/05.07.2004 20:43/

Son yıllarda, güvenlik duvarı ve Rus ağ yöneticilerinin modası artar Nat.. Bu teknolojilere karşı tavrım, 90'lı yılların ortalarından bu yana kullanıcıları biliyorlar, ancak bazen güvenlik duvarı / NAT ile ilgili bu tür sorular yenilerden tanımlanır ve tekrarlanmalıdır. Bu nedenle, yaklaşık bir yıl önce, güvenlik duvarı hakkında ayrı bir makale yazdım ve bugün Nat'ın dönüşüydü.

Epigrafi

Yayınlanan 12/28/2005. İyi Özet NAT problemleri Google: "NAT cihazları, evler ve ofislerde giderek daha popüler olan NAT cihazları, birden fazla makinenin tek bir internet adresini paylaşmasına izin verir. Sonuç olarak, sesli sohbet gibi uygulamaların her birini doğrudan ele almasını gerektiren uygulamalar için giderek daha zor hale gelir. Diğer, eşler arası bir bağlantı sağlamak için güvenilir bir şekilde. " (Popülerliği evlerde ve ofislerde yetişen NAT-aygıtlar, birden fazla makinenin paylaşmasına izin verir. bir İnternet adresi. Sonuç olarak, tarafların doğrudan adreslenmesini gerektiren sesli sohbet olarak bu tür uygulamalar, her şey daha karmaşık ve güvenilir bağlantı oluşturması daha zordur nokta noktası.)

İçindekiler

Tarih Nat.

İlk olarak, internette / sipariş / tünelleme ihtiyacının ortaya çıkmasının ortaya çıkmasının tarihi hakkında birkaç kelime, daha sonra farklı yaklaşımların olanakları ve onların "hiyerarşileri" daha net olacaktır. Bildiğiniz gibi, 4 baytlık adres alanındaki IP adreslerinin eksikliği, 90'lı yılların başında (artı bazı şirketlerde hedeflenen blokların kiralanması için para eksikliği. Bu nedenle, Mart 1994'te "segmentasyona karar verdiler" dedi. Ortak alan - yerel ağlar için tahsisat. Ayrı IP adres aralıkları ve bu IP adreslerinin internetteki kullanımdan kaldırılması (http://www.ietf.org/rfc/rfc1597.txt Mart 1994 Özel internetler için adres tahsisi; Bu belgenin atanması hakkında alıntı "Yazarlar, bu yöntemlerin kullanımının adresleri tahsis ederken önemli tasarruflara yol açacağını umuyor"). Bu karar, internet sunucuları için küçük IP adreslerinin bloklarını tahsis etmeyi mümkün kılmıştır ve HP IP adreslerinin içinde kendi ihtiyaçları için kendi ihtiyaçları için yerel ağların aralıklarından tahsis edilmiştir. Sonuç olarak, şirketlerin İnternet sunucuları (posta ve www / ftp) hem internetten hem de HC'den ve aynı IP protokollerinde sorunsuz bir şekilde bağlı LAN bilgisayarların içine kolayca erişilebiliyordu. Ancak bu karar, yerel ağlar ve internet arasında bir engel oluşturdu: çünkü Aynı IP adresi farklı LS'de kullanılabilir ve çünkü Bu nedenle, internette, LS'ye izole hedeflenen bloklara yönlendirmeyi durdurdular. Şunlar. Aslında, "fiziksel bariyer" (kabloları, ilk hacklerden sonra Rus bankalarında eğlendirilmeden ve şimdiye kadar düşkün olan güvenlik duvarını yüklemeden). Ağlar, modern işletim sistemlerindeki görevler yalıtılmış olarak izole edildiğinden, her birinin kendi adresi alanı vardır. Bu bariyer posta için sorunları hayal etmedi, çünkü İşletmelerin posta sunucuları, ağların sınırında yükseltildi ve internetten ve HP'den görülebildi. Ancak, ilaçlardan dış kaynaklara erişimi olan - FTP'ye ve aynı zamanda o yıllarda da yazarak HTTP sunucularının popülaritesi sorunlara başladı. Herhangi bir bilgisayardan daha önce sunucula doğrudan etkileşime girebilseydiyse, bu fırsat sadece gerçek internet adresleriyle bilgisayarlarla kalır, çünkü Hangi LAN, ip paketin cevabını konuşacak, ters adresin yerel olduğu - yönlendirici belirlenemez.

