваш компьютер может быть подключен к Интернету:

Здесь NAT — это процесс трансляции локальных адресов во внешние. Благодаря этому процессу ваш компьютер получает доступ в Интернет.

NAT автоматически делает порты вашей машины недоступными из Интернета для прямого входящего соединения.

Находитесь ли вы за NAT [ править ]

IP-адрес компьютера [ править ]

Выберите команду главного меню Пуск > Выполнить. и наберите команду cmd

В появившемся командном окне выполните команду ipconfig

Первый из этих адресов — это IP-адрес вашего компьютера.

Default Gateway — адрес шлюза, он же маршрутизатор (роутер).

Subnet Mask определяет, какие адреса являются локальными (к ним компьютер будет обращаться напрямую), а какие нет (к ним обращение будет идти через маршрутизатор).

Выполните в терминале команду:

Локальный ли? [ править ]

Три специальных диапазона IP-адресов зарезервированы для локальных сетей и в Интернете не используются:

Четвертый диапазон предназначен для самоназначаемых IP-адресов; в случае если на компьютере настроен DHCP-клиент и ему не удалось получить IP-адрес, он берёт случайный адрес из этого диапазона. Эти адреса предназначены для передачи информации только в пределах одной физической сети (так называемые Link-local-адреса, см. RFC 3927).

Если IP-адрес вашего компьютера находится в одном из этих диапазонов, то есть начинается с 10. или с 192.168. или с 172.nn. (где nn — от 16 до 31), то это локальный (внутренний) адрес и вы точно находитесь за NAT.

Внешний ли? [ править ]

Эти сайты покажут вам адрес, под которым вас видят другие компьютеры в Интернете. Если он совпадает с IP-адресом вашего компьютера, то вы точно подключены к Интернету напрямую (то есть не за NAT) и дальше вам читать не нужно.

Остальные варианты [ править ]

В остальных случаях возможны такие варианты:

Во многих случаях вы можете определить, есть ли между вами и Интернетом прокси-сервер, пользуясь, например, сайтом lagado.com/proxy-test.

Подключение через прокси в этом руководстве пока не рассматривается.

Чей это NAT [ править ]

Если вы за NAT, то следующим шагом надо определить, где именно находится NAT-устройство.

Провайдеры [ править ]

Такую ситуацию описывают разными словами:

Проще всего позвонить провайдеру и узнать. Или спросить у соседей с таким же подключением. Обычно такой провайдер предоставляет дополнительную услугу — внешний («белый») IP-адрес за отдельную плату.

Без внешнего IP-адреса сделать себе доступный порт нельзя.

Дополнительно [ править ]

Ваш NAT [ править ]

В этом случае ваш внешний IP-адрес «принадлежит» вам лично, и вы практически всегда можете ваше NAT-устройство настроить и получить доступный порт.

В качестве NAT может выступать компьютер, подключённый к Интернету напрямую; тогда ваш второй компьютер (для которого вам нужно открыть порт) получает доступ к Интернет через него с помощью встроенного в Windows ICS или сторонней программы, например, WinRoute. Про настройку порта в ICS смотрите тут или тут (обе ссылки на английском).

Но чаще это обычный домашний маршрутизатор, на настройке которого и фокусируется далее это руководство:

Двойной NAT [ править ]

К сожалению, иногда бывает и так, что NAT есть и у вас, и у провайдера, то есть ваш компьютер находится за двумя NAT сразу. Это можно проверить, зайдя в настройки маршрутизатора, посмотрев на его внешний (WAN) IP-адрес и далее следуя вышеописанному сценарию (принадлежит ли этот адрес диапазонам локальных сетей, совпадает ли он с тем адресом, под которым вас видят в Интернете).

Источник

Как узнать, нахожусь ли я за NAT? (РЕШЕНО)

Что такое NAT

NAT — это технология, которая позволяет множеству устройств выходить в Интернет используя один и тот же IP адрес. Кстати, в вашей локальной сети, в которой имеется роутер, уже применяется NAT — именно благодаря этому все ваши устройства могут выходить в Глобальную сеть и не нужно каждому из них иметь внешний IP.

