NAT Преобразование сетевых адресов

@NoNaMe · Регистрация: 10.06.2009

Author24 — интернет-сервис помощи студентам

Всем известно понятие NAT (Network address translation) Преобразование сетевых адресов. Давайте разберёмся подробнее.
Самый задаваемые вопрос про NAT это NAT Hairpinning и NAT Loopback

NAT Reflection - относится к возможности доступа к внешним услугам из внутренней сети с использованием внешнего IP-адреса, так же, как если бы клиент находился в Интернете.
Классический пример:

Bash

1 2	/ip firewall nat add action=masquerade chain=srcnat out-interface-list=WAN

NAT Loopback - классический проброс порта с применением NAT Hairpinning. Вы заходите на ваш внешний IP адрес, а на самом деле на локальное устройство находящяяся в той-же сети.

Bash

1 2	/ip firewall nat add action=dst-nat chain=dstnat dst-port=80 in-interface-list=WAN protocol=tcp to-addresses=192.168.0.3

NAT Hairpinning - то-же самое что NAT Loopback, но мы находимся в другой сети (В отдельной от сервиса к которому хотим получить доступ), и не можем взаимодействовать с сетью кроме как через маршрутизатор.

Bash

1
2
3

/ip firewall nat
add action=dst-nat chain=dstnat dst-port=80 in-interface-list=HairPin protocol=tcp to-addresses=192.168.0.3
add action=masquerade chain=srcnat comment="NAT Hairpinning" protocol=tcp src-port=80 src-address=192.168.0.3

NAT Traversal - это набор возможностей, позволяющих сетевым приложениям определять, что они находятся за устройством, обеспечивающим NAT.

Bash

1 2	/ip firewall nat add action=netmap chain=dstnat dst-port=3389 in-interface-list=WAN protocol=tcp to-addresses=192.168.0.3

И так прошу вашей помощи в дополнении вышеуказанных понятий.

@NeoMatrix · 31.08.2019, 02:01

NAT - работа через шлюз. Через маршрутизатор, в общем.
Работает эта технология примерно вот так.
Для сервера во внешней сети и клиента в локальной:
Клиент обращается к серверу во внешней сети, например к 1.2.3.4, имея адрес в локальной 192.168.1.2 и WAN-адрес маршрутизатора 123.123.123.123
Маршрутизатор принимает пакет, читает адрес отправителя 192.168.1.2, адрес получателя 1.2.3.4 , подставляет в поле "отправитель" значение 123.123.123.123 и отправляет его в WAN интерфейс. Кроме этого вносит в таблицу NAT два значения 192.168.1.2 и 1.2.3.4.
Пакет приходит в 1.2.3.4
1.2.3.4 принимает пакет и видит в поле "отправитель" значение 123.123.123.123, обрабатывает пакет и отправляет ответ (актуально для протокола TCP) на 123.123.123.123
Маршрутизатор принимает входящий пакет на WAN-интерфейсе от 1.2.3.4 и, находя в вышеозначенной таблице эту пару значений, заменяет отправитель 1.2.3.4 на 192.168.1.1, а получатель 123.123.123.123 на 192.168.1.2, а затем отправляет пакет в LAN-интерфейс.
Таким образом, маршрутизатор постоянно во всех проходящих через него (LAN-WAN и обратно) пакетах заменяет значения отправитель и получатель на собственные 192.168.1.1 для LAN и 123.123.123 для WAN
Для случая "клиент во внешней, сервер во внутренней сетях" происходит всё ровно то же самое, но в обратную сторону и, для обеспечения работоспособности и безопасности маршрутизатору требуется знать, на котором из LAN-IP находится сервер, а посему, для которого из LAN-IP требуется открыть доступ по какому из портов.
"Порт" подразумевает здесь - к какому типу приложений относятся предназначаемые серверу пакеты. Это могут быть WEB страницы, POP3 и SMTP контент электронной почты, FTP контент файл-сервера и т.д. Каждый контент предназначается конкретному приложению на сервере. И, соответственно, все эти типовые приложения пронумерованы: WEB - 80 порт, POP3 на 110, SMTP на 25, IMAP (ещё один почтовый протокол) на 143 портах и т.д.
Маршрутизатор учитывает это и, например, если ваш WEB-сервер находится на 192.168.1.3, а почтовый сервер на 192.168.1.15, но, при этом, пакеты отправляемые клиентом на WAN на 192.168.1.15 идут по протоколу HTTP (то бишь, предназначаются 80 порту), а пакеты на 192.168.1.2 идут по протоколу FTP (порт 21), то эти пакеты будут потеряны и в LAN не попадут, потому что в таблице NAT на данных LAN-IP эти порты не открыты.