Bu görevin en basit çözümü, ağların sınırındaki iade adresini değiştirmektir - yüzeyde yatın ve yayınlamak için yavaşlamadınız: Mayıs 1994'te, yani. "Ağın bölümünün" ardından iki ay sonra NAT spesifikasyonunu sundu: http://www.ietf.org/rfc/rfc1631.txt Ağ Adresi Tercüman (NAT) Mayıs 1994 Yazarlar "kısa süreli çözüm" olarak açıkladı, yani. geçici çözüm "Hack" gibi bu sorun, normal çözümlere dağıtılmayacak. Ancak, bildiğiniz gibi, hiçbir şey bu kadar kalıcı değildir, çünkü geçici IPv6, beklentilerin aksine, hızlı bir şekilde gelmedi ve her 10 yıl boyunca, LAN ve İnternet sınırlarında yeni ve yeni kavgalara tanık olduk. Nat dağıtımı var çünkü Bu soruna bu soruna kabul edilebilir başka bir çözüm yoktu: FTP istemcileri ve HTTP istemcileri (tarayıcılar) dünyanın değiştirilmiş resmi uyarınca uyum sağlamak için zaman yoktu, dış kaynaklarla HP dışında çalışamadı, bu yüzden sınırı yapmak için Şeffaf, sadece programsal olarak "aldatılmış", Dışarıdaki en basit işlemeye maruz kalan tüm IP paketleri, Sınırdaki en basit işlemeye maruz kalan tüm IP paketlerini "Sınır" bilgisayarın gerçek adresine ve bir geri bildirimin değiştirilmesi Gelen paketler. Ek olarak, LS kaynak bağlantı noktasının sayısı genellikle değiştirilir, çünkü Uyuşturucudaki farklı makinelerden, paketler aynı bağlantı noktası numaralarıyla ortaya çıkabilir. Şunlar. Yalnızca yalnızca IP adresleri yayınlanmaz, aynı zamanda bağlantı noktası numaraları (bazen liman tercümanları ayrı bir Pat kısaltması denir). Koşullu sınıflandırmada, NAT "statik, dinamik ve maskeliğe" ayrılmıştır, ancak pratikte çoğunlukla üçüncü tiptir, bir gerçek adres aracılığıyla binlerce LS bağlantısına hizmet etmenizi sağlar, bağlantı noktalarının yayınlanması her zaman kullanılır. NAT bilgisayarda veya yönlendirici + NAT'da, örneğin 60.000'den fazla sayıda (bu bağlantı noktalarını kendi ihtiyaçlarınız için tahsis edilen bu bağlantı noktalarından hızlı bir şekilde ayırt etmek için) ve mevcut oturumların / adreslerin dinamik tablosunu ayarlamak için kullanılan bağlantı noktaları aralığı. Her geçen paket bu tablo ve bağlantı noktası ile kontrol edilir ve karşılık gelen ikameler yapılır. Teknoloji o kadar basit ki, şimdi bir yönlendirici ya da bir kablo modemiyle, yerleşik bir NAT (ve güvenlik duvarı, tıpkı NAT gibi ilkel olarak) olmadan tanışabileceğiniz ve NAT, Hub'da bile bulunabilir. . Adı altındaki Windows'un son birkaç sürümünün bir parçası olan "ücretsiz" Nat'dan bahsetmemek " bağlantı Paylaşımı"Ve" bileşiğin ortak kullanımı".. Uyanmanın / kullanmanın / kullanmanın ve istemci yazılımına yönlendirilmesinin uygunluğu, basitliğidir, NAT'u hak eden bir şekilde popülerdir.