Как вы понимаете, это часто используемая технология. Возможно, вы много лет ею пользуетесь, даже не зная про неё. Она действительно приносит очень много пользы, но у неё есть недостаток — она позволяет делать подключения «в одну сторону». То есть если ваш компьютер инициализировал подключение к Интернету, то он отправит его роутеру, роутер сделает две вещи: 1) запомнит, что запрос пришёл с определённого устройства и 2) отправить этот запрос в Интернет. Когда придёт ответ, роутер всё ещё «помнит», что этот запрос был сделан для определённого устройства в локальной сети, и отправит ответ именно этому устройству. И так происходит каждый раз.

Но вот если на роутер придёт новый сетевой запрос из Глобальной сети (не ответ на запрос, а именно новый запрос), то роутер банально не знает, для кого в локальной сети он предназначен (если не настроена переадресация портов). Поэтому с этим поступившим запросом роутер ничего не делает. Многие Интернет-провайдеры также используют NAT. И работа происходит по точно такому же принципу — ваши сетевые запросы уходят в Глобальную сеть и вы без проблем получаете сетевые ответы, но новые запросы из Интернета к вашему компьютеру не могут пройти через NAT.

Поэтому если вы хотите на своём домашнем компьютере запустить сетевой сервис (например, веб-сервер) и хотите, чтобы был доступен из Глобальной сети Интернет, то вам нужно убедиться, что вам компьютер не за NAT сетью Интернет-провайдера.

Как узнать, использует ли мой Интернет-провайдер NAT

На самом деле непросто с полной уверенностью сказать, находится ли компьютер за NAT, но есть косвенные признаки, позволяющие с высокой степенью вероятности утверждать, что Интернет-провайдер применяет NAT для своих пользователей.

Поиск локальных IP адресов в сетевом маршруте

С помощью трассировки маршрута можно узнать, через узлы с какими IP адресами проходит сетевой трафик.

Чтобы запустить трассировку маршрута в Windows откройте команду строку (для этого нажмите Win+x и выберите пункт «Windows PowerShell») и запустите команду:

Для запуска трассировки в Linux запустите команду:

Если среди IP адресов, через которые проходит сетевой трафик, вы увидите входящие в следующие диапазоны, то скорее всего вы находитесь за NAT:

На этом скриншоте сразу два IP адреса из указанных диапазонов: 192.168.1.1 и 10.128.0.1.

192.168.1.1 — это роутер (как было сказано выше, роутер также использует NAT, поэтому если вы подключаете свой компьютер к сети Интернет-провайдера через роутер, то вам нужно настроить проброску (форвардинг) портов.

А другой IP 10.128.0.1 принадлежит локальной сети Интернет-провайдера. Поскольку локальные (приватные) IP адреса являются немаршрутизируемыми, можно с высокой долей вероятности утверждать, что используется NAT.

На следующем скриншоте виден роутер и целых три локальных IP из диапазона 10.0.0.0/8. Опять же можно утверждать, что NAT используется.

На этом скриншоте виден роутер (192.168.1.1), но среди последующих IP отсутствуют локальные. Означает ли это, что Интернет-провайдер не использует NAT? Нет. Если есть присутствуют локальные IP адреса, то почти наверняка NAT есть, но если локальных нет, то NAT может быть, а может отсутствовать.

Поэтому нужно сделать ещё один тест.

Трассировка до себя

Сервис «Трассировка до себя» позволяет косвенно определить что Интернет-провайдер использует NAT.

На странице сервиса вы можете запустить трассировку от сервера до вашего компьютера. Результат трассировки позволит косвенно определить, использует ли ваш Интернет-провайдер NAT.

Если в результатах трассировки показываются все узлы, как на скриншоте ниже, то это означает, что у вас белый (внешний) IP адрес с вероятностью 100%.

Если же трассировка заканчивается строками

как на скриншоте ниже:

То это означает, что скорее всего ваш компьютер находится за NAT.

Но сказанное не всегда верно — трассировка может не показать узлы и по другим причинам, не только из-за NAT.

Заключение

Комбинируя эти два способа, можно с высокой степенью вероятности определять, используется ли NAT в вашем сетевом подключении.

Источник

О NAT’ах, жадных провайдерах и нечестных пользователях

Маленький ликбез на тему методов обнаружения спрятанных за NAT локальных сетей с точки зрения провайдера.

