Oggi considereremo la questione dell'organizzazione della condivisione dell'accesso a Internet e della configurazione automatica della rete sulla piattaforma Windows. Nonostante si tratti di una soluzione più costosa, il suo utilizzo sarà giustificato in caso di stretta integrazione con l'infrastruttura di rete implementata sulla base di Server Windows.
Come piattaforma di lavoro abbiamo utilizzato Windows Server 2008 R2, come piattaforma oggi più aggiornata, tuttavia tutto ciò che è stato detto, con piccole modifiche, vale anche per le versioni precedenti di Windows Server 2003/2008.
Inizialmente, è necessario configurare le interfacce di rete. Nel nostro caso, l'interfaccia che esamina la rete del provider riceve le impostazioni tramite DHCP, l'abbiamo rinominata in EXT. L'interfaccia interna (LAN) ha un indirizzo IP statico di 10.0.0.1 e una maschera di 255.255.255.0.
Il modo più semplice per organizzare accesso generale a Internet abiliterà l'opzione corrispondente nelle impostazioni della connessione di rete. Tuttavia, nonostante tutta la sua semplicità, questo metodo è estremamente poco flessibile ed è accettabile solo se non vengono poste altre attività di instradamento prima del server. È meglio andare in un modo più complicato, a prima vista, ma mettere le mani su uno strumento molto potente e flessibile che ti consente di risolvere problemi di rete molto più complessi.
Iniziamo, come previsto, aggiungendo un nuovo ruolo del server: Criteri di rete e servizi di accesso.
Nei servizi di ruolo, nota Servizi di routing e accesso remoto, tutto il resto non ci interessa adesso. Dopo aver installato correttamente il ruolo, puoi procedere alle impostazioni di routing.
IN Lancio trova il servizio di routing e attraverso il menu Azioni scegliere Configurare e abilitare il routing e accesso remoto . La configurazione viene eseguita con l'aiuto di una procedura guidata che ci guida passo dopo passo attraverso tutte le fasi di installazione. Come configurazione, selezionare Traduzione dell'indirizzo di rete (NAT), tutte le altre funzioni possono essere configurate manualmente in un secondo momento.
Qui è necessario specificare l'interfaccia con cui il nostro server è connesso a Internet, se necessario, è possibile crearlo (ad esempio, quando si utilizza PPPoE o Connessioni VPN).
Lasciamo il resto delle impostazioni come predefinite e dopo aver fatto clic sul pulsante è pronto, verrà avviato il servizio di Routing e Accesso remoto, il nostro server è pronto per servire i clienti da rete interna. È possibile verificare le prestazioni specificando sulla macchina client un indirizzo IP dall'intervallo della rete interna e specificando come gateway e Server DNS il nostro indirizzo del server.
Per configurare automaticamente le impostazioni di rete sui computer client, beh, non eseguire da un posto all'altro prescrivendo manualmente gli indirizzi IP, dovresti aggiungere il ruolo Server DHCP UN.
Per questo scegliamo Aggiungi ruolo v Gestore del server e contrassegnare l'opzione di cui abbiamo bisogno.
Ora dobbiamo rispondere ad alcune semplici domande. In particolare, per scegliere per quali reti interne utilizzare DHCP, se necessario, è possibile configurare diverse impostazioni per reti diverse. Quindi specificare in sequenza i parametri dei server DNS e WINS. Quest'ultimo, in sua assenza, può essere omesso. Se la tua rete non dispone di vecchie workstation che eseguono sistemi operativi diversi da Windows NT 5 e versioni successive (2000 / XP / Vista / Seven), non è necessario un server WINS.
L'aggiunta di un ambito DHCP deve essere trattata con grande cura, un errore qui può portare all'inoperabilità dell'intera rete. Non c'è niente di complicato qui, basta inserire con attenzione tutti i parametri di rete necessari, assicurandosi che l'intervallo IP assegnato non si sovrapponga a quello già assegnato per altri dispositivi e non dimenticare di specificare correttamente maschera e gateway.
Separatamente, dovresti prestare attenzione a un parametro come la durata del contratto di locazione dell'indirizzo. Dopo la scadenza della metà del contratto di locazione, il client invia una richiesta al server per rinnovare il contratto di locazione. Se il server non è disponibile, la richiesta verrà ripetuta dopo la metà del tempo rimanente. Nelle reti cablate, dove i computer non si spostano all'interno della rete, è possibile impostare un periodo di lease sufficientemente lungo, se disponibile. un largo numero utenti mobili (ad esempio, public hotspot wifi in un bar) il periodo di locazione può essere limitato a poche ore, altrimenti gli indirizzi affittati non verranno rilasciati tempestivamente e il pool potrebbe non contenere indirizzi liberi.