NAT "gözler" internet programlarının

Uygulamada her şey çok basit olsaydı, ilgi çekici olurdu, ancak elbette, başka bir yazılım numarasıyla gerçekleştiğinde, NAT hemen çeşitli hoş olmayan yan etkilerden çıkmaya başladı. NAT görünümünde, en popüler protokollerden biri FTP'di ve ilk görünmeyen protokol olan NAT için bu protokol oldu. Bu, bu 10 yıldır NAT'da başarılı bir şekilde çözülmemiş bir sorun ortaya çıktı. Genel olarak, NAT çerçevesinde çözülemez, yalnızca belirli protokoller için bağlantı parçaları olabilir, ancak bu bağlantı parçaları güvenilir bir çözüm olarak kabul edilemez. Bu sorun, en eskilerinin FTP'si olduğu bazı protokollerde, istemci makinesinin IP adresi iletilir ve bu IP adresi, müşterinin verilerini aktarmak için sunucu tarafından kullanılır. NAT durumunda, LAN'dan çalışan bir müşteri programı "nat" om, yalnızca, yalnızca kendi yerel IP adresi ile sunucuya aktarılabilir, harici sunucunun yanı sıra mümkün olmayacağı İnternetten yerel ağların görünmezliği. Diğer örnekler, ICQ protokolleri, MS NetMeeting, Realaudio ve geliştiricileri görünüşte ağlarda oturan diğer birçok protokol olarak hizmet verebilir.
NAT NAT, belirli bir tercüme edilmiş protokolü tahmin etmek ve IP paketlerinin içeriğini takip etmeye başlamaya başlamak için port numaralarına dayanarak, böyle bir soruna sadece bir çözüm sunabilir. Port FTP komutu, yerel istemci portunun belirtildiği durumlarda (paket gövdesindeki ve IP paketinin başlığında olmayan metin komutu), sonra sadece başlıkları değil, tüm paketin tamamını değiştirin Checksum'un yeniden hesaplanması ve Wiretap bir gelen portun organizasyonu. Ne yazık ki, FTP protokol komutlarının iletileceği TCP protokolü için TCP protokolü için, bir IP katmanını vururken (veya daha fazla, FTP istemcisine ve işletim sisteminde arabelleğe bağlı olarak, ). Bu nedenle, NAT sübstitüsyonunun güvenilir bir tespiti için, orijinal TCP akışını, tamponlanmış ve yeniden monte edilmesi için yeniden inşa etmek zorunda kalacaktır. Nat'ta "Protokollerin yeniden inşası" için geri döneceğiz, ancak şimdilik çok katmanlıyız. Bu süreçte potansiyel hatalar ve güvenilmezlik seviyesi. Uygulamada, bu, bir kural olarak NAT üzerinden bağlantı noktası komutunu kullanan standart FTP modunun çalışmadığı gerçeğine yol açmaktadır.

Bu nedenle, FTP protokolündeki "NAT problemi", FTP istemcilerinde veya başka bir ara özel FTP proxy'de özel bir şekilde bypass olması gerekir. FTP istemcisinde, bunun için sözde geçiş yapmanız gerekir. "Pasif mod" - Port komutu yerine Pasv komutunu kullanın. PASV, FTP sunucusundan evde ek bir bağlantı noktası açmasını ve müşteriye rapor vermesini ister. Bundan sonra istemci, belirtilene bağlanır (NAT bir kez daha aldatıcı-yayınlar) ve oturum mümkündür. FTP istemcisinde PASV modunu destekleme ihtiyacına ek olarak (Standart FTP.exe'de değil) ve FTP sunucusu yöneticisi tarafından bazı çabalar gereklidir - özellikle de kısmen düşmüş güvenlik duvarı "Ami ve Nat" AMI (ESERV için bir FTP geliştirici Sleverver olarak, bu sorunların yükseklikte olmadığını biliyor). Genel olarak, NAT bağlanmaya yardımcı olmaz, ancak müdahale eder.

Şimdi, Müşterinin sorunu aşmak için "şeffaf" içindeki protokolün rekonstrüksiyonu hakkında. Bunu yapan çok az Nats (pratikte, aynı zamanda bir ağ seviyesine yükseltebileceklerinden daha fazla ilan edebileceğinden daha fazla ilan etme olasılığı daha yüksektir - adresteki adreslerin çevirisi ile basit ileriye dönük paketler yerine, başa çıkmaya başlarlar. Paketlerden TCP TCP yığınından aynı şekilde aynı şekilde. Böylece, geri dönüştürülmüş yönlendiriciden az gelişmiş uygulamalı TCP proxy'sine döner. Bu durumda, FTP proxy veya ftp kapısında. Müşteri bilmiyor çünkü altında basınç Bu proxy hakkında ve NAT, protokolü tahmin etmeye devam ediyor ve seviyesinde çözülmesi için uygun olmayan bir görevle uğraşmaya devam ediyor (IP paket seviyesi).

NAT yerine veya özel bir proxy (FTP kapısı) veya evrensel TCP proxy tipi çorap veya aşırı HTTPS'de (bu aşırı durum NAT'dan daha iyi çalışmıyor), NAT yerine veya ek olarak bu görevin çözülmesi çok daha kolaydır. . Başlangıçta TCP düzeyinde çalışırlar ve FTP istemcisini aldatmayın ve onunla işbirliği yapmazlar. Üç kat problemi derhal kaybolur: FTP istemcisi herhangi bir mod kullanabilir - Aktif veya Pasif (HTTPS'de, NAT'daki gibi HTTPS'de), protokolü ve çift TCP düzeneğini tahmin etmeye gerek yoktur. Ek olarak, Yönetici işlemi etkilemek için daha fazla fırsat (bu daha sonra) görünmektedir.