В разделе Сети и средства коммуникации Форума 3DNews, к которому я имею некоторое отношение, с завидной регулярностью появляются вопросы вроде такого: «Провайдер в договоре запрещает установку маршрутизатора, а у меня дома компьютер, ноутбук, игровая приставка и кофеварка, требующая подключения к интернету. Как же мне быть? Как подключить всё это к интернету и не платить за каждое подключение?».

А наиболее распространённый ответ (среди вообще толковых ответов, разумеется) по смыслу примерно таков: «Ставь роутер, клонируй MAC-адрес компьютера, настраивай на нём подключение и не парься, провайдер не узнает».

Так вот, плохая новость в том, что провайдер захочет – провайдер узнает. Зато хорошая новость – до вашей кофеварки с интернетом, подключенной вместе с компьютером через домашний маршрутизатор, провайдеру, скорее всего, и дела нет. Не интересно это ему. А теперь давайте разберёмся по порядку.

Внесение провайдером в договор пункта о запрете использования клиентом NAT’а (и proxy вообще) чаще происходит не из-за патологической жадности провайдера, желающего заработать денег на подключении каждого устройства в нашей квартире, даже интернет-кофеварки, которая и трафика-то потребляет всего-ничего ;). А является, на самом деле, попыткой защититься от перепродавцов трафика, просто неправильно, с точки зрения специалиста по сетям, сформулированной.

Нет, я не утверждаю, что таких жадных провайдеров не существует, но предоставим таким решать самим, что им делать – меняться или потихоньку вымирать, оставляя рынок более вменяемым конкурентам, которые, обнаружив у клиента NAT, не будут жёстко требовать объяснений, денег и отключать почём зря, а спокойно разберутся и оставят в покое. Клиент-то, может, и знать не знает ни про какой NAT, а просто, как вариант, на единственном компьютере с прямым подключением установил виртуальную машину, чтоб в древнюю игрушку поиграть, или там роутер с Wi-Fi купил, чтоб тёща с ноутбука на кухне могла в интернете кулинарные рецепты искать, а тут на тебе.

Другое дело хитрые алчные пользователи, приобретающие пакет услуг для физических лиц (а тарифные планы для физлиц зачастую в разы дешевле, чем для юридических), и начинающие подключать направо и налево друзей, соседей и просто вон того дядю из соседнего дома за 500 рублей в месяц наличными.

Прежде всего, клиент у провайдера не один. И как себя в среднем ведут клиенты в Сети, провайдер прекрасно знает. Любые заметные отклонения, будь то значительный трафик, или генерация большого количества http-запросов в единицу времени могут вызвать подозрения. И тогда специалист провайдера, вооружившись знаниями, может приступить к сбору улик.

Не секрет, что многие proxy-серверы модифицируют http-запросы, явно обнаруживая своё присутствие. Отловить некоторое количество запросов и подтвердить наличие такого proxy провайдеру не составит большого труда. Однако одного этого факта для доказательства вины клиента явно недостаточно. Приведу собственный пример. По некоторым причинам я на своём компьютере время от времени пользуюсь четырьмя различными браузерами. К счастью, цены на безлимитный интернет падают, а скорости растут, но во времена, когда я по экономическим соображениям пользовался подключением с довольно низкоскоростным тарифным планом, для оптимизации трафика у меня на компьютере был локально установлен кэширующий proxy-сервер Squid (к тому же с прикрученной к нему баннерорезкой), а разные браузеры были настроены на его использование.

Если речь не идёт о каких-то специальных сервисах с заранее предопределённым диапазоном портов источника, задача по выбору порта источника для отправки, например, TCP или UDP дейтаграммы, возложена на операционную систему. Во-первых, разные операционные системы по-умолчанию используют разные диапазоны динамических портов и разные способы выбора исходящего порта. И если NAT (точнее, в данном случае, NPAT, но все уже привыкли говорить просто NAT) при модификации пакета сохраняет порт источника, сбор и анализ статистики по исходящим портам может помочь выявить существование за NAT’ом хостов с различными операционными системами. Во-вторых, не все устройства с NAT сохраняют порт источника, есть и такие, что меняют его случайным образом на номер порта из заданного диапазона, что так же может быть выявлено статистикой.

Заголовок IP пакета содержит поле TTL (Time To Live). Значение поля TTL уменьшается при прохождении каждого промежуточного узла сети. Значения, по умолчанию присваиваемые полю TTL различными операционными системами известны, и уменьшение этого значения в пакетах, попавших в сеть провайдера однозначно укажет на присутствие шлюза.