Il passaggio successivo consiste nel rifiutare il supporto per IPv6 e, dopo aver installato il ruolo DHCP, il server è pronto per funzionare senza ulteriori impostazioni. È possibile verificare il funzionamento delle macchine client.
Gli indirizzi IP emessi possono essere visualizzati in Indirizzi affittati relativi all'area di nostro interesse. Qui puoi anche configurare la prenotazione per un cliente specifico di un indirizzo specifico (associazione per nome o indirizzo MAC), se necessario, puoi aggiungere o modificare i parametri dell'area. Filtri consentono di creare regole di consenso o negazione basate sugli indirizzi MAC dei client. Una revisione più completa di tutte le funzionalità del server DHCP Windows Server 2008 R2 va oltre lo scopo di questo articolo e molto probabilmente dedicheremo loro un materiale separato.
Nel nostro precedente articolo, abbiamo esaminato la configurazione di NAT per la piattaforma Windows Server. Come ha dimostrato la risposta del lettore, sorgono alcune difficoltà quando si utilizzano connessioni Internet dial-up: VPN o PPPoE. Oggi daremo un'occhiata a...
NAT(Network Address Translation) è uno standard IETF (Internet Engineering Task Force). gruppo di lavoro sviluppo delle tecnologie Internet), con l'aiuto di diversi computer rete privata(con indirizzi privati in intervalli come 10.0.x.x, 192.168.x.x, 172.x.x.x) possono condividere un singolo indirizzo IPv4 fornendo accesso a rete globale. Il motivo principale della crescente popolarità del NAT è legato alla crescente carenza di indirizzi IPv4. Inoltre, molti gateway Internet utilizzano attivamente NAT, in particolare per la connessione reti a banda larga, ad esempio, tramite DSL o modem via cavo.
Per funzionare come router, il server deve disporre di 2 interfacce di rete. Internet e la rete stessa, che deve essere lanciata in Internet. Io ho le connessioni di rete sono chiamati LAN_1 (Internet) e LAN_2 (rete locale).
Lasciatemi solo dire che il servizio Windows Firewall/Condivisione connessione Internet (ICS) dovrebbe essere disabilitato.
Quindi iniziamo con l'installazione:
Quindi, abbiamo installato le interfacce di rete, ora le configureremo.
Prima di tutto, prepariamo Interfaccia esterna (LAN_1):
192.168.0.2 - Indirizzo IP dell'utente che accederà alla rete tramite il nostro server
10.7.40.154 - indirizzo IP esterno del server
Accedendo a Internet utilizzando questa tecnologia, avrai un indirizzo IP di 10.7.40.154. Ci sono vari modi per configurare, puoi riservare gli indirizzi per ogni macchina separatamente. Nella prenotazione è possibile specificare più di un intervallo di indirizzi o non specificarne affatto, quindi qualsiasi IP in rete locale sarà in grado di navigare in Internet attraverso il server.
Andiamo a Proprietà Locale scheda di rete, Ulteriore Proprietà TCP/IP. Prescriviamo l'IP del client, mask, in Gateway predefinito inserire l'indirizzo IP del server. Nei campi DNS è necessario specificare l'indirizzo IP del provider DNS o l'indirizzo IP del server DNS locale installato.
Tutto! Questo completa l'installazione e la configurazione.
La Network Address Translation (NAT) è un modo per rimappare uno spazio di indirizzi in un altro modificando le informazioni, ovvero le intestazioni dei pacchetti vengono modificate mentre sono in transito attraverso un dispositivo di instradamento del traffico. Questo metodo è stato originariamente utilizzato per reindirizzare facilmente il traffico sulle reti IP senza rinumerare ciascun host. È diventato uno strumento popolare e importante per conservare e allocare lo spazio degli indirizzi globali a fronte della scarsità di indirizzi IPv4.
L'uso originale della traduzione degli indirizzi di rete consiste nel mappare ogni indirizzo in uno spazio di indirizzi all'indirizzo corrispondente in un altro spazio. Ad esempio, questo è necessario se l'ISP è cambiato e l'utente non ha la possibilità di annunciare pubblicamente un nuovo percorso verso la rete. Con il prevedibile esaurimento globale dello spazio degli indirizzi IP, la tecnologia NAT è stata sempre più utilizzata dalla fine degli anni '90 in combinazione con la crittografia IP (che è un metodo per spostare più indirizzi IP in uno spazio). Questo meccanismo è implementato in un dispositivo di routing che utilizza tabelle di traduzione stateful per mappare gli indirizzi "nascosti" a un singolo indirizzo IP e inoltra i pacchetti IP in uscita in uscita. Pertanto, vengono visualizzati come provenienti dal dispositivo di instradamento. Al contrario, le risposte vengono mappate all'indirizzo IP di origine utilizzando le regole memorizzate nelle tabelle di conversione. Le regole della tabella di traduzione, a loro volta, vengono cancellate dopo un breve periodo se il nuovo traffico non aggiorna il proprio stato. Questo è il meccanismo di base del NAT. Cosa significa questo?