Müşteri programı özel proxy ile nasıl çalışacağını bilmiyorsa (pratik olarak sola yok, ancak en kötü durumlar hakkında konuşacağız), daha sonra çorap-proxy kullanırken, müşterinin çalışması, SockScapture programlarını kullanarak da şeffaf yapılabilir veya iç freecap. Sınırın şeffaflığı her zaman bir aldatmacadır, ancak SockScapture veya Freecap, IP paketlerini ele geçirmiyor, ancak program işletim sistemine hitap ediyor, bu yüzden her zaman tam olarak biliyorlar ve hangi eylemi bir program yapmak istediği paket akışını hesaplamıyorlar; ve buna göre bu adımları çoraplarla yönlendirin -proxy.

Nat vs çorap.

Konuşma çoraplar hakkında geldiğinden, bu proxy protokolüyle ilgili birkaç kelime söylemeliyim. Dahası, Tarihsel Çoraplar, LAN ve Internet arasındaki sınırların üstesinden gelmek için NAT araçlarından sonra bir sonraki idi: "Nedir Çoraplar" Ekim 1994'te yayınlandı, SOCKS4 Şartnamesi (Önceki "sürümler" versiyonlar "herhangi bir üründe geçerli değil) HTTP : //www.socks.nec.com/protocol/socks4a.Protocol ve Mart 1996'da sadece 5. versiyonu IETF'de RFC olarak yayınlamak için olgunlaştı: http://www.ietf.org/rfc/rfc1928.txt. Bu belgenin bir Rus versiyonu var - Tercüme Edilen Alexander Gorlach'i, ardından (97. ve 98gg) firmamızda çalıştı ve ESERV / 2'nin oluşturulmasına katıldığı, Socks5 sayfasına katılın.

Çoraplar, tüm NAT kısıtlamalarını aştı, ayrıca hemen hemen her TCP ve UDP protokolünü "vekil" olarak değil, aynı zamanda İnternetin kullanımı üzerindeki kontrolü de iyileştiren en az üç uygun alet ekledi:

1. Çoraplar sadece giden bağlantılara hizmet etmekle kalmaz, aynı zamanda proxy müşterisinin talebi üzerine bir proxy makinesinde (bağlama yöntemi) dinlenmiş gelen soketler oluşturmanıza olanak sağlar - sadece FTP ve benzeri çok bağlantılı protokoller için gereklidir.
2. SOCKS4A ve SOCKS5, istemciden istemciden etki alanı adlarını çözme problemini kaldırmanıza ve proxy'de doğru yapmanızı sağlar. Şunlar. İlaçlar içindeki makine gereksiz bir DNS sunucusu veya DNS haritalaması (NAT veya özel .udpmap), bir "onay işareti" yöneticiden çıkarılır, ayrıca sunucudaki DNS önbelleğe alma nedeniyle, istemci daha hızlı çalışır.
3. SOCKS5, açıkça doğrulama ve müşteri yetkisi için çeşitli seçenekleri destekler. NAT, yalnızca yazılımlar tarafından kendi tarafından ayırt edilebilir.

Ancak çoraplar, NAT'a kıyasla işin rahatlığını iyileştirmiş olmasına rağmen, evrensel "Programlanabilir Eşleme" olarak kalır. NAT sorunlarının bir kısmı çözülmedi. Ve belirli bir proximize protokolün ayrıntılarını anlamadan düşük bir düzeyde çözülemezler. Tıpkı, örneğin, telefon insan konuşmasını iletmek mümkün değildir, ancak bir markayı anlama ve filtreleme yeteneğine sahip değildir, bu nedenle ağında neler olup bittiğini kontrol etmek isteyen yöneticileri uzman vekiller kullanır.

