.1.42.1.18.1.55.1.7.1.99NATrouter1 IP

Μετάφραση Διεύθυνσης Δικτύου

11 ελάχιστη ανάγνωσηΔικτύωση

Η Μετάφραση Διευθύνσεων Δικτύου είναι η κολλητική ταινία που διατήρησε το IPv4 να λειτουργεί πολύ καιρό μετά την εξάντληση των διευθύνσεών του. Είναι επίσης ο λόγος που οι εφαρμογές peer-to-peer χρειάζονται διάτρηση, γιατί το τηλέφωνό σας δεν είναι προσβάσιμο απευθείας από το Διαδίκτυο και γιατί μερικές φορές οι βιντεοκλήσεις αρνούνται να συνδεθούν σε ορισμένα δίκτυα. Αξίζει να το καταλάβετε αναλυτικά.

Το πλήρες κείμενο του άρθρου παρέχεται στα Αγγλικά παρακάτω.

Μετάφραση Διευθύνσεων Δικτύου (NAT) Το είναι η τεχνική που χρησιμοποιεί ένας δρομολογητής για να επιτρέπει σε πολλές συσκευές σε ένα ιδιωτικό δίκτυο να μοιράζονται μια ενιαία δημόσια διεύθυνση IP. Αρχικά ήταν ένα ενδιάμεσο κενό για την εξάντληση διευθύνσεων IPv4. έγινε ένα μόνιμο εξάρτημα για σχεδόν κάθε σύνδεση του καταναλωτή στο Διαδίκτυο.

Η βασική λειτουργία

Το οικιακό σας δίκτυο χρησιμοποιεί συνήθως ιδιωτικές IP από μία από τις περιοχές RFC 1918 (10.0.0.0/8, 172.16.0.0/12, 192.0160). Αυτά δεν είναι δρομολογήσιμα στο δημόσιο Διαδίκτυο. το 192.168.1.42 του φορητού σας υπολογιστή δεν σημαίνει τίποτα έξω από το σπίτι σας.

Όταν ο φορητός υπολογιστής σας ανοίγει μια σύνδεση στο example.com:443, το πακέτο αφήνει τον φορητό υπολογιστή σας με την πηγή 192.168.1.42:5512X3. Ο δρομολογητής σας παρεμποδίζει το πακέτο και ξαναγράφει την πηγή στο your.public.ip:55123 (ή σε μια νέα θύρα που επέλεξε ο δρομολογητής) και στη συνέχεια το προωθεί. Ο δρομολογητής σας θυμάται τη χαρτογράφηση. Όταν επιστρέφει η απόκριση που απευθύνεται στο your.public.ip:55123, ο δρομολογητής συμβουλεύεται την αντιστοίχιση και ξαναγράφει τον προορισμό στο 192.168.1.42:55123 και, στη συνέχεια, τον προωθεί στον φορητό υπολογιστή. Ο φορητός υπολογιστής και ο προορισμός δεν έχουν ιδέα ότι συνέβη αυτό. Κάθε σειρά λήγει μετά την αδράνεια της σύνδεσης — συνήθως 30 δευτερόλεπτα για το UDP, αρκετά λεπτά για το TCP. Όταν ο πίνακας γεμίσει (οι φτηνοί δρομολογητές αποθηκεύουν μόνο μερικές χιλιάδες καταχωρήσεις), οι παλιές ή αδρανείς καταχωρήσεις εξαφανίζονται. NAT: μόλις το 192.168.1.42:55123 έχει αντιστοιχιστεί στο pub.ip:55123, ο εξωτερικός κεντρικός υπολογιστής any μπορεί να στείλει ένα πακέτο στο XPLip1 και θα προωθηθεί το231. μέσα. Το πιο επιτρεπτό.

  • Περιορισμένου κώνου NAT: μπορούν να απαντήσουν μόνο οι εξωτερικοί κεντρικοί υπολογιστές στους οποίους έχει ήδη στείλει η εσωτερική συσκευή. port.
  • Symmetric NAT: δημιουργείται διαφορετική αντιστοίχιση για κάθε εξωτερικό προορισμό. Από έξω, η ίδια εσωτερική συσκευή μοιάζει να έχει πολλές δημόσιες διευθύνσεις που αλλάζουν συνεχώς. Το πιο περιοριστικό — και το πιο δύσκολο να διασχίσει κανείς για πρωτόκολλα peer-to-peer.

    • Γιατί το NAT διασπά τα πράγματα

    NAT ήταν εύκολο να αναπτυχθεί επειδή δεν απαιτούσε αλλαγές στα τελικά σημεία. Αλλά έσπασε το αρχικό από άκρο σε άκρο μοντέλο του Διαδικτύου. Ειδικά θύματα:

