Що таке суворий, помірний та відкритий NAT?

Параметри NAT на внутрішніх маршрутизаторах часто налаштовуються як суворі . Що це означає? Що роблять помірні чи відкриті ? Доступ до переадресації портів / DMZ працює належним чином на суворому рівні, тож навіщо турбуватися з іншими двома?

Огляд маршрутизатора говорить про те, що це впливає на брандмауер . Витрачаючи велику кількість свого часу на безпеку мереж за допомогою Cisco / iptables, така кульгава не описова відповідь є не що інше, як нахабна і не залишає підказки щодо того, який ефект на брандмауер це має.

Будь ласка, хтось може пролити трохи світла.

router nat open

— Metalshark
джерело

Деякі моделі моделей можуть бути корисними, питання, здається, більше спрямоване на ринок суперпользователя. Чи плануєте ви використовувати їх для певної ділової мети, швидше за все, це питання типу суперпользователя?

— Гельвік

Мені дуже шкода, але я вважаю, що ці терміни найчастіше використовуються споживчою ігровою системою, і їх не часто використовують системні адміністратори. Можливо, вам слід запитати Microsoft, що саме означає під їхніми дебютними умовами. support.microsoft.com/kb/908880

— Zoredache

У цьому випадку є NetGEAR WNDR3700, але Drayteks (використовується багатьма офісами SoHo та салону) також має однаковий варіант. Я просто хотів би знати, що робить кожен варіант, який багато хто потребує, коли виникають проблеми. Цей, зокрема, видається все більш поширеним для всіх моделей. Хоча якщо її краще запитати у SuperUser, я спробую там.

— Metalshark

Важливо спочатку знати, як працює трансляція мережевих адрес (NAT). Ви встановлюєте з'єднання з сервером в Інтернеті. Насправді ви надсилаєте пакети на маршрутизатор, виходячи зі свого комп'ютера на якийсь випадково вибраний порт:

Your computer        Router
+------------+     +-----------+
|            |     |           |
| port 31746 o====>o           |
|            |     |           |
+------------+     +-----------+

Ваш маршрутизатор, у свою чергу, встановлює з'єднання з сервером, з яким ви хочете поговорити. Це говорить, що це власний випадково вибраний порт:

                     Router            www.google.com
                   +-----------+     +----------------+
                   |           |     |                |
                   | port 21283o====>o port 80        |
                   |           |     |                |
                   +-----------+     +----------------+

Коли веб-сервер google надсилає вам назад інформацію, вона фактично надсилає її назад до вашого маршрутизатора (оскільки ваш маршрутизатор - це той, хто насправді є в Інтернеті):

                     Router            www.google.com
                   +-----------+     +----------------+
                   |           |     |                |
                   | port 21283o<====o port 80        |
                   |           |     |                |
                   +-----------+     +----------------+

Пакет прибуває на ваш маршрутизатор, на порт 21283від www.google.com. Що повинен робити з ним маршрутизатор?

У цьому випадку маршрутизатор веде облік про вас і про трафік, на який він направляє www.google.com:80з порту 21283від вашого імені. Таким чином, маршрутизатор передасть пакет вашому комп'ютеру:

Your computer        Router
+------------+     +-----------+
|            |     |           |
| port 31746 o<====o           |
|            |     |           |
+------------+     +-----------+

Відкрити NAT

У відкритому NAT будь-яка машина в Інтернеті може пересилати трафік до порту вашого маршрутизатора 21283, і пакет буде відправлений вам назад:

Your computer        Router            
+------------+     +-----------+     {www.google.com:80
|            |     |           |     {www.google.com:443
| port 31746 o<====o port 21283o<===={serverfault.com:80
|            |     |           |     {fbi.gov:32188
+------------+     +-----------+     {botnet.cn:11288

Закритий NAT

Закритий nat є більш обмежуючим. Він нічого не дозволить, якщо він не з’явився з оригінальної адреси та порту, з яким ви хотіли поговорити, тобто від www.googleпорту 80:

Your computer        Router            
+------------+     +-----------+     {www.google.com:80
|            |     |           |     | (rejected) www.google.com:443
| port 31746 o<====o port 21283o<====+ (rejected) serverfault.com:80
|            |     |           |       (rejected) fbi.gov:32188
+------------+     +-----------+       (rejected) botnet.cn:11288

Помірний NAT

Помірна NAT - це суміш, де ваш маршрутизатор буде приймати будь-який трафік з будь-якого порту , але тільки з того самого хоста :

Your computer        Router            
+------------+     +-----------+     
|            |     |           |     {www.google.com:80
| port 31746 o<====o port 21283o<===={www.google.com:443
|            |     |           |       (rejected) serverfault.com:80
+------------+     +-----------+       (rejected) fbi.gov:32188
                                       (rejected) botnet.cn:11288

Це один набір визначень. Інше:

Відкрито: дозволяє комп'ютерам у локальній мережі використовувати UPNP для відкриття портів
Помірний: деякі порти вперед створені та працюють
Закрито: статичне переадресація портів не існує

Але термінологія насправді туманна.

Дивись також

— Ян Бойд
джерело

Гарне пояснення. Це лише один тип NAT і називається PAT (переклад портових адрес)

— J.Money

"тільки від того самого хоста" - тільки від того самого хоста , що і що ?

— BT

@BT "лише від того самого хоста , що і " - як хоста, з яким ми говоримо. (наприклад, google.com)

— Ian Boyd