Sysadmin tarafından NAT ve uzman vekilleri

İlk olarak, yine tarihte küçük bir gezi. HTTP protokolü, 90'ların başında (sözde "sürüm 0.9") ve 90'ların ortalarında, internetin "Killer App" tarafından, sadece bilim adamları ve askeri değil, aynı zamanda " Basit tüccarlar ve siparişler "İnternete bağlanmaya başladı. Buna göre, standardizasyon için bir ihtiyaç vardır. Mayıs 1996'da, HTTP / 1.0 spesifikasyonu, önemli bir galibiyetli RFC numarası altında yayınlandı: 1945. Şartnamenin yazarları, İnternetin yeni gerçeklerini zaten dikkate almıştır. LS için protokolü tahmin etme ihtiyacı. Buna ek olarak, HTTP uygulamasında, birinci yıl yoktu ve "proxing deneyimi" vardı. Bu nedenle, belge, proxy, ağ geçitleri ve tüneller hakkındaki gerekli tanımlar ve yorumlarla yapılmıştır. Ve aslında, sadece HTTP protokolünün kendisi de orada tanımlanmadı (normal bir web sunucusunun bakış açısıyla), ancak HTTP-Proxy ve HTTPS-Proxy protokollerini de açıklar. HTTP protokolüne girilen "Connect" yöntemi, bir proxy üzerinden güvenli HTTP sunucularına bağlanabilmesi için özel olarak etkindir, ancak 443m bağlantı noktasıyla sınırlandırılmamasına, ancak bağlantı için herhangi bir bağlantı noktası belirtmek için izin verilir. Böylece, HTTPS Proxy karşısında, Socks5'ten çok daha sınırlı yeteneklere rağmen, herhangi bir protokol için başka bir protokol için başka bir protokol için başka bir "programlanabilir TCP eşlemesi" elde ediyoruz. "Yerel" http protokolü için başka bir HTTP vekil durumudur. Tam bilgi ile başa çıkabilir - önbellek, URL'sinde filtre ve içerik, limit, yönlendirici, yetkili vb. Genellikle bu eylemler, TCP düzeyinde ve OS'nin diğer bileşenlerinde, NAT parti seviyesi veya kör eşleme çoraplarında pratik olarak imkansız olan bu tür önemsiz eylemler gerektirir.

Özel vekillerin bulunduğu diğer uygulamalı protokollerle aynı - her zaman evrensel düşük seviyeye göre daha yönetilebilir olan her zaman bir büyüklük sırasıdır. Örneğin, birçok POP3 vekilleri Popfile gibi spam filtrelemenize izin verir (ancak spam tarafından bir proxy'ye, ancak SMTP sunucusuna daha doğru filtrelenmemesine rağmen). Bunun için çoraplar ve NAT, iletilen protokolü anlamak için özel beceriler gerektirir, yani. Aslında, "Emülasyon" POP3 proxy bu araçlar için çok uygun değildir.

Bu nedenle, özel proxy'lerin (HTTP, HTTP, FTP, SMTP, POP3, IMAP) için (HTTP, HTTP, FTP, SMTP, POP3, IMAP) için (SMTP, POP3, IMAP, DNS) 'nin genel kabul gördüğü mimari olan bu protokollerle çalışmak için çorap veya NAT kullanılması. zorla optimum olmayan bir çözüm. Zorunlu - organizasyonel nedenlerden dolayı gerekli proxy türünü kullanmanın imkansızlığından (istenen proxy tipini koymak hiçbir yer yoktur veya bağlantı türü, GPRS veya seçenekler aracılığıyla İnternet durumunda olduğu gibi gerçek bir IP adresi sağlamaz. Ev ağları için - bu durumlarda NAT veya "zorunlu http vekili" sağlayıcının tarafında durur) veya sorumlu kişilerin yetersiz farkındalığından, dahil. Yöneticiler. Finansal kısıtlamalar dikkate alınmaz çünkü Tüm bu protokoller için ücretsiz veya çok ucuz vekiller için çok fazla seçenek var.

Bazı durumlarda, SOCKS5 kullanımı tamamen haklı çıkar - örneğin, ICQ ve diğer haberciler için. Bu protokoller için, özel proxy basitçe geliştirilmez, çünkü Ağı kullanma genel arka planında neredeyse görünmezler. LAN'daki bir Posta Sunucusu veya POP3 / SMTP-Proxy'nin yokluğunda, aşağıdaki aday da SOCKS5 olacaktır, ancak destek tüm posta istemcilerinde olmasa da bazılarının açık olmayan özellikleri vardır (bakınız Mozilla Thunderbird).

NAT seçeneklerinin "son örneği" olduğunda - daha iyi bir şey olmadığı durumunda veya NAT başlangıçta teslim edilirse - kablo modeminde, yönlendirici, mobil bağlantı (bu bezler NAT değildir ve özel bir proxy değildir) Temel uygulamasının maksimum basitliği sayesinde popüler protokoller için: Eproxy'deki NAT UDPMAP eklentisi cihazına benzer kaynak kodu sadece 4KB boyutuna sahiptir). Protokollerin bir kısmı çalışmaz, işi yönetmek zor olacaktır. Ancak bu tür marjinal durumlarda, bir şekilde çalışmamaktan başka bir şekilde çalışmak daha iyidir.