Questo metodo consente la comunicazione attraverso il router solo quando la connessione è su una rete crittografata, in quanto ciò crea tabelle di traduzione. Ad esempio, un browser web all'interno di tale rete può visualizzare un sito al di fuori di essa, ma, essendo installato al di fuori di essa, non può aprire una risorsa in essa ospitata. Tuttavia, la maggior parte dei dispositivi NAT odierni consente di configurare le voci della tabella di traduzione per un uso permanente. Questa funzione viene spesso definita NAT statico o port forwarding e consente al traffico proveniente dalla rete "esterna" di raggiungere gli host designati sulla rete crittografata.
A causa della popolarità di questo metodo, utilizzato per conservare lo spazio degli indirizzi IPv4, il termine NAT (cos'è in realtà - menzionato sopra) è diventato quasi sinonimo di metodo di crittografia.
Poiché la traduzione degli indirizzi di rete modifica le informazioni sull'indirizzo dei pacchetti IP, ciò ha serie implicazioni per la qualità di una connessione Internet e richiede una particolare attenzione ai dettagli della sua implementazione.
Le implementazioni NAT differiscono l'una dall'altra nel loro comportamento specifico in vari casi per quanto riguarda l'impatto sul traffico di rete.
Il tipo più semplice di Network Address Translation (NAT) fornisce la traduzione uno a uno degli indirizzi IP. RFC 2663 è il tipo principale di questa traduzione. In questo tipo vengono modificati solo gli indirizzi IP e il checksum delle intestazioni IP. I tipi di traduzione di base possono essere utilizzati per connettere due reti IP con indirizzamento incompatibile.
La maggior parte delle versioni di NAT è in grado di mappare più host privati su un singolo indirizzo IP designato pubblicamente. In una configurazione tipica, la LAN utilizza uno degli indirizzi IP "privati" assegnati dalla sottorete (RFC 1918). Un router su questa rete ha un indirizzo privato in questo spazio.
Il router si connette anche a Internet utilizzando un indirizzo "pubblico" assegnato dall'ISP. Poiché il traffico passa dalla rete locale di origine in ogni pacchetto, viene tradotto al volo da un indirizzo privato a uno pubblico. Il router tiene traccia delle informazioni di base su ogni connessione attiva (in particolare, l'indirizzo di destinazione e la porta). Quando viene restituita la risposta, utilizza i dati di connessione archiviati durante la tratta in uscita per determinare l'indirizzo privato della rete interna a cui deve essere instradata la risposta.
Un vantaggio di questa funzione è che funge da soluzione pratica all'imminente esaurimento dello spazio degli indirizzi IPv4. Anche reti di grandi dimensioni possono essere connesse a Internet con un singolo indirizzo IP.
Tutti i pacchetti di dati sulle reti IP hanno 2 indirizzi IP: origine e destinazione. In genere, i pacchetti che viaggiano dalla rete privata alla rete pubblica avranno l'indirizzo di origine dei pacchetti che cambia durante la transizione dalla rete pubblica alla rete privata. Sono possibili anche configurazioni più complesse.
L'impostazione del NAT può avere alcune particolarità. Sono necessarie ulteriori modifiche per evitare difficoltà nella traduzione dei pacchetti restituiti. La stragrande maggioranza del traffico Internet passa attraverso i protocolli TCP e UDP e i loro numeri di porta vengono modificati in modo tale che la combinazione di indirizzo IP e numero di porta inizi a corrispondere quando i dati vengono restituiti.
I protocolli non basati su TCP e UDP richiedono altri metodi di traduzione. Il Message Control Protocol (ICMP) generalmente correla i dati trasmessi con una connessione esistente. Ciò significa che devono essere visualizzati utilizzando lo stesso indirizzo IP e lo stesso numero originariamente impostato.
L'impostazione di NAT sul router non fornisce connettività end-to-end. Pertanto, tali router non possono partecipare ad alcuni protocolli Internet. I servizi che richiedono l'avvio di connessioni TCP da una rete esterna o da utenti senza protocollo potrebbero non essere disponibili. Se il router NAT non fa molti sforzi per supportare tali protocolli, i pacchetti in arrivo non possono raggiungere la loro destinazione. Alcuni protocolli possono essere ospitati nella stessa traduzione tra host partecipanti ("modalità passiva" FTP, ad esempio), a volte con l'aiuto di un gateway a livello di applicazione, ma la connessione non verrà stabilita quando entrambi i sistemi sono separati da Internet tramite NAT . L'uso di NAT complica anche i protocolli di "tunneling" come IPsec perché modifica i valori nelle intestazioni che interagiscono con i controlli di integrità delle richieste.