    • Εισερχόμενες συνδέσεις. Χωρίς ρητή προώθηση θύρας, κανείς στο Διαδίκτυο δεν μπορεί να συνδεθεί σε μια συσκευή πίσω από το NAT. Η αυτο-φιλοξενία ενός διακομιστή παιχνιδιών, ενός κόσμου Minecraft ή ενός προσωπικού ιστότοπου σε οικιακή σύνδεση απαιτεί είτε προώθηση θύρας είτε αναμετάδοση. Χρειάζονται έναν διακομιστή συντονισμού (STUN/ICE) για να ανακαλύψουν τις δημόσιες αντιστοιχίσεις τους και πιθανώς ένα ρελέ (TURN) εάν τα NAT τους είναι πολύ περιοριστικά για να τα διασχίσουν. ξαναγράψω. Οι πύλες επιπέδου εφαρμογής (ALG) στο δρομολογητή πρέπει να αναλύουν και να ξαναγράφουν το ωφέλιμο φορτίο — μια εύθραυστη λύση. (PAT) — μετάφραση αριθμών θυρών καθώς και διευθύνσεων σε πολυπλεξία πολλών εσωτερικών ροών σε μία εξωτερική IP. Το "NAT" είναι το καθημερινό όνομα για αυτό. Carrier-Grade NAT είναι η ίδια ιδέα, αλλά σε επίπεδο ISP: πολλοί πελάτες μοιράζονται μια δημόσια IP, με τον ISP να κάνει PAT σε κλίμακα. IP Y στη θύρα Z." Αυτό είναι το port forwarding. Μπορεί να ρυθμιστεί χειροκίνητα στον διαχειριστή του δρομολογητή ή να ζητηθεί αυτόματα από μια εφαρμογή μέσω UPnP (Universal Plug and Play) ή NAT-PMP. Το UPnP είναι βολικό και εμφανώς ανασφαλές — οποιοδήποτε πρόγραμμα στο LAN μπορεί να ανοίξει τρύπες στο τείχος προστασίας, γι' αυτό ορισμένοι οδηγοί ασφαλείας συνιστούν την απενεργοποίησή του.

      Φουρκέτα NAT και reflection

      Εάν προωθήσετε μια θύρα από τη δημόσια IP σας σε διακομιστή εντός του δικτύου σας, η πρόσβαση σε αυτόν τον διακομιστή από το εσωτερικό του δικτύου σας χρησιμοποιώντας το δημόσιο όνομα IP λειτουργεί μόνο εάν ο δρομολογητής υποστηρίζει "φουρκέτα NAT" (ονομάζεται επίσης NAT loopback / ανακλάση). Πολλοί φτηνοί δρομολογητές δεν το κάνουν, γι' αυτό το λόγο "ο αυτο-φιλοξενούμενος διακομιστής μου λειτουργεί από έξω αλλά όχι από τον καναπέ μου" είναι μια συνηθισμένη σύγχυση. Τα δίκτυα IPv6 έχουν συνήθως ένα τείχος προστασίας κατάστασης, το οποίο παρέχει το πλεονέκτημα ασφαλείας του NAT (χωρίς αυτόκλητη εισερχόμενη) χωρίς διακοπή από άκρο σε άκρο. Καθώς αυξάνεται η υιοθέτηση του IPv6, το NAT σταδιακά θα εξασθενίσει — αλλά θα υπάρχει για δεκαετίες.

    Συχνές ερωτήσεις

    Το NAT είναι τείχος προστασίας;
    Όχι ακριβώς, αλλά λειτουργεί σαν ένα για τις εισερχόμενες συνδέσεις. Επειδή το NAT δημιουργεί αντιστοιχίσεις μόνο ως απόκριση στην εξερχόμενη κίνηση, τα αυτόκλητα εισερχόμενα πακέτα δεν έχουν πού να πάνε και να απορριφθούν. Αυτή είναι πραγματική προστασία, αλλά μερικές φορές συγχέεται με το τείχος προστασίας ρητής πολιτικής που θα έπρεπε επίσης να υπάρχει.
    Γιατί μερικές φορές αποτυγχάνουν οι βιντεοκλήσεις πίσω από το NAT;
    Οι βιντεοκλήσεις συνήθως χρησιμοποιούν UDP για τη ροή πολυμέσων. Δύο συσκευές και οι δύο πίσω από συμμετρικά NAT μπορούν να δυσκολευτούν να βρουν μια άμεση διαδρομή επειδή η εξωτερική θύρα διαφέρει για κάθε προορισμό. Το εναλλακτικό είναι τα ρελέ TURN που λειτουργούν από την υπηρεσία κλήσης — πιο αργά και ακριβότερα, αλλά λειτουργούν.
    Ένα VPN παρακάμπτει το NAT;
    Ναι, με δύο τρόπους. Πρώτον, η εξωτερική σύνδεση του VPN είναι το μόνο πράγμα που πρέπει να μεταφράσει το NAT του σπιτιού σας. Μόλις δημιουργηθεί η σήραγγα, η κυκλοφορία εφαρμογών στο εσωτερικό είναι αόρατη στο τοπικό NAT. Δεύτερον, από την πλευρά του προορισμού, η επισκεψιμότητά σας φαίνεται να προέρχεται από τη δημόσια IP του διακομιστή VPN και όχι από την IP του σπιτιού σας.
    Μπορώ να παρακολουθούμαι σε πολλούς ιστότοπους λόγω NAT;
    Πολλές συσκευές στο σπίτι σας μοιράζονται τη δημόσια IP, επομένως οι εξωτερικοί ιστότοποι βλέπουν πολλές ροές από την ίδια IP — αυτό είναι το αντίθετο από τη λήψη δακτυλικών αποτυπωμάτων σε άτομα. Ωστόσο, ο χρόνος, το δακτυλικό αποτύπωμα του προγράμματος περιήγησης και οι συνδέσεις λογαριασμού εξακολουθούν να σας συνδέουν ξανά. Το NAT από μόνο του δεν είναι απόρρητο.
    Γιατί κάποιο λογισμικό λειτουργεί άσχημα στο Wi-Fi του καφέ;
    Τα καφενεία συχνά εκτελούν NAT κατηγορίας φορέα ή επιβάλλουν αυστηρότερους τύπους NAT που αποκλείουν τα πρωτόκολλα peer-to-peer, το BitTorrent και ορισμένα πρωτόκολλα VPN. Το τοπικό LAN μπορεί επίσης να περιορίσει την ασυνήθιστη κίνηση. Το απλό HTTPS λειτουργεί σχεδόν παντού. όλα τα άλλα είναι στοίχημα.
    NAT εξήγησε: Γιατί το οικιακό σας δίκτυο έχει μία διεύθυνση IP αλλά είκοσι συσκευές