İşte son 8 yılımın konumu için böyle ayrıntılı bir açıklama - "ESEV'teki asla NAT olmayacak" NAT'nın ezici çoğunluğunda ya da ihtiyacınız yoksa, bir sağlayıcı seçmek ve kendinizi tanımak için bir ceza sahibi olursunuz. NAT ile yerleşik Windows bağlantı paylaşımını kullanabilirsiniz, tam olarak NAT olarak çalışır.

Ayrıca, Microsoft'taki NAT için "Crutm" bkz. NAT Traversal - UpnPing Uygulamaları, Configuration Nat / Firewall'u UPnP üzerinden uyarlayarak NAT üzerinden üstesinden gelin. NAT geçişi ilk kez duyduğunuzda, geliştiricilerin koltuk değneği yerine koltuk değneği yerine SOCKS5'lerini tercih ederse ve bu girişim "destek kodu" alamamasıdır. Ancak makale resimleriyle iyidir (NAT problemlerinin aksine ve başka bir bağımsız tanımının aksine.

NAT, ICS zaten tüm yeni Windows sürümlerinde inşa edilmiştir.

1999'dan beri yayınlanan Windows'un tüm sürümlerinde NAT dahildir. İlk olarak, ICS adının altında (internet bağlantısı paylaşımı - bağlantıya ortak erişim) ve daha sonra NAT adınızın altında. İşte Windows 2003'te ("Yönlendirme ve Uzaktan Erişim" system32rasmgmt.msc) dahil edim iletişim kutusu.

Windows XP Nat / ICS, İnternet bağlantısının özelliklerini açar.

Bir mesaj verilirse "Paylaşım sağlayamıyor. Hata: 1722: RPC sunucusu mevcut değil." ("Paylaşılan erişim sağlayamaz. Hata: 1722: RPC sunucusu mevcut değil."), Büyük olasılıkla DHCP istemci hizmetini durdurdunuz veya reddettiniz, ICS'yi açmadan önce başlatmanız gerekir.

Sysadmin sağlayıcıların Nat gözleri Linux

(6 Temmuz 2004 tarihli eklenmesi - Makalenin ilk yanıtı. Güvenlik duvarı hakkındaki makalede olduğu gibi, sözcüğü şimdiki sysadmin'e vereceğiz.

Alıntı Eğer işi gerçek olan NAT üzerinden karşılaştırırsanız, şu ana kadar, NAT ile MSN Messenger programlarında sadece sesli, video ve aktarma dosyalarıyla ilgili sorunlarım var. Belki bazı uygulamalarda NAT "a Aktif bir FTP ile ilgili sorunlar da vardır, harici VPN sunucuları, vb. Bağlantısı, ancak Linux'ta NAT üzerinden çalışırken (ilgili ayarlarla) bu konuda sorun yoktur. Bu durumda, IP adreslerini ve Firevolol'ü korurken NAT'nın avantajı.

NAT bir proxy ile karşılaştırırsanız (İnternetten bir çıkış yolu olarak, yani, önbellek fonksiyonlarını, URL analizi vb. Düşünmeden, NAT, NAT, daha fazla uygulama ve protokol (tümü); NAT, kullanıcıdan özel ayar gerektirmez; Proxy ekipman konusunda daha zorludur. Proxy genellikle varış NAT (DNAT) işlevselliğini sağlamaz, ancak Eserway'de, TCP / UDP eşleme kullanılarak bir DNAT benzerliğine sahip olmanıza rağmen. Alıntıların sonu.

Bu alıntı, sağlayıcıların yöneticilerden işletmelere de farkladığını gösterir.

Backlinks.
Nesne.
Güvenlik duvarı
MXServer.
NCSI
Whatisproxyserver.

Proxy sunucu. İş istasyonu ve dünya ağı arasındaki arabuluculuk için tasarlanmıştır.

Proxy bilgisayarı, kullanıcı isteklerini özlüyor ve sonra elde edilen sonuçları Inetrnet'ten geri döndürür. Bu, internetteki tüm yerel ağların eşzamanlı erişimine katkıda bulunan bir tür "Mütevelli". Aynı zamanda, yönetici, ayar ızgarası, IP adresini her bir noktaya atama ihtiyacından ortadan kaldırılır, karmaşık bir yönlendirme şeması oluşturun, sağlayıcıya ek (genellikle ödenen) servisiyle iletişim kurun.