La connettività end-to-end è stata un principio fondamentale di Internet sin dal suo inizio. Lo stato attuale della rete mostra che NAT è una violazione di questo principio. C'è una seria preoccupazione tra gli esperti sull'uso onnipresente della traduzione degli indirizzi di rete in IPv6 e viene sollevata la questione di come eliminarla efficacemente.
A causa della natura di breve durata delle tabelle di stato di traduzione nei router NAT, i dispositivi di rete interni perdono la loro connessione IP, in genere entro un periodo di tempo molto breve. Parlando di cosa sia NAT in un router, non dobbiamo dimenticare questa circostanza. Ciò riduce notevolmente il tempo di funzionamento dei dispositivi compatti alimentati da batterie e accumulatori.
Inoltre, quando si utilizza NAT, vengono monitorate solo le porte che possono essere rapidamente esaurite. applicazioni interne, che utilizzano più connessioni simultanee (ad esempio, richieste HTTP per pagine Web con un numero elevato di oggetti incorporati). Questo problema può essere mitigato monitorando l'IP di destinazione oltre alla porta (quindi una porta locale è condivisa da molti host remoti).
Poiché tutti gli indirizzi interni sono mascherati da un singolo indirizzo pubblico, diventa impossibile per gli host esterni avviare una connessione a un particolare host interno senza una configurazione speciale sul firewall (che deve inoltrare le connessioni a una porta specifica). Applicazioni come telefonia IP, videoconferenza e servizi simili deve utilizzare metodi di attraversamento NAT per funzionare correttamente.
Reverse address and port translation (Rapt) consente a un host il cui vero indirizzo IP cambia di volta in volta di rimanere disponibile come server utilizzando un indirizzo IP fisso rete di casa. Fondamentalmente, questo dovrebbe consentire alla configurazione dei server di mantenere la connessione. Sebbene questa non sia una soluzione perfetta al problema, potrebbe esserne un'altra attrezzo utile nell'arsenale di un amministratore di rete quando si risolve il problema di come configurare NAT su un router.
L'implementazione di Cisco Rapt è Port Address Translation (PAT), che mappa più indirizzi IP privati come un singolo indirizzo IP pubblico. È possibile visualizzare più indirizzi come indirizzo perché ognuno è tracciato da un numero di porta. PAT utilizza numeri di porta di origine univoci sull'IP globale interno per distinguere la direzione del trasferimento dei dati. Questi numeri sono numeri interi a 16 bit. Il numero totale di indirizzi interni che possono essere tradotti in uno esterno può raggiungere teoricamente 65536. Il numero effettivo di porte a cui può essere assegnato un singolo indirizzo IP è di circa 4000. Di norma, PAT cerca di mantenere la porta originale del " originale". Se è già in uso, Port Address Translation assegna il primo numero di porta disponibile, partendo dall'inizio del gruppo appropriato: 0-511, 512-1023 o 1024-65535. Quando non ci sono più porte disponibili e c'è più di un indirizzo IP esterno, PAT passa a quello successivo per cercare di allocare la porta di origine. Questo processo continua fino all'esaurimento dei dati disponibili.
La mappatura dell'indirizzo e della porta viene eseguita da un servizio Cisco che combina l'indirizzo della porta di traduzione con le informazioni sul tunneling dei pacchetti IPv4 sulla rete IPv6 interna. È essenzialmente un'alternativa non ufficiale a CarrierGrade NAT e DS-Lite che supporta le traduzioni di indirizzi IP/porta (e quindi è supportata la configurazione NAT). Pertanto, evita problemi nello stabilire e mantenere una connessione e fornisce anche un meccanismo di transizione per la distribuzione di IPv6.
Esistono diversi modi per implementare l'indirizzo di rete e la traduzione delle porte. In alcuni protocolli applicativi che utilizzano applicazioni di indirizzo IP in esecuzione su una rete crittografata, è necessario determinare l'indirizzo NAT esterno (utilizzato all'altro capo della connessione) e, inoltre, è spesso necessario studiare e classificare il tipo di trasmissione. Questo di solito viene fatto perché è desiderabile creare un canale di comunicazione diretto (o per mantenere ininterrotto il trasferimento dei dati attraverso il server o per migliorare le prestazioni) tra due client, entrambi dietro NAT separati.
A tale scopo (come impostare NAT), nel 2003 è stato sviluppato uno speciale protocollo RFC 3489, che fornisce un semplice bypass di UDP su NATS. Oggi è obsoleto, poiché tali metodi non sono oggi sufficienti per valutare correttamente le prestazioni di molti dispositivi. I nuovi metodi sono stati standardizzati in RFC 5389, sviluppato nell'ottobre 2008. Questa specifica è ora nota come SessionTraversal ed è un'utilità per l'esecuzione di NAT.
Ogni pacchetto TCP e UDP contiene l'indirizzo IP di origine e il suo numero di porta, nonché le coordinate della porta di destinazione.
