Network address translation
NAT (на английски: Network Address Translation – „преобразуване на мрежови адреси“) е механизъм в мрежите TCP/IP, позволяващ да се преобразуват IP адресите на транзитни пакети[1]. В областта на компютърните мрежи NAT (също Network Address Translation, Native Address Translation или IP Masquerading) е технологията, при която адресите на получателя и подателя в IP пакета биват пренаписани от маршрутизатор или защитна стена. По този начин множество хостове от частна мрежа могат да достигат до интернет, използвайки само един IP адрес.
Преобразуване на мрежови адреси и номера на портове
[редактиране | редактиране на кода]Преобразуването на мрежовите адреси се използва за скриване на реалните вътрешномрежови адреси. Същността на този механизъм се състои в това, че във всички пакети от изходящия трафик към външния свят като адрес на източника се използва един или няколко IP адреса на защитната стена.[2] Стандартът RFC 1918 дефинира следните три адресни обхвата за използване от вътрешни мрежи:
10.0.0.0 – 10.255.255.255 172.16.0.0 – 172.31.255.255 192.168.0.0 – 192.168.255.255
Горепосочените адресни пространства се използват за локални мрежи и не са достъпни отникъде, освен от локалната мрежа. Поради това те са естествено защитени от директни външни атаки. Първичната функция на NAT сървъра е да им осигури достъп до интернет, като предава заявките (маскира тези адреси, masquerading) с някой от своите IP адреси за пред хостовете извън локалната мрежа. Така им осигурява еднопосочен достъп до интернет, т.е. хостът може да се свързва директно с други хостове, притежаващи рутируеми IP адреси, но хостове извън локалната мрежа не могат да се свързват с този хост. NAT е ефикасно средство за защита, понеже силно затруднява атаките срещу защитаваните хостове.
Видове адресно преобразуване
[редактиране | редактиране на кода]На практика съществуват 4 основни типа адресно преобразуване:
- Статично преобразуване (static NAT): на маршрутизатора са конфигурирани определен брой IP адреси, които отговарят на друг определен брой адреси, използвани във вътрешната мрежа, така че между вътрешната и външната мрежи съществува ясна връзка.
Вътрешен адрес – Външен адрес 192.168.1.1 – 193.65.76.1 192.168.1.2 – 193.65.76.2 .. 192.168.2.1 – 193.76.77.1
- Динамично преобразуване (dynamic NAT): на маршрутизатора са конфигурирани определен брой IP адреси, които се вземат в употреба за вътрешните адреси според нужда, така че във вътрешната мрежа може да има най-много определен брой активни връзки към външната, но адресите на вътрешната мрежа могат да бъдат повече от този брой активни връзки.
Вътрешен адрес – Външен адрес 192.168.1.17 – 193.65.76.2 192.168.1.22 – 193.65.76.3 192.168.1.29 – 193.65.76.4 ..
Предимства
[редактиране | редактиране на кода]Увеличава връзките в публичната мрежа. Осигурява мрежова сигурност.
Недостатъци
[редактиране | редактиране на кода]Един от недостатъците на NAT е, че във връзката между хостовете могат да възникнат проблеми, а също така и производителността може да бъде намалена. Други недостатъци са:
- Функционалността на End-to-end намалява.
- Губи се проследяването на End-to-end.
- Тунелирането е по-сложно за създаване.
- Може да се наложи архитектура да се изгради наново.
- Създаване на ТСР конекции може да се прекъсне.
NAT програми
[редактиране | редактиране на кода]- IPFilter
- The OpenBSD Packet Filter
- natd Архив на оригинала от 2010-05-05 в Wayback Machine.
- wingate
- Cisco IOS