NAT bir güvenlik duvarı mıdır?

Tam olarak değil ama gelen bağlantılar için öyle davranıyor. NAT yalnızca giden trafiğe yanıt olarak eşlemeler oluşturduğundan, istenmeyen gelen paketlerin gidecek ve bırakılacak hiçbir yeri yoktur. Bu gerçek bir korumadır ancak bazen mevcut olması gereken açık politika güvenlik duvarı ile karıştırılır.

Görüntülü görüşmeler neden bazen NAT'ın ardından başarısız oluyor?

Video görüşmeleri genellikle medya akışı için UDP'yi kullanır. Her ikisi de simetrik NAT'ların arkasında bulunan iki cihaz, harici bağlantı noktasının her hedef için farklı olması nedeniyle doğrudan bir yol bulmakta zorlanabilir. Geri dönüş, çağrı hizmeti tarafından çalıştırılan TURN röleleridir; daha yavaş ve daha pahalıdır, ancak çalışırlar.

Bir VPN NAT'ı atlar mı?

Evet, iki şekilde. İlk olarak, VPN'in dış bağlantısı evinizdeki NAT'ın çevirmesi gereken tek şeydir; Tünel kurulduktan sonra içerideki uygulama trafiği yerel NAT tarafından görünmez. İkincisi, hedefin bakış açısından trafiğiniz ev IP'nizden değil, VPN sunucusunun genel IP'sinden geliyor gibi görünüyor.

NAT nedeniyle birden fazla web sitesinde takip edilebilir miyim?

Evinizdeki birden fazla cihaz genel IP'yi paylaşır, dolayısıyla harici siteler aynı IP'den birçok akış görür; bu, bireylere parmak izi almanın tam tersidir. Ancak zamanlama, tarayıcı parmak izi ve hesap oturum açma bilgileri sizi yine de yeniden bağlar. NAT tek başına gizlilik anlamına gelmez.

Neden bazı yazılımlar kafe Wi-Fi'sinde kötü çalışıyor?

Kafeler genellikle taşıyıcı düzeyinde NAT çalıştırır veya eşler arası protokolleri, BitTorrent'i ve bazı VPN protokollerini engelleyen daha katı NAT türleri uygular. Yerel LAN ayrıca olağandışı trafiği de sınırlayabilir. Düz HTTPS neredeyse her yerde çalışır; geri kalan her şey bir kumardır.

NAT Açıklaması: Ev Ağınızda Neden Bir IP Adresi Ama Yirmi Cihaz Var

Ağ Adresi Çevirisi, adresleri tükendikten sonra IPv4'ün uzun süre çalışmasını sağlayan koli bandıdır. Aynı zamanda eşler arası uygulamaların delik açmaya ihtiyaç duymasının, telefonunuza doğrudan İnternet'ten ulaşılamamasının ve görüntülü aramaların bazen belirli ağlara bağlanmayı reddetmesinin nedeni de budur. Ayrıntılı olarak anlamaya değer.

Makalenin tam metni aşağıda İngilizce olarak verilmektedir.

Ağ Adresi Çevirisi (NAT), bir yönlendiricinin özel bir ağdaki birçok cihazın tek bir genel IP adresini paylaşmasına izin vermek için kullandığı tekniktir. Başlangıçta bu, IPv4 adresinin tükenmesi için bir geçici önlemdi; neredeyse her tüketici İnternet bağlantısının kalıcı bir parçası haline geldi.

Temel işlem

Ev ağınız genellikle RFC 1918 aralıklarından birinden (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) özel IP'ler kullanır. Bunlar halka açık İnternet'te yönlendirilemez; Dizüstü bilgisayarınızın 192.168.1.42'si evinizin dışında hiçbir şey ifade etmez.