Per i servizi pubblici come la funzionalità del server di posta, il numero di porta è importante. Ad esempio, si connette a Software server web e 25 a SMTP server email. Anche l'indirizzo IP del server pubblico è significativo, come un indirizzo postale o un numero di telefono. Entrambi questi parametri devono essere conosciuti in modo affidabile da tutti i nodi che intendono stabilire una connessione.
Gli indirizzi IP privati contano solo sulle reti locali in cui vengono utilizzati e anche sulle porte host. Le porte sono endpoint di comunicazione univoci su un host, pertanto la connettività NAT è supportata utilizzando una mappatura combinata di porta e indirizzo IP.
PAT (Port Address Translation) risolve i conflitti che possono verificarsi tra due host diversi utilizzando lo stesso numero di porta di origine per stabilire connessioni univoche contemporaneamente.
/05.07.2004 20:43/Negli ultimi anni, tra gli amministratori di rete russi, la moda per FireWall e NAT. Gli utenti di Eserv conoscono il mio atteggiamento nei confronti di queste tecnologie dalla metà degli anni '90, ma a volte tali domande su FireWall / NAT vengono poste dai principianti e devo ripetermi. Pertanto, circa un anno fa, ho scritto un articolo separato su FireWall e oggi è il turno di NAT.
Sommario del documento
La soluzione più semplice a questo problema - la sostituzione dell'indirizzo di ritorno ai margini delle reti - si trovava in superficie e non tardò a essere pubblicata: nel maggio 1994, cioè due mesi dopo la "sezione delle reti" è stata proposta la specifica NAT: http://www.ietf.org/rfc/rfc1631.txt Il Network Address Translator (NAT) maggio 1994 Gli autori hanno annunciato questa come una "soluzione a breve termine", vale a dire soluzione temporanea del problema specificato, una sorta di "hack", fino a quando le soluzioni normali non si diffondono. Ma, come sapete, nulla è permanente come l'IPv6 temporaneo, contrariamente alle aspettative, non ha messo radici rapidamente e negli ultimi 10 anni abbiamo assistito a sempre più battaglie ai confini della LAN e di Internet. NAT è diventato molto diffuso, perché. non esisteva in quegli anni altra soluzione accettabile a questo problema: i client FTP e i client HTTP (browser) non avevano il tempo di adattarsi al mutato quadro del mondo, non potevano lavorare da una LAN con risorse esterne, quindi per rendere il confine trasparente per loro, hanno semplicemente "ingannato" a livello di programmazione utilizzando NAT - tutti i pacchetti IP indirizzati dalla LAN verso l'esterno sono stati sottoposti alla più semplice elaborazione al confine: sostituire l'indirizzo IP inverso con l'indirizzo reale del computer "di confine" e sostituendolo al contrario nei pacchetti in arrivo. Inoltre, di solito veniva sostituito anche il numero di porta della sorgente LAN. i pacchetti possono provenire da diverse macchine sulla LAN con gli stessi numeri di porta. Quelli. non vengono tradotti solo gli indirizzi IP, ma anche i numeri di porta (a volte i traduttori di porte sono chiamati PAT con un'abbreviazione separata). Nella classificazione condizionale, il NAT è diviso in "statico, dinamico e mascherato (masquerading)", ma in pratica viene utilizzato principalmente il terzo tipo, che consente di servire migliaia di connessioni dalla LAN attraverso un indirizzo reale (idealmente), mentre viene sempre utilizzata la traduzione della porta. Su un computer NAT o router + NAT, viene assegnato un intervallo di porte utilizzate per la traduzione, ad esempio con numeri maggiori di 60000 (per distinguere rapidamente queste porte da quelle assegnate per le esigenze proprie di questo computer) e una tabella dinamica delle sessioni correnti / mappature degli indirizzi. Ogni pacchetto che passa viene confrontato con questa tabella per e porta e vengono effettuate le sostituzioni appropriate. La tecnologia è così semplice che ora è sempre più raro trovare un router o un modem via cavo senza NAT integrato (e FireWall, primitivo come NAT), e il NAT si trova già anche negli hub con prezzi a partire da $ 40. Non per citare il "libero" NAT, che fa parte di diversi ultime versioni Finestre denominate " condivisione della connessione" E " condivisione della connessione". È la disponibilità, la facilità di comprensione / utilizzo e il software client poco impegnativo che ha reso NAT meritatamente popolare.