Вообще же, если вы понимаете механизм работы маршрутизатора, то, КМК, у вас не должно возникнуть существенных трудностей для настройки NAT.
Сложности, в принципе, могут возникнуть только в том, как должно взаимодействовать с данным конкретным маршрутизатором. Но это, к сожалению, я вам прояснить однозначно не могу, ибо это зависит от модели и ОСи на маршрутизаторе, что выражается в таких нюансах. как синтаксис командной строки (команд, отправляемых в маршрутизатор) или графический интерфейс. В остальном, логика работы с ними одинакова.

@kolobkovoleg · 07.06.2021, 16:04

Хорошо описано!

NAT Преобразование сетевых адресов

Решение

Решение

@NeoMatrix Модератор 8426 / 3260 / 105 Регистрация: 24.05.2011 Сообщений: 14,463 Записей в блоге: 8
	31.08.2019, 02:01	2
	Сообщение было отмечено NoNaMe как решение Решение NAT - работа через шлюз. Через маршрутизатор, в общем. Работает эта технология примерно вот так. Для сервера во внешней сети и клиента в локальной: Клиент обращается к серверу во внешней сети, например к 1.2.3.4, имея адрес в локальной 192.168.1.2 и WAN-адрес маршрутизатора 123.123.123.123 Маршрутизатор принимает пакет, читает адрес отправителя 192.168.1.2, адрес получателя 1.2.3.4 , подставляет в поле "отправитель" значение 123.123.123.123 и отправляет его в WAN интерфейс. Кроме этого вносит в таблицу NAT два значения 192.168.1.2 и 1.2.3.4. Пакет приходит в 1.2.3.4 1.2.3.4 принимает пакет и видит в поле "отправитель" значение 123.123.123.123, обрабатывает пакет и отправляет ответ (актуально для протокола TCP) на 123.123.123.123 Маршрутизатор принимает входящий пакет на WAN-интерфейсе от 1.2.3.4 и, находя в вышеозначенной таблице эту пару значений, заменяет отправитель 1.2.3.4 на 192.168.1.1, а получатель 123.123.123.123 на 192.168.1.2, а затем отправляет пакет в LAN-интерфейс. Таким образом, маршрутизатор постоянно во всех проходящих через него (LAN-WAN и обратно) пакетах заменяет значения отправитель и получатель на собственные 192.168.1.1 для LAN и 123.123.123 для WAN Для случая "клиент во внешней, сервер во внутренней сетях" происходит всё ровно то же самое, но в обратную сторону и, для обеспечения работоспособности и безопасности маршрутизатору требуется знать, на котором из LAN-IP находится сервер, а посему, для которого из LAN-IP требуется открыть доступ по какому из портов. "Порт" подразумевает здесь - к какому типу приложений относятся предназначаемые серверу пакеты. Это могут быть WEB страницы, POP3 и SMTP контент электронной почты, FTP контент файл-сервера и т.д. Каждый контент предназначается конкретному приложению на сервере. И, соответственно, все эти типовые приложения пронумерованы: WEB - 80 порт, POP3 на 110, SMTP на 25, IMAP (ещё один почтовый протокол) на 143 портах и т.д. Маршрутизатор учитывает это и, например, если ваш WEB-сервер находится на 192.168.1.3, а почтовый сервер на 192.168.1.15, но, при этом, пакеты отправляемые клиентом на WAN на 192.168.1.15 идут по протоколу HTTP (то бишь, предназначаются 80 порту), а пакеты на 192.168.1.2 идут по протоколу FTP (порт 21), то эти пакеты будут потеряны и в LAN не попадут, потому что в таблице NAT на данных LAN-IP эти порты не открыты. Вообще же, если вы понимаете механизм работы маршрутизатора, то, КМК, у вас не должно возникнуть существенных трудностей для настройки NAT. Сложности, в принципе, могут возникнуть только в том, как должно взаимодействовать с данным конкретным маршрутизатором. Но это, к сожалению, я вам прояснить однозначно не могу, ибо это зависит от модели и ОСи на маршрутизаторе, что выражается в таких нюансах. как синтаксис командной строки (команд, отправляемых в маршрутизатор) или графический интерфейс. В остальном, логика работы с ними одинакова. 1

@kolobkovoleg 1 / 1 / 0 Регистрация: 07.06.2021 Сообщений: 5
	07.06.2021, 16:04	3
	Хорошо описано! 0