NAT nghiêm ngặt, vừa phải và cởi mở là gì?

12

Tùy chọn NAT trên các bộ định tuyến trong nước thường được cấu hình là nghiêm ngặt . Điều đó có nghĩa là gì? Làm gì vừa hay mở làm gì? Truy cập cổng / DMZ hoạt động đúng nghiêm ngặt, vậy tại sao phải bận tâm với hai cái kia?

Nhìn qua bộ định tuyến cho thấy điều này ảnh hưởng đến tường lửa . Khi dành một lượng lớn thời gian của bạn để bảo vệ các mạng bằng cách sử dụng Cisco / iptables, một câu trả lời không mô tả khập khiễng như vậy không có gì đáng lo ngại và không để lại manh mối nào về ảnh hưởng của tường lửa này.

Xin ai đó có thể làm sáng tỏ.

router  nat  open 
Kim loại
nguồn
Một số mô hình \ sẽ hữu ích, câu hỏi dường như nhắm vào thị trường siêu người dùng hơn. Bạn có kế hoạch sử dụng những thứ này cho một số mục đích kinh doanh, dường như nhiều khả năng là một câu hỏi loại siêu người dùng?
Helvick
1
Tôi xin lỗi, nhưng tôi tin rằng các thuật ngữ này được sử dụng phổ biến nhất bởi một hệ thống chơi game tiêu dùng và không được sử dụng bởi các quản trị viên hệ thống. Có lẽ bạn nên hỏi Microsoft chính xác nghĩa của nó là gì. support.microsoft.com/kb/908880
Zoredache
Một NetGEAR WNDR3700 trong trường hợp hiện tại này, nhưng Drayteks (được sử dụng bởi khá nhiều văn phòng của SoHo và showroom) cũng có tùy chọn tương tự. Tôi chỉ muốn biết mọi lựa chọn, mà nhiều người cần điều tra khi gặp sự cố, không. Điều này đặc biệt dường như ngày càng phổ biến trên các mô hình. Mặc dù nếu được hỏi tốt hơn tại SuperUser, thay vào đó tôi sẽ thử.
Metalshark

Câu trả lời:

31

Điều quan trọng trước tiên là phải biết cách dịch địa chỉ mạng (NAT) hoạt động. Bạn thiết lập kết nối với máy chủ trên internet. Trong thực tế, bạn gửi các gói đến bộ định tuyến của mình, đi ra từ máy tính của bạn trên một số cổng được chọn ngẫu nhiên:

Your computer        Router
+------------+     +-----------+
|            |     |           |
| port 31746 o====>o           |
|            |     |           |
+------------+     +-----------+

Đến lượt mình, bộ định tuyến của bạn sẽ thiết lập kết nối đến máy chủ mà bạn muốn nói chuyện. Nó nói ra cổng được chọn ngẫu nhiên:

                     Router            www.google.com
                   +-----------+     +----------------+
                   |           |     |                |
                   | port 21283o====>o port 80        |
                   |           |     |                |
                   +-----------+     +----------------+

Khi máy chủ web của google gửi lại cho bạn thông tin, nó thực sự đang gửi nó trở lại bộ định tuyến của bạn (vì bộ định tuyến của bạn là người thực sự trên internet): 

                     Router            www.google.com
                   +-----------+     +----------------+
                   |           |     |                |
                   | port 21283o<====o port 80        |
                   |           |     |                |
                   +-----------+     +----------------+

Một gói đến bộ định tuyến của bạn, trên cổng 21283từ www.google.com. Các bộ định tuyến nên làm gì với nó?

Trong trường hợp này, bộ định tuyến đã lưu giữ hồ sơ về bạn và lưu lượng truy cập được gửi www.google.com:80từ cổng 21283thay mặt bạn. Vì vậy, bộ định tuyến sẽ chuyển tiếp gói đến máy tính của bạn:

Your computer        Router
+------------+     +-----------+
|            |     |           |
| port 31746 o<====o           |
|            |     |           |
+------------+     +-----------+

Mở NAT

Trong NAT mở , mọi máy trên internet đều có thể gửi lưu lượng đến cổng của bộ định tuyến của bạn 21283và gói sẽ được gửi lại cho bạn:

Your computer        Router            
+------------+     +-----------+     {www.google.com:80
|            |     |           |     {www.google.com:443
| port 31746 o<====o port 21283o<===={serverfault.com:80
|            |     |           |     {fbi.gov:32188
+------------+     +-----------+     {botnet.cn:11288

NAT đã đóng

Đóng nat là hạn chế hơn. Nó sẽ không cho phép bất cứ điều gì trừ khi nó đến từ địa chỉ ban đầu cổng mà bạn muốn nói chuyện, tức là www.googlecổng 80:

Your computer        Router            
+------------+     +-----------+     {www.google.com:80
|            |     |           |     | (rejected) www.google.com:443
| port 31746 o<====o port 21283o<====+ (rejected) serverfault.com:80
|            |     |           |       (rejected) fbi.gov:32188
+------------+     +-----------+       (rejected) botnet.cn:11288

NAT vừa phải

NAT vừa phải là một hỗn hợp, trong đó bộ định tuyến của bạn sẽ chấp nhận bất kỳ lưu lượng truy cập nào từ bất kỳ cổng nào , nhưng chỉ từ cùng một máy chủ :

Your computer        Router            
+------------+     +-----------+     
|            |     |           |     {www.google.com:80
| port 31746 o<====o port 21283o<===={www.google.com:443
|            |     |           |       (rejected) serverfault.com:80
+------------+     +-----------+       (rejected) fbi.gov:32188
                                       (rejected) botnet.cn:11288

Đó là một bộ định nghĩa. Cái khác là:

  • Mở: cho phép các máy tính trong mạng LAN sử dụng UPNP để mở các cổng
  • Trung bình: một số cổng chuyển tiếp đã được tạo và đang hoạt động
  • Đã đóng: không tồn tại chuyển tiếp cổng tĩnh

Nhưng thuật ngữ thực sự là mơ hồ.

Xem thêm

Ian Boyd
nguồn
1
Lời giải thích hay. Đó chỉ là một loại NAT và được gọi là PAT (Dịch địa chỉ cổng)
J.Money
"chỉ từ cùng một máy chủ" - chỉ từ cùng một máy chủ là gì ?
BT
@BT "chỉ từ cùng một máy chủ với những gì " - như máy chủ chúng tôi đang nói chuyện. (ví dụ: google.com)
Ian Boyd
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.