Aşırı sıkıntıya ve haksızlaştırılmamış yüksek maliyetlere ek olarak, bu tür yöntemlerle, neyse ki, zaten geçmişte bırakan yöntemlerle, konumlandırıcıdaki veri güvenliği seviyesi kaybedilir, her bir bilgisayarı viral saldırılar ve hacker hackleri için potansiyel bir hedefe sahip hale getirir. Ayrıca, merkezi yönetim eksikliği nedeniyle, yönetici her bir istasyonun kontrolü hakkında endişeler ekleyecektir. Ve bu arada, internetteki yerel bir ağın çıktısını ayarlamak için ikinci yolla, ayrıca paketleri yönlendirecek, ancak bir proxy aksine, gerçek IP istemcilerini geçecek olan ana bilgisayara ek bir programa ihtiyaç duyarlar.

Adresleri değiştirebilecek yönlendirici çağrıldı Nat-Proxy. (Ağ adresinden "Ağ Adresi Converter" olarak çevrilebilen İngilizce kısaltması).

Nat. - Bu programın ilk, en basit görünümü, yerel ağı yerel ağı ayarlama türünden başka bir türe kadar bir geçiş bağlantısıdır. "İnternet bağlantısına genel erişim" adı altında NAT-Proxy, Windows 2000 ve XP'de zaten bulundu. Bu program, nitelikli bir sistem yöneticisinin derin bilgisine sahip olmak zorunda olmayan ortalama bir kullanıcı için tasarlanmıştır. İş için özel bir püf noktası yürütmek gerekli değildir. Ancak aslında, bu avantaj çok şüphelidir. Evrensel bir proxy olan NAT, uygulama protokollerinin inceliklerine nüfuz edemez. Bu nedenle, daha doğru ve güvenli bir iş için, kendini uzmanlaşmış proxy programlarıyla tanıştırmalısınız.

Sınıfındaki en yaygın olanı NTTR-proxy'dir. Başlıktan NTTR protokolü üzerindeki çalışma ilkesinin temelde olduğu açıktır. Bu program olmayan ciddi bir ağ yok. Bildiği şey:

• İnternetten alınan dosyaları sunucu sürücüsüne kaydedin, bu da mevcut verileri WWW'ye dolaşmadan, iş hızını artırarak ve toplam trafiği kaydetmenize olanak sağlar.
• Kaynaklara erişimi kısıtlayın. Örneğin, müşterilerin "kara listeden" sitelerinde bırakmasına izin vermeyin. Ya da tüm müşteriler değil, sadece belirli bir grup. Ya da ağda her zaman değil, ancak belirli saatlerde değil. Bu avantaj, yerel ağın istemcinin bir kısmını düzenlemek için mümkün olan en geniş fırsatları açar.
• İndirme önceliklerini yönetin. Ücretsiz müzik sevenler tarafından trafiğin tam emilimini önlemeye veya çevrimiçi sinemayı görüntülemeye yardımcı olur.
• Belirtilen zaman aralığında kullanılan trafiği hesaplayın.
• Çeşitli kaynakların derecelendirmesini belirleyin

Ve bu oldukça kapsamlı NTTR-proxy becerilerinin tam listesi bile, avantajlarının tam bir listesi değildir. Printr-Proxy, FTP sunucularıyla birlikte çalışabilir. Ancak FTP ve NTtr'in karşılıklı dönüşümü ile, FTP işlevselliğinin nüansları kısmen kaybolur. Doğal olarak, özel FTP istemcilerinin doğru çalışması için özel yazılımlara tercih edilir. Ftp-proxy. NTTR proxy bileşeninin bir parçası veya ESERV ve Eproxy'de olduğu gibi ayrı bir program olabilir. Şu anda dikkatini vurgulamak için, ESERV ve EPROXYYYYY'DEN PROXY, FTP kapısını çağırıyor.

Mansion, sınıflandırılmış bilgilerle çalışmak için NTTR bölümünden ayrılmaktadır - NTTPS-Proxy.Papping-Proxy, Gibi Posta Servisi gibi, internet kaynakları ile iletişim kurmak için kullanılan programların proxy çalışmalarını yapılandırmak için bir hedefe sahiptir. Yarasa ve Outlook Express. Bu amaçlarla, istenen sunucu programının yerel görüntüsü yüklüdür. Bunlar., Bu bir çeşit aldatma, yine de, neredeyse her zaman tetiklenen bir numara.