В заголовке IP-пакета присутствует заполняемое хостом-отправителем поле Identification, предназначенное для правильной сборки фрагментов дейтаграммы. Распространённые сейчас операционные системы очень просто создают значение для поля Identification – генерируют случайное число, а для каждого следующего пакета увеличивают его на единицу. Проанализировав поля Identification в заголовках пакетов проходящего трафика и обнаружив большой разброс случайных значений, можно предположить, что трафик создаётся далеко не одной машиной.

Реализации стека протоколов TCP/IP в различных операционных системах имеют некоторые отличия. К ним относятся уже упомянутые алгоритм выбора номера исходящего порта и значение поля TTL по-умолчанию, а так же начальный размер TCP window и другие. Анализируя проходящий сетевой трафик и обнаружив в нём особенности, характерные для разных ОС, можно сделать предположение, что за NAT’ом находятся и работают несколько компьютеров с разными операционными системами.

Quod erat demonstrandum

Но и это ещё не всё. В принципе провайдер может пойти дальше, и начать с целью анализа расковыривать проходящие пакеты до прикладного уровня, хотя такие действия со стороны провайдера уже выглядят, по меньшей мере, очень некрасиво. А многие приложения могут включать в передаваемые данные информацию об адресах локальных сетевых интерфейсов. Особенно могут грешить этим instant messenger’ы и программы для голосового общения. Или вот ещё пример, почтовый протокол SMTP. Начиная почтовую сессию, многие почтовые клиенты после команды EHLO (или HELO) представляются локальным именем хоста. А где разные имена при соединении с одного адреса, там и NAT.

Каждый из перечисленных методов обнаружения NAT не идеален, и для грамотного провайдера однозначным доказательством злого умысла с вашей стороны не будет. Но вот взятые все вместе…

В общем, к чему был весь этот текст? Если однажды к вам в почтовый ящик упадёт письмо от провайдера с напоминанием про соответствующий пункт договора и просьбой прокомментировать подозрения в его нарушении, не стоит отпираться, что вы знать не знаете никаких NAT’ов и с компьютером только недавно познакомились. Провайдер знает. См. выше. Всё, что им нужно, это убедиться, что вы не занимаетесь перепродажей трафика. Кстати, если вы скинулись на интернет с соседом, и заключили договор на одного из вас – с точки зрения провайдера это таки перепродажа. А если вы ничего такого не делали, но провайдер упорствует – что ж, значит вам попался один из ещё выживших жадных динозавров, и пришло время провайдера сменить.

Источник

Статьи » Недоступный порт » 3. NAT

Что такое NAT

Ваш компьютер может быть подключен к интернету напрямую. Тогда говорят, что у него внешний IP адрес.

Обычно это значит, что компьютер подключен сразу к модему (DSL, кабельному или обычному аналоговому).

За NAT означает, что ваш компьютер подключен не к интернету, а к локальной сети. Тогда у него внутренний IP адрес, из интернета сам по себе недоступный.

Специфика работы NAT такова, что соединения, инициируемые вашим компьютером, прозрачно проходят через NAT-устройство в интернет. Однако соединения, которые хотели бы с вами установить другие компьютеры из интернета, до вас дойти не могут.

Находим IP адрес компьютера

Три специальных диапазона IP адресов зарезервированы для локальных сетей и в интернете не используются:

Если нет, то теперь проверьте, под каким IP адресом вас видят другие компьютеры в интернете. Например на whatsmyip.org («Your IP Address is x.x.x.x» вверху страницы) или на myipaddress.com.

Если IP адрес вашего компьютера совпадает с показанным одним из этих сайтов, то вы точно подключены к интернету напрямую.

Подключение через прокси в этом руководстве не рассматривается.

Варианты подключения через NAT

Если вы за NAT, то следующим шагом надо определить, где именно находится NAT-устройство.

NAT провайдера

Проще всего позвонить провайдеру и узнать. Или поинтересоваться у знающих соседей с таким же подключением.

При подключении к интернету через локальную сеть провайдера сделать себе доступный порт нельзя. Если, конечно, провайдер специально для вас не перенаправит определенный порт, что малореально. Или если вы не заплатите дополнительно за услугу, которая обычно называется «внешний» («белый») IP адрес.

