Adakah NAT tembok api?

Tidak betul-betul, tetapi ia bertindak seperti satu untuk sambungan masuk. Oleh kerana NAT hanya mencipta pemetaan sebagai tindak balas kepada trafik keluar, paket masuk yang tidak diminta tidak mempunyai tempat untuk pergi dan digugurkan. Ini adalah perlindungan sebenar tetapi kadangkala dikelirukan dengan tembok api dasar eksplisit yang juga sepatutnya ada.

Mengapakah panggilan video kadangkala gagal di belakang NAT?

Panggilan video biasanya menggunakan UDP untuk strim media. Dua peranti di belakang NAT simetri boleh bergelut untuk mencari laluan terus kerana port luaran berbeza untuk setiap destinasi. Sandaran ialah geganti TURN yang dikendalikan oleh perkhidmatan panggilan — lebih perlahan dan lebih mahal, tetapi ia berfungsi.

Adakah VPN memintas NAT?

Ya, dalam dua cara. Pertama, sambungan luar VPN ialah satu-satunya perkara yang perlu diterjemahkan oleh NAT rumah anda; sebaik terowong diwujudkan, trafik aplikasi di dalam tidak dapat dilihat oleh NAT tempatan. Kedua, dari perspektif destinasi, trafik anda nampaknya datang daripada IP awam pelayan VPN, bukan IP rumah anda.

Bolehkah saya dijejaki merentas berbilang tapak web kerana NAT?

Berbilang peranti di rumah anda berkongsi IP awam, jadi tapak luaran melihat banyak aliran daripada IP yang sama — itu bertentangan dengan individu cap jari. Tetapi pemasaan, cap jari penyemak imbas dan log masuk akaun masih memautkan semula anda. NAT sahaja bukan privasi.

Mengapakah sesetengah perisian berfungsi dengan teruk pada Wi-Fi kedai kopi?

Kedai kopi sering menjalankan NAT gred pembawa atau mengenakan jenis NAT yang lebih ketat yang menyekat protokol peer-to-peer, BitTorrent dan beberapa protokol VPN. LAN tempatan juga boleh mengehadkan kadar trafik luar biasa. HTTPS biasa berfungsi hampir di mana-mana; segala-galanya adalah perjudian.

NAT Menjelaskan: Mengapa Rangkaian Rumah Anda Mempunyai Satu Alamat IP tetapi Dua Puluh Peranti

Terjemahan Alamat Rangkaian ialah pita saluran yang memastikan IPv4 berfungsi lama selepas alamatnya kehabisan. Ini juga sebab apl peer-to-peer memerlukan penebuk lubang, sebab telefon anda tidak boleh dihubungi terus daripada Internet dan sebab panggilan video kadangkala enggan menyambung pada rangkaian tertentu. Patut difahami secara terperinci.

Badan artikel penuh disediakan dalam bahasa Inggeris di bawah.

Network Address Translation (NAT) ialah teknik yang digunakan oleh penghala untuk membenarkan banyak peranti pada rangkaian peribadi berkongsi satu alamat IP awam. Ia pada asalnya adalah tempat terhenti untuk kehabisan alamat IPv4; ia menjadi lekapan kekal hampir setiap sambungan Internet pengguna.

Kendalian asas

Rangkaian rumah anda biasanya menggunakan IP peribadi daripada salah satu julat RFC 1918 (10.0.0.0/8, 172.16.0.0/12, 192.0/168.0.0). Ini tidak boleh dialihkan di Internet awam; 192.168.1.42 komputer riba anda tidak bermakna di luar rumah anda.

Apabila komputer riba anda membuka sambungan ke example.com:443, paket meninggalkan komputer riba anda dengan sumber 192.168.1.42:55123XPLZ101 Penghala anda memintas paket dan menulis semula sumber kepada your.public.ip:55123 (atau ke port baharu yang dipilih oleh penghala), kemudian memajukannya ke hadapan. Penghala anda mengingati pemetaan. Apabila respons kembali dialamatkan kepada your.public.ip:55123, penghala merujuk pemetaan dan menulis semula destinasi kepada 192.168.1.42:55123, kemudian memajukannya ke komputer riba. Komputer riba dan destinasi kedua-duanya tidak tahu apa-apa perkara ini berlaku.

`Jadual pemetaan`

A penghala pengguna mengekalkan jadual NAT yang diindeks oleh (IP dalaman, port dalaman, IP luaran, port luaran, protokol). Setiap baris tamat selepas sambungan melahu — biasanya 30 saat untuk UDP, beberapa minit untuk TCP. Apabila jadual diisi (penghala murah hanya menyimpan beberapa ribu entri), entri lama atau terbiar akan diusir.

`TJenis NAT`

NAT berbeza dalam kelonggaran penggunaan semula pemetaan:

XullZ3

XullZ3XPLZ29FPLZ-

XullZ3con: 192.168.1.42:55123 telah dipetakan ke pub.ip:55123, any hos luaran boleh menghantar paket ke pub.ip:55123XPLZ di dalam dan ia akan dimajukan Paling permisif.

Restricted-cone NAT: hanya hos luaran yang telah dihantar oleh peranti dalaman boleh membalas.

Port-restricted-cone: seperti restricted-cone, tetapi juga perlu padan dengan portZPLXPL09SXXy. NAT: pemetaan berbeza dibuat untuk setiap destinasi luaran. Dari luar, peranti dalaman yang sama kelihatan seperti mempunyai berbilang alamat awam yang sentiasa berubah-ubah. Paling ketat — dan paling sukar untuk dilalui untuk protokol rakan ke rakan.

`Mengapa NAT memecahkan perkara`

NAT mudah digunakan kerana ia tidak memerlukan perubahan pada titik akhir. Tetapi ia memecahkan model asal hujung ke hujung Internet. Mangsa khusus:

Sambungan masuk. Tanpa pemajuan port yang jelas, tiada sesiapa di Internet boleh menyambung ke peranti di belakang NAT. Mengehos sendiri pelayan permainan, dunia Minecraft atau tapak web peribadi pada sambungan rumah memerlukan sama ada pemajuan port atau geganti.
Apl rakan ke rakan. Dua peranti kedua-duanya di belakang NAT tidak boleh menghubungi satu sama lain secara langsung. Mereka memerlukan pelayan penyelarasan (STUN/ICE) untuk menemui pemetaan awam mereka, dan mungkin geganti (TURN) jika NAT mereka terlalu ketat untuk dilalui.
Protokol yang membenamkan IP dalam muatan mereka. Classic FTP dan SIP kedua-duanya meletakkan protokol NAT di dalam badan, yang mana kedua-duanya tidak diketahui oleh klien, yang mana kedua-duanya tidak diketahui oleh klien. Gerbang lapisan aplikasi (ALG) dalam penghala perlu menghuraikan dan menulis semula muatan — penyelesaian yang rapuh.

`NAT lwn PAT lwn CGNAT`

Secara tegasnya, apa yang dilakukan oleh kebanyakan penghala rumah ialah PL Alamat Penterjemahan Alamat7XPL (6PAT) dan juga Terjemahan Alamat TranslatZXPort (6PAT) banyak aliran dalaman melalui satu IP luaran. "NAT" adalah nama harian untuk ini. Carrier-Grade NAT adalah idea yang sama tetapi pada peringkat ISP: ramai pelanggan berkongsi satu IP awam, dengan ISP melakukan PAT secara berskala.

`Port pemajuan dan UPnP`

TUntuk menerima sambungan masuk di belakang NAT, anda perlu memberitahu mana-mana

`Port pemajuan dan UPnP`

Tuntuk menerima sambungan masuk di belakang NAT, anda perlu memberitahu mana-mana port X hitting publicend pada penghala "Yang hantaran awam" Itulah pemajuan port. Ia boleh ditetapkan secara manual dalam pentadbir penghala atau diminta secara automatik oleh aplikasi melalui UPnP (Universal Plug and Play) atau NAT-PMP. UPnP adalah mudah dan terkenal tidak selamat — mana-mana program pada LAN boleh membuka lubang pada tembok api, itulah sebabnya sesetengah panduan keselamatan mengesyorkan untuk melumpuhkannya.

`Jepit rambut NAT dan reflection`

Jika anda memajukan port daripada IP awam anda ke pelayan di dalam rangkaian anda, mengakses pelayan itu dari dalam rangkaian anda menggunakan nama IP awam hanya berfungsi jika penghala menyokong "NAT jepit rambut" (juga dipanggil NAT loopback / reflection). Banyak penghala murah tidak, itulah sebabnya "pelayan yang dihoskan sendiri berfungsi dari luar tetapi bukan dari sofa saya" adalah kekeliruan biasa.

`Apa yang menggantikan NAT`

IPv6 mempunyai banyak alamat sehingga NAT tidak diperlukan — setiap peranti mendapat alamat yang boleh dihalakan secara global. Rangkaian IPv6 biasanya mempunyai tembok api stateful sebaliknya, yang menyediakan faedah keselamatan NAT (tiada masuk tanpa diminta) tanpa melanggar hujung ke hujung. Apabila penggunaan IPv6 berkembang, NAT akan beransur-ansur pudar — tetapi ia akan wujud selama beberapa dekad.

`Soalan lazim`

Adakah NAT tembok api?: Tidak betul-betul, tetapi ia bertindak seperti satu untuk sambungan masuk. Oleh kerana NAT hanya mencipta pemetaan sebagai tindak balas kepada trafik keluar, paket masuk yang tidak diminta tidak mempunyai tempat untuk pergi dan digugurkan. Ini adalah perlindungan sebenar tetapi kadangkala dikelirukan dengan tembok api dasar eksplisit yang juga sepatutnya ada.
Mengapakah panggilan video kadangkala gagal di belakang NAT?: Panggilan video biasanya menggunakan UDP untuk strim media. Dua peranti di belakang NAT simetri boleh bergelut untuk mencari laluan terus kerana port luaran berbeza untuk setiap destinasi. Sandaran ialah geganti TURN yang dikendalikan oleh perkhidmatan panggilan — lebih perlahan dan lebih mahal, tetapi ia berfungsi.
Adakah VPN memintas NAT?: Ya, dalam dua cara. Pertama, sambungan luar VPN ialah satu-satunya perkara yang perlu diterjemahkan oleh NAT rumah anda; sebaik terowong diwujudkan, trafik aplikasi di dalam tidak dapat dilihat oleh NAT tempatan. Kedua, dari perspektif destinasi, trafik anda nampaknya datang daripada IP awam pelayan VPN, bukan IP rumah anda.
Bolehkah saya dijejaki merentas berbilang tapak web kerana NAT?: Berbilang peranti di rumah anda berkongsi IP awam, jadi tapak luaran melihat banyak aliran daripada IP yang sama — itu bertentangan dengan individu cap jari. Tetapi pemasaan, cap jari penyemak imbas dan log masuk akaun masih memautkan semula anda. NAT sahaja bukan privasi.
Mengapakah sesetengah perisian berfungsi dengan teruk pada Wi-Fi kedai kopi?: Kedai kopi sering menjalankan NAT gred pembawa atau mengenakan jenis NAT yang lebih ketat yang menyekat protokol peer-to-peer, BitTorrent dan beberapa protokol VPN. LAN tempatan juga boleh mengehadkan kadar trafik luar biasa. HTTPS biasa berfungsi hampir di mana-mana; segala-galanya adalah perjudian.