Çorap proxy - Müşterilere güvenlik duvarı hizmetlerinin saydam kullanımı olasılığını sağlayarak popülerlik kazanan bir program. Proxy sayfalarımızda, çeşitli işçi çorapları proxy seçimi var. ESERV ve EPROXY, listelenen (NAT hariç) proxy türlerini uyguladı.

Tipik bir seçenek düşünün - dahili ağ İnternet erişim sunucusu aracılığıyla bağlanır ve bir harici "beyaz" IP adresi kullanır (bkz. "Office ağı" bölümündeki Uygulama seçeneğine bakın.

İnternete iç ağdan erişim sağlama görevi, bir NAT veya Proxy sunucusu kullanarak bir kural olarak çözülür. Her yaklaşımın avantajları ve dezavantajları vardır.

Operasyon ilkesi NAT. - Sunucudan geçerken paketlerdeki IP adreslerinin ve bağlantı noktalarının basit bir yayınıdır. NAT üzerinden erişim için, istemci programlarının yapılandırılması gerekmez - Hizmet, tüm giden istekleri şeffaf bir şekilde yayınlar. Ayrıca, bu yaklaşım, maksimum performansa sahiptir ve sunucu kaynaklarına talep edemez. Ancak NAT, uygulamanın gelen bağlantıları açmasına izin vermez. Bu, IRC gibi bazı protokollere kısıtlamalar getirir.

Trafik Müfettişi. NAT Windows servisini kullanır. Bu, sistemin sunucu sürümleri için ICS (yönlendirme ve uzaktan erişim sunucusu) denir.

NAT, liman yayın modunda ve adreslerinde çalışabilir. Bir harici adres kullanılıyorsa, bağlantı noktaları kullanılır. Ancak sağlayıcı ayrıca bir grup adrese sahip olabilir ve ardından NAT üzerinden bazı harici adresler dahili olarak atanabilir. Ağın içindeki bazı sunucular ve bunları değiştirmeden bağlantı noktalarının şeffaf yayınları olduğu durum için uygundur. Ancak, tek dış adreste bile dışa doğru iç sunucuları yayınlamak her zaman mümkündür.

NAT'nın saf biçiminde çok az kullanılmış, çünkü erişim ve trafik kontrolünü ayırt etme olasılığı yoktur.

Proxy sunucu. Uygulama protokolleri seviyesinde çalışır ve istemci programlarından ve ayarlarından uygun destek gerektirir. Bunun içinden, HTTP veya FTP protokollerini kullanarak çalışabilirsiniz. Ayrıca TCP kullanan herhangi bir uygulamanın çalışabileceği özel bir çorap proxy protokolü de vardır. Çorap sayesinde, hem giden hem de gelen bağlantıları açabilirsiniz, böylece NAT problemleri burada kaldırılır. Tek sınırlama, müşteri programlarından Çorap desteğinin ihtiyacıdır.

HTTP ile çalışırken, proxy sunucusu trafiğini kaydetmek için, tekrarlanan istekler sırasında kullanılabilecek indirilen nesnelerin önbelleğe alma (geçici tasarrufu) kullanılır. Önbellekleme kullanmak, İnterneti indirdiğinizde erişim hızını artırabilir.

Ayrıca, bir proxy sunucusu kullanarak, uygulama seviyesinde filtrelemeyi uygulayabilirsiniz - örneğin, sunucudaki belirli bir kaynağa erişimi yasaklamak veya veri içeriğinde bir ayrım yapmak için.

Trafik Müfettişinin bir parçası olarak Tam özellikli bir http / ftp / çorap proxy sunucusu var. Esnek filtreleme uygulanır, önbellekleme ve çalışma hızını sınırlama yeteneği. İşlevselliğe göre, diğer proxy sunucularına göre daha düşük değildir. HTTP aracılığıyla çalışırken, SSL ile çalışmanıza ve bu yöntemi kullanmanızı ve desteklenen diğer uygulamalarla birlikte çalışmanıza olanak tanıyan bağlantı yöntemiyle çalışın. FTP ile HTTP ile çalışmak da mümkündür - istemci, FTP sunucusundan sayfa formundaki veri alan HTTP (normal tarayıcıyı) kullanır.

İnternet ile iç ağdan çalışmak için başka bir fırsat var - sağlayıcıdan bir IP alt ağını almak, erişim sunucusunu