NAT в офисе или многоквартирном доме

В принципе ситуация такая же, но вы можете поискать подходы к местному админу. В конечном итоге решение вопроса о доступности порта зависит от того, имеете ли вы доступ к настройкам раутера.

Кроме того, можно также попробовать UPnP, вдруг в раутере оставили его разрешенным.

NAT ваш собственный

В этом случае вы практически всегда можете его настроить и получить доступный порт.

Обычно это или подключение через домашний раутер или подключение через другой компьютер, например используя ICS (второй вариант тут не рассматривается).

Конечно, в принципе бывает и так, что NAT есть и у вас дома, и у провайдера, то есть ваш компьютер находится за двумя NAT сразу. Это можно проверить, зайдя в настройки раутера, посмотрев на его внешний адрес и далее следуя вышеописанному сценарию (принадлежит ли этот адрес диапазонам локальных сетей, совпадает ли он с тем адресом, под которым вас видят в интернете).

Источник

ИТ База знаний

Полезно

— Онлайн генератор устойчивых паролей

— Онлайн калькулятор подсетей

— Руководство администратора FreePBX на русском языке

— Руководство администратора Cisco UCM/CME на русском языке

— Руководство администратора по Linux/Unix

Навигация

Серверные решения

Телефония

FreePBX и Asterisk

Настройка программных телефонов

Корпоративные сети

Протоколы и стандарты

🔥 Популярное

Модель OSI – это просто!

TCP и UDP – в чем разница?

👌 Похожее

Решение проблем с помощью виртуализации

Базовая работа протокола RIP

Протоколы группы FHRP (First Hop Redundancy Protocols)

NAT на пальцах: что это?

2 32 или 4 294 967 296 IPv4 адресов это много? Кажется, что да. Однако с распространением персональных вычислений, мобильных устройств и быстрым ростом интернета вскоре стало очевидно, что 4,3 миллиарда адресов IPv4 будет недостаточно. Долгосрочным решением было IPv6, но требовались более быстрое решение для устранения нехватки адресов. И этим решением стал NAT (Network Address Translation).

Онлайн курс по Кибербезопасности

Изучи хакерский майндсет и научись защищать свою инфраструктуру! Самые важные и актуальные знания, которые помогут не только войти в ИБ, но и понять реальное положение дел в индустрии

Что такое NAT

Сети обычно проектируются с использованием частных IP адресов. Это адреса 10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16. Эти частные адреса используются внутри организации или площадки, чтобы позволить устройствам общаться локально, и они не маршрутизируются в интернете. Чтобы позволить устройству с приватным IPv4-адресом обращаться к устройствам и ресурсам за пределами локальной сети, приватный адрес сначала должен быть переведен на общедоступный публичный адрес.

И вот как раз NAT переводит приватные адреса, в общедоступные. Это позволяет устройству с частным адресом IPv4 обращаться к ресурсам за пределами его частной сети. NAT в сочетании с частными адресами IPv4 оказался полезным методом сохранения общедоступных IPv4-адресов. Один общедоступный IPv4-адрес может быть использован сотнями, даже тысячами устройств, каждый из которых имеет частный IPv4-адрес. NAT имеет дополнительное преимущество, заключающееся в добавлении степени конфиденциальности и безопасности в сеть, поскольку он скрывает внутренние IPv4-адреса из внешних сетей.

Маршрутизаторы с поддержкой NAT могут быть настроены с одним или несколькими действительными общедоступными IPv4-адресами. Эти общедоступные адреса называются пулом NAT. Когда устройство из внутренней сети отправляет трафик из сети наружу, то маршрутизатор с поддержкой NAT переводит внутренний IPv4-адрес устройства на общедоступный адрес из пула NAT. Для внешних устройств весь трафик, входящий и выходящий из сети, выглядит имеющим общедоступный IPv4 адрес.

Маршрутизатор NAT обычно работает на границе Stub-сети. Stub-сеть – это тупиковая сеть, которая имеет одно соединение с соседней сетью, один вход и выход из сети.

Когда устройство внутри Stub-сети хочет связываться с устройством за пределами своей сети, пакет пересылается пограничному маршрутизатору, и он выполняет NAT-процесс, переводя внутренний частный адрес устройства на публичный, внешний, маршрутизируемый адрес.