Pertanto, il "problema NAT" nel protocollo FTP deve essere aggirato in modo speciale nei client FTP o in un altro proxy FTP specializzato intermedio. Nel client FTP, per questo è necessario passare al cosiddetto. "modalità passiva" - usa il comando PASV invece del comando PORT. PASV chiede al server FTP di aprire una porta aggiuntiva su se stesso e di comunicare al client la sua :porta. Il client si connette quindi a quello specificato (NAT lo inganna di nuovo, lo trasmette) e la sessione ha esito positivo. Oltre alla necessità di supportare la modalità PASV nel client FTP (non è presente in ftp.exe standard), ciò richiede anche uno sforzo da parte dell'amministratore del server FTP, soprattutto se è anche parzialmente bloccato da firewall e NAT (poiché i server degli sviluppatori FTP per Eserv conoscono questi problemi in prima persona). In generale, qui NAT non aiuta a connettersi, ma interferisce.
Ora sulla ricostruzione del protocollo all'interno del NAT per un "trasparente" per il client aggirando il problema. I pochi NAT che possono farlo (sebbene in pratica dichiarino anche piuttosto che possono, in realtà salgono di un livello di rete - invece del più semplice inoltro di pacchetti con traduzione dell'indirizzo nell'intestazione, iniziano a fare la stessa cosa che lo stack TCP fa - assemblare pacchetti TCP, trasformandoli così da un router sovrasviluppato in un proxy applicativo TCP sottosviluppato. questo caso a un proxy FTP o a un gate FTP. Sottosviluppato perché il client non è a conoscenza di questo proxy e NAT, a sua volta, continua a indovinare il protocollo e ad affrontare un compito scomodo da risolvere al suo livello (il livello dei pacchetti IP).
Questo compito è molto più semplice da risolvere se, invece di NAT o in aggiunta ad esso, si utilizza immediatamente un proxy specializzato (gate FTP) o proxy TCP universali come Socks o, nel caso estremo, httpS (questo caso estremo funzionerà comunque meglio di NAT). Inizialmente lavorano a livello TCP e non ingannano il client FTP, ma collaborano con esso. Tre livelli di problemi scompaiono contemporaneamente: il client FTP può utilizzare qualsiasi modalità: attiva o passiva (in HTTPS solo passiva, come in NAT), non è necessario indovinare il protocollo e il doppio assembly TCP. Inoltre, l'amministratore ha maggiori opportunità di influenzare il processo (ne parleremo più avanti).
Se il programma client non sa come lavorare tramite un proxy speciale (praticamente non ne è rimasto nessuno, ma parleremo dei casi peggiori), quando si utilizza un proxy Socks, il lavoro del cliente può anche essere reso trasparente utilizzando SocksCapture o domestico Programmi FreeCap. La trasparenza del bordo è sempre un trucco, ma SocksCapture o FreeCap non intercettano i pacchetti IP, ma programmano le chiamate al sistema operativo, quindi sanno sempre esattamente, e non calcolano dal flusso di pacchetti, esattamente quale azione il programma vuole eseguire , e di conseguenza reindirizzare queste azioni tramite Socks -proxy.
Socks ha superato tutti i limiti del NAT, oltre ad aver aggiunto almeno tre comodi strumenti che consentono non solo di "proxy" quasi tutti i protocolli TCP e UDP, ma anche di migliorare il controllo sull'utilizzo di Internet dalla LAN:
È lo stesso con qualsiasi altro protocollo applicativo per il quale esistono proxy specializzati: sono sempre un ordine di grandezza più gestibili rispetto a quelli generici di basso livello. Ad esempio, molti proxy POP3 consentono di filtrare lo spam, come PopFile (sebbene sia molto più corretto filtrare lo spam non sul proxy, ma sul server SMTP). Socks e NAT per questo richiederebbero abilità speciali nella comprensione del protocollo trasmesso, ad es. infatti, "emulazione" di un proxy POP3 con mezzi poco convenienti per questo.
Pertanto, si può considerare l'utilizzo di Socks o NAT per lavorare con quei protocolli per i quali esistono proxy specializzati (HTTP, HTTPS, FTP, SMTP, POP3, IMAP) o l'architettura generalmente accettata di server intermedi (SMTP, POP3, IMAP, DNS). una soluzione forzata non ottimale. Forzato - o dall'impossibilità di utilizzare il tipo di proxy desiderato per motivi organizzativi (non c'è nessun posto dove mettere il tipo di proxy desiderato, oppure il tipo di connessione non prevede la presenza di alcun indirizzo IP reale, come nel caso del Internet tramite GPRS o opzioni di rete domestica - in questi casi NAT o "proxy HTTP forzato" sono già dalla parte del provider), o da un'insufficiente consapevolezza delle persone responsabili, incl. amministratori. Non prendo in considerazione le restrizioni finanziarie, perché ci sono molte opzioni per proxy gratuiti o molto economici per tutti questi protocolli.
In alcuni casi, l'uso di Socks5 è abbastanza giustificato, ad esempio per ICQ e altri messenger. Per questi protocolli, i proxy speciali semplicemente non vengono sviluppati, perché sono quasi invisibili sullo sfondo generale dell'uso della rete. Se nella LAN non è presente un server di posta o un proxy pop3 / smtp, anche Socks5 sarà il prossimo candidato, sebbene non tutti i client di posta lo supportino e alcuni abbiano funzionalità non ovvie (vedi Mozilla ThunderBird).