Dizüstü bilgisayarınız example.com:443 ile bağlantı açtığında, paket dizüstü bilgisayarınızdan 192.168.1.42:55123 kaynağıyla ayrılır. Yönlendiriciniz paketi keser ve kaynağı your.public.ip:55123 adresine (veya yönlendiricinin seçtiği yeni bir bağlantı noktasına) yeniden yazar ve ardından onu ileri doğru iletir. Yönlendiriciniz eşlemeyi hatırlar. your.public.ip:55123 adresine yanıt geldiğinde, yönlendirici eşlemeyi inceler ve hedefi 192.168.1.42:55123 olarak yeniden yazar ve ardından dizüstü bilgisayara iletir. Hem dizüstü bilgisayarın hem de hedefin bu olup bitenlerden hiçbir haberi yok.

Eşleme tablosu

A tüketici yönlendiricisi (dahili IP, dahili bağlantı noktası, harici IP, harici bağlantı noktası, protokol) tarafından indekslenen bir NAT tablosunu tutar. Bağlantı boşta kaldıktan sonra her satır zaman aşımına uğrar; UDP için genellikle 30 saniye, TCP için birkaç dakika. Tablo dolduğunda (ucuz yönlendiriciler yalnızca birkaç bin giriş depolar), eski veya boş girişler tahliye edilir.

NAT

NAT türleri, eşlemelerin yeniden kullanılması konusunda ne kadar esnek olduklarına göre farklılık gösterir:

Tam koni NAT: bir kez 192.168.1.42:55123, pub.ip:55123 ile eşlendi, any harici ana bilgisayar, pub.ip:55123'e bir paket gönderebilir ve içeriye iletilecektir. En izin verilen.
Sınırlı-koni NAT: yalnızca dahili aygıtın zaten gönderdiği harici ana bilgisayarlar yanıt verebilir.
Bağlantı noktası-sınırlı-koni: kısıtlı-koni gibi, ancak aynı zamanda bağlantı noktasıyla eşleşmesi gerekir.
Symmetric NAT: her harici hedef için farklı bir eşleme oluşturulur. Dışarıdan bakıldığında, aynı dahili cihazın birden fazla sürekli değişen genel adresi varmış gibi görünüyor. Eşler arası protokoller için en kısıtlayıcı ve geçiş yapması en zor olanıdır.

NAT neden işleri bozar

NAT'ın dağıtımı, uç noktalarda herhangi bir değişiklik gerektirmediğinden kolaydı. Ancak internetin orijinal uçtan uca modelini bozdu. Belirli kayıplar:

Gelen bağlantılar. Açık bağlantı noktası yönlendirme olmadan, İnternet'teki hiç kimse NAT arkasındaki bir cihaza bağlanamaz. Bir oyun sunucusunun, bir Minecraft dünyasının veya kişisel bir web sitesinin ev bağlantısı üzerinde kendi kendine barındırılması, bağlantı noktası yönlendirme veya aktarma gerektirir.
Eşler arası uygulamalar. Her ikisi de NAT'ın arkasında olan iki cihaz birbirini doğrudan arayamaz. Genel eşlemelerini keşfetmek için bir koordinasyon sunucusuna (STUN/ICE) ve eğer NAT'ları geçilemeyecek kadar kısıtlayıcıysa muhtemelen bir röleye (TURN) ihtiyaçları vardır.
IP'leri yüklerine gömen protokoller. Klasik FTP ve SIP, istemcinin IP'sini, NAT'ın yeniden yazmayı bilmediği protokol gövdesinin içine yerleştirir. Yönlendiricideki uygulama katmanı ağ geçitlerinin (ALG'ler) yükü ayrıştırması ve yeniden yazması gerekir; bu hassas bir geçici çözümdür.

NAT vs PAT vs CGNAT

Aslında çoğu ev yönlendiricisinin yaptığı şey Port Adres Çevirimi (PAT) — bağlantı noktası numaralarının yanı sıra adresleri de tek bir harici üzerinden birçok dahili akışa çevirmek IP. "NAT" bunun günlük adıdır. Taşıyıcı Sınıfı NAT aynı fikirdir ancak ISP düzeyinde: birçok müşteri tek bir genel IP'yi paylaşır ve ISP uygun ölçekte PAT yapar.