Терминология NAT

В терминологии NAT внутренняя сеть представляет собой набор сетей, подлежащих переводу. Внешняя сеть относится ко всем другим сетям.

При использовании NAT, адреса IPv4 имеют разные обозначения, основанные на том, находятся ли они в частной сети или в общедоступной сети (в интернете), и является ли трафик входящим или исходящим.

NAT включает в себя четыре типа адресов:

При определении того, какой тип адреса используется, важно помнить, что терминология NAT всегда применяется с точки зрения устройства с транслированным адресом:

Рассмотрим это на примере схемы.

На рисунке ПК имеет внутренний локальный (Inside local) адрес 192.168.1.5 и с его точки зрения веб-сервер имеет внешний (outside) адрес 208.141.17.4. Когда с ПК отправляются пакеты на глобальный адрес веб-сервера, внутренний локальный (Inside local) адрес ПК транслируется в 208.141.16.5 (inside global). Адрес внешнего устройства обычно не переводится, поскольку он является общедоступным адресом IPv4.

Стоит заметить, что ПК имеет разные локальные и глобальные адреса, тогда как веб-сервер имеет одинаковый публичный IP адрес. С его точки зрения трафик, исходящий из ПК поступает с внутреннего глобального адреса 208.141.16.5. Маршрутизатор с NAT является точкой демаркации между внутренней и внешней сетями и между локальными и глобальными адресами.

Термины, inside и outside, объединены с терминами local и global, чтобы ссылаться на конкретные адреса. На рисунке маршрутизатор настроен на предоставление NAT и имеет пул общедоступных адресов для назначения внутренним хостам.

На рисунке показано как трафик отправляется с внутреннего ПК на внешний веб-сервер, через маршрутизатор с поддержкой NAT, и высылается и переводится в обратную сторону.

Рассмотрим весь путь прохождения пакета. ПК с адресом 192.168.1.5 пытается установить связь с веб-сервером 208.141.17.4. Когда пакет прибывает в маршрутизатор с поддержкой NAT, он считывает IPv4 адрес назначения пакета, чтобы определить, соответствует ли пакет критериям, указанным для перевода. В этом пример исходный адрес соответствует критериям и переводится с 192.168.1.5 (Inside local address) на 208.141.16.5. (Inside global address). Роутер добавляет это сопоставление локального в глобальный адрес в таблицу NAT и отправляет пакет с переведенным адресом источника в пункт назначения. Веб-сервер отвечает пакетом, адресованным внутреннему глобальному адресу ПК (208.141.16.5). Роутер получает пакет с адресом назначения 208.141.16.5 и проверяет таблицу NAT, в которой находит запись для этого сопоставления. Он использует эту информацию и переводит обратно внутренний глобальный адрес (208.141.16.5) на внутренний локальный адрес (192.168.1.5), и пакет перенаправляется в сторону ПК.

Типы NAT

Существует три типа трансляции NAT:

Static NAT

Статический NAT использует сопоставление локальных и глобальных адресов один к одному. Эти сопоставления настраиваются администратором сети и остаются постоянными. Когда устройства отправляют трафик в Интернет, их внутренние локальные адреса переводятся в настроенные внутренние глобальные адреса. Для внешних сетей эти устройства имеют общедоступные IPv4-адреса. Статический NAT особенно полезен для веб-серверов или устройств, которые должны иметь согласованный адрес, доступный из Интернета, как например веб-сервер компании. Статический NAT требует наличия достаточного количества общедоступных адресов для удовлетворения общего количества одновременных сеансов пользователя.

Статическая NAT таблица выглядит так:

Dynamic NAT

Динамический NAT использует пул публичных адресов и назначает их по принципу «первым пришел, первым обслужен». Когда внутреннее устройство запрашивает доступ к внешней сети, динамический NAT назначает доступный общедоступный IPv4-адрес из пула. Подобно статическому NAT, динамический NAT требует наличия достаточного количества общедоступных адресов для удовлетворения общего количества одновременных сеансов пользователя.

Динамическая NAT таблица выглядит так:

Port Address Translation (PAT)

PAT транслирует несколько частных адресов на один или несколько общедоступных адресов. Это то, что делают большинство домашних маршрутизаторов. Интернет-провайдер назначает один адрес маршрутизатору, но несколько членов семьи могут одновременно получать доступ к Интернету. Это наиболее распространенная форма NAT.

С помощью PAT несколько адресов могут быть сопоставлены с одним или несколькими адресами, поскольку каждый частный адрес также отслеживается номером порта. Когда устройство инициирует сеанс TCP/IP, оно генерирует значение порта источника TCP или UDP для уникальной идентификации сеанса. Когда NAT-маршрутизатор получает пакет от клиента, он использует номер своего исходного порта, чтобы однозначно идентифицировать конкретный перевод NAT. PAT гарантирует, что устройства используют разный номер порта TCP для каждого сеанса. Когда ответ возвращается с сервера, номер порта источника, который становится номером порта назначения в обратном пути, определяет, какое устройство маршрутизатор перенаправляет пакеты.

Картинка иллюстрирует процесс PAT. PAT добавляет уникальные номера портов источника во внутренний глобальный адрес, чтобы различать переводы.

Поскольку маршрутизатор обрабатывает каждый пакет, он использует номер порта (1331 и 1555, в этом примере), чтобы идентифицировать устройство, с которого выслан пакет.

Для исходного адреса маршрутизатор переводит внутренний локальный адрес во внутренний глобальный адрес с добавленным номером порта. Адрес назначения не изменяется, но теперь он называется внешним глобальным IP-адресом. Когда веб-сервер отвечает, путь обратный.

В этом примере номера портов клиента 1331 и 1555 не изменялись на маршрутизаторе с NAT. Это не очень вероятный сценарий, потому что есть хорошая вероятность того, что эти номера портов уже были прикреплены к другим активным сеансам. PAT пытается сохранить исходный порт источника. Однако, если исходный порт источника уже используется, PAT назначает первый доступный номер порта, начиная с начала соответствующей группы портов 0-511, 512-1023 или 1024-65535. Когда портов больше нет, и в пуле адресов имеется более одного внешнего адреса, PAT переходит на следующий адрес, чтобы попытаться выделить исходный порт источника. Этот процесс продолжается до тех пор, пока не будет доступных портов или внешних IP-адресов.

Подведем итоги в сравнении NAT и PAT. Как видно из таблиц, NAT переводит IPv4-адреса на основе 1:1 между частными адресами IPv4 и общедоступными IPv4-адресами. Однако PAT изменяет как сам адрес, так и номер порта. NAT перенаправляет входящие пакеты на их внутренний адрес, ориентируясь на входящий IP адрес источника, заданный хостом в общедоступной сети, а с PAT обычно имеется только один или очень мало публично открытых IPv4-адресов, и входящие пакеты перенаправляются, ориентируясь на NAT таблицу маршрутизатора.

А что относительно пакетов IPv4, содержащих данные, отличные от TCP или UDP? Эти пакеты не содержат номер порта уровня 4. PAT переводит наиболее распространенные протоколы, переносимые IPv4, которые не используют TCP или UDP в качестве протокола транспортного уровня. Наиболее распространенными из них являются ICMPv4. Каждый из этих типов протоколов по-разному обрабатывается PAT. Например, сообщения запроса ICMPv4, эхо-запросы и ответы включают идентификатор запроса Query ID. ICMPv4 использует Query ID. для идентификации эхо-запроса с соответствующим ответом. Идентификатор запроса увеличивается с каждым отправленным эхо-запросом. PAT использует идентификатор запроса вместо номера порта уровня 4.

Преимущества и недостатки NAT

NAT предоставляет множество преимуществ, в том числе:

Но у NAT есть некоторые недостатки. Тот факт, что хосты в Интернете, по-видимому, напрямую взаимодействуют с устройством с поддержкой NAT, а не с фактическим хостом внутри частной сети, создает ряд проблем:

Мы разобрали основные принципы работы NAT. Хотите больше? Прочитайте нашу статью по настройке NAT на оборудовании Cisco.

Онлайн курс по Кибербезопасности

Изучи хакерский майндсет и научись защищать свою инфраструктуру! Самые важные и актуальные знания, которые помогут не только войти в ИБ, но и понять реальное положение дел в индустрии

Источник

• ← как узнать использует ли аккаунт таргетированную рекламу
• как узнать использует ли сайт камеру в сафари →