Quando si selezionano le opzioni, NAT sarà l'"ultima risorsa" - nel caso in cui non sia stato trovato nulla di meglio, o se NAT è stato inizialmente impostato dal provider - in un modem via cavo, router, connessione mobile(In questi pezzi di ferro è installato NAT, e non proxy speciali per protocolli popolari, a causa dell'estrema semplicità della sua implementazione di base: il codice sorgente del plug-in NAT UDPMAP simile in Eproxy ha una dimensione di soli 4Kb). Alcuni protocolli non funzioneranno, sarà difficile gestire il lavoro. Ma in casi così estremi, è meglio lavorare almeno in qualche modo piuttosto che non lavorare affatto.
Ecco una spiegazione dettagliata della mia nota posizione degli ultimi 8 anni: "Eserv non avrà mai NAT" Nella stragrande maggioranza dei casi, o non hai bisogno di NAT o lo hai già come punizione per aver scelto il provider A , puoi utilizzare la condivisione della connessione integrata di Windows, funziona esattamente come NAT.
Vedere anche "stampella" per NAT sul sito Microsoft: NAT traversal - attraversamento di NAT tramite adattamento dell'applicazione, configurazione NAT/Firewall tramite UPnP. Se senti la frase NAT traversal per la prima volta, è perché gli sviluppatori preferiscono Socks5 invece delle stampelle per le patch, e questa iniziativa non ha ricevuto "code support". Ma l'articolo è buono per le sue immagini (a differenza della mia e di un'altra descrizione indipendente dei problemi NAT.
In Windows XP, NAT/ICS è abilitato nelle proprietà della connessione Internet.
Se ricevi il messaggio "Impossibile consentire la condivisione. Errore: 1722: il server RPC non è disponibile." ("Impossibile abilitare l'accesso condiviso. Errore: 1722: il server RPC non è disponibile."), molto probabilmente hai interrotto o disabilitato il servizio client DHCP, devi avviarlo prima di abilitare ICS.
Citazione Se confrontiamo il lavoro tramite NAT con quello reale, finora ho avuto problemi con NAT solo con voce, video e trasferimento di file in programmi come MSN Messenger. Forse in alcune implementazioni NAT ci sono anche problemi con ftp attivo, connessione a server VPN esterni, ecc., ma quando si lavora tramite NAT in Linux (con impostazioni appropriate) non ci sono problemi con questo. Il vantaggio di NAT in questo caso è il salvataggio di indirizzi IP e firewall.
Se confrontiamo NAT con un proxy (come un modo per accedere a Internet, ovvero reindirizzare le richieste senza considerare le funzioni di memorizzazione nella cache, analisi degli URL, ecc.), Quindi più applicazioni e protocolli funzionano tramite NAT (tutti); NAT non richiede impostazioni particolari da parte dell'utente; il proxy è più impegnativo per l'hardware. I proxy di solito non forniscono la funzionalità Destination NAT (DNAT), sebbene in Eserve sia possibile ottenere una parziale somiglianza di DNAT utilizzando la mappatura tcp / udp. Fine della citazione.
Questa citazione mostra che i fornitori hanno anche requisiti molto diversi dagli amministratori nelle aziende.
| backlink |
|---|
| articoli |
| firewall |
| MxServer |
| NCSI |
| Cos'èProxyServer |
Oltre a SNAT, i.e. spesso viene utilizzato anche fornire agli utenti della rete locale indirizzi interni per l'accesso a Internet NAT di destinazione, quando le richieste dall'esterno vengono trasmesse dal firewall a un server della rete locale che ha un indirizzo interno e quindi non è direttamente accessibile dalla rete esterna (senza NAT).
Le figure seguenti mostrano un esempio di funzionamento del meccanismo NAT.
Riso. 7.1.
Utente rete aziendale invia una richiesta a Internet, che arriva a interfaccia interna router, server di accesso o firewall (dispositivo NAT).
Il dispositivo NAT riceve il pacchetto e inserisce una voce nella tabella di tracciamento della connessione che gestisce la traduzione degli indirizzi.
Quindi sostituisce l'indirizzo di origine del pacchetto con il proprio indirizzo IP pubblico esterno e invia il pacchetto alla sua destinazione su Internet.
L'host di destinazione riceve il pacchetto e invia una risposta al dispositivo NAT.
Il dispositivo NAT, a sua volta, dopo aver ricevuto questo pacchetto, cerca il mittente del pacchetto originale nella tabella di tracciamento della connessione, sostituisce indirizzo IP destinazione all'indirizzo IP privato corrispondente e inoltra il pacchetto al computer di origine. Poiché il dispositivo NAT invia pacchetti per conto di tutti i computer interni, modifica l'originale porta di rete E questa informazione memorizzati nella tabella di tracciamento delle connessioni.