Port yönlendirme ve UPnP

NAT arkasında gelen bağlantıları kabul etmek için, yönlendiriciye "genel X bağlantı noktasına isabet eden herhangi bir paketi Z bağlantı noktasındaki dahili IP Y'ye gönder" demeniz gerekir. Bu, port yönlendirme'tir. Yönlendirici yöneticisinde manuel olarak ayarlanabilir veya UPnP (Evrensel Tak ve Çalıştır) veya NAT-PMP aracılığıyla bir uygulama tarafından otomatik olarak talep edilebilir. UPnP kullanışlıdır ve güvensizliğiyle tanınır; LAN üzerindeki herhangi bir program güvenlik duvarında delikler açabilir, bu nedenle bazı güvenlik kılavuzları bu programın devre dışı bırakılmasını önerir.

Saç tokası NAT ve yansıma

Genel IP'nizden ağınızdaki bir sunucuya bir bağlantı noktası iletirseniz, bu sunucuya ağınızın içinden genel IP adını kullanarak erişmek yalnızca yönlendiricinin "saç tokası NAT"ı (NAT geridöngü / yansıma olarak da bilinir) desteklemesi durumunda çalışır. Birçok ucuz yönlendirici bunu yapmaz; bu nedenle "kendi kendime barındırılan sunucum dışarıdan çalışıyor ancak kanepemden çalışmıyor" yaygın bir kafa karışıklığıdır.

NAT

IPv6'nın yerini alan şey o kadar çok adrese sahiptir ki NAT gereksizdir; her cihaz küresel olarak yönlendirilebilir bir adres alır. IPv6 ağlarında genellikle durum bilgisi olan bir güvenlik duvarı bulunur; bu, uçtan uca kesintiye uğramadan NAT'ın güvenlik avantajını (istenmeyen gelen gelen yok) sağlar. IPv6'nın benimsenmesi arttıkça, NAT yavaş yavaş kaybolacak - ancak on yıllar boyunca varlığını sürdürecek.

Sık sorulan sorular

NAT bir güvenlik duvarı mıdır?: Tam olarak değil ama gelen bağlantılar için öyle davranıyor. NAT yalnızca giden trafiğe yanıt olarak eşlemeler oluşturduğundan, istenmeyen gelen paketlerin gidecek ve bırakılacak hiçbir yeri yoktur. Bu gerçek bir korumadır ancak bazen mevcut olması gereken açık politika güvenlik duvarı ile karıştırılır.
Görüntülü görüşmeler neden bazen NAT'ın ardından başarısız oluyor?: Video görüşmeleri genellikle medya akışı için UDP'yi kullanır. Her ikisi de simetrik NAT'ların arkasında bulunan iki cihaz, harici bağlantı noktasının her hedef için farklı olması nedeniyle doğrudan bir yol bulmakta zorlanabilir. Geri dönüş, çağrı hizmeti tarafından çalıştırılan TURN röleleridir; daha yavaş ve daha pahalıdır, ancak çalışırlar.
Bir VPN NAT'ı atlar mı?: Evet, iki şekilde. İlk olarak, VPN'in dış bağlantısı evinizdeki NAT'ın çevirmesi gereken tek şeydir; Tünel kurulduktan sonra içerideki uygulama trafiği yerel NAT tarafından görünmez. İkincisi, hedefin bakış açısından trafiğiniz ev IP'nizden değil, VPN sunucusunun genel IP'sinden geliyor gibi görünüyor.
NAT nedeniyle birden fazla web sitesinde takip edilebilir miyim?: Evinizdeki birden fazla cihaz genel IP'yi paylaşır, dolayısıyla harici siteler aynı IP'den birçok akış görür; bu, bireylere parmak izi almanın tam tersidir. Ancak zamanlama, tarayıcı parmak izi ve hesap oturum açma bilgileri sizi yine de yeniden bağlar. NAT tek başına gizlilik anlamına gelmez.
Neden bazı yazılımlar kafe Wi-Fi'sinde kötü çalışıyor?: Kafeler genellikle taşıyıcı düzeyinde NAT çalıştırır veya eşler arası protokolleri, BitTorrent'i ve bazı VPN protokollerini engelleyen daha katı NAT türleri uygular. Yerel LAN ayrıca olağandışı trafiği de sınırlayabilir. Düz HTTPS neredeyse her yerde çalışır; geri kalan her şey bir kumardır.