Ci sono 3 concetti di base della traduzione dell'indirizzo:
NAT statico associa gli indirizzi IP locali a specifici indirizzi pubblici su base uno a uno. Utilizzato quando l'host locale deve essere accessibile dall'esterno tramite indirizzi fissi.
NAT dinamico associa un insieme di indirizzi privati a un insieme di indirizzi IP pubblici. Se il numero di host locali non supera il numero di indirizzi pubblici disponibili, ogni indirizzo locale sarà garantito per corrispondere a un indirizzo pubblico. In caso contrario, il numero di host che possono accedere contemporaneamente a reti esterne sarà limitato dal numero di indirizzi pubblici.
Mascherata NAT(NAPT, NAT Overload, PAT, masquerading) è una forma di NAT dinamico che associa più indirizzi privati a un singolo indirizzo IP pubblico utilizzando porte diverse. Conosciuto anche come PAT (Port Address Translation).
Possono esistere diversi meccanismi di interazione tra una rete locale interna e una rete pubblica esterna - dipende da compito specifico per fornire l'accesso alla rete esterna e viceversa ed è prescritto da alcune regole. Sono definiti 4 tipi di traduzione degli indirizzi di rete:
Nei primi tre tipi di NAT, la stessa porta esterna viene utilizzata per comunicare con diversi indirizzi IP della rete esterna con indirizzi della rete locale. Il quarto tipo - simmetrico - utilizza una porta esterna separata per ogni indirizzo e porta.
Cavallo pieno, la porta esterna del dispositivo (router, server di accesso, firewall) è aperta per richieste provenienti da qualsiasi indirizzo. Se un utente da Internet deve inviare un pacchetto a un client situato dietro NAT, deve solo conoscere la porta esterna del dispositivo attraverso la quale viene stabilita la connessione. Ad esempio, un computer dietro un NAT con un indirizzo IP 192.168.0.4 invia e riceve pacchetti sulla porta 8000 mappati all'indirizzo IP e alla porta esterni come 10.1.1.1:12345. I pacchetti dalla rete esterna arrivano al dispositivo con l'indirizzo IP:porta 10.1.1.1:12345 e vengono quindi inviati al computer client 192.168.0.4:8000.
Nei pacchetti in arrivo viene verificato solo il protocollo di trasporto; l'indirizzo di destinazione e la porta, l'indirizzo di origine e la porta non hanno importanza.
Quando si utilizza NAT che funziona come Cono ristretto, la porta esterna del dispositivo (router, server di accesso, firewall) è aperta per qualsiasi pacchetto inviato dal computer client, nel nostro esempio: 192.168.0.4:8000. E un pacchetto proveniente da una rete esterna (ad esempio, dal computer 172.16.0.5:4000) a un dispositivo con indirizzo:porta 10.1.1.1:12345 verrà inviato al computer 192.168.0.4:8000 solo se 192.168.0.4:8000 precedentemente inviato una richiesta all'indirizzo IP dell'host esterno (nel nostro caso, al computer 172.16.0.5:4000). Cioè, il router inoltrerà solo i pacchetti in arrivo da un indirizzo di origine specifico (nel nostro caso, il computer è 172.16.0.5:4000), ma il numero di porta di origine può essere qualsiasi cosa. In caso contrario, NAT blocca i pacchetti provenienti da host a cui 192.168.0.4:8000 non ha inviato una richiesta.
Meccanismo NAT Cono ristretto della porta quasi simile al meccanismo NAT Restricted Cone. Solo in questo caso, NAT blocca tutti i pacchetti provenienti da host a cui il computer client 192.168.0.4:8000 non ha inviato una richiesta a nessun indirizzo IP e porta. Il router presta attenzione alla corrispondenza del numero di porta di origine e non presta attenzione all'indirizzo di origine. Nel nostro esempio, il router inoltrerà i pacchetti in entrata con qualsiasi indirizzo di origine, ma la porta di origine deve essere 4000. Se il client ha inviato richieste alla rete esterna a diversi indirizzi IP e porte, sarà in grado di inviare pacchetti al client sull'indirizzo IP: porta 10.1 .1.1:12345.
NAT simmetrico differisce in modo significativo dai primi tre meccanismi nel modo in cui mappa un indirizzo IP interno:porta a un indirizzo esterno:porta. Questa mappatura dipende dall'indirizzo IP:porta del computer a cui è destinata la richiesta inviata. Ad esempio, se un computer client su 192.168.0.4:8000 invia una richiesta al computer n. port (192.168.0.4:8000) a un indirizzo IP diverso, viene visualizzato in modo diverso (10.1.1.1:12346).
Tuttavia, vanno menzionati anche gli svantaggi di questa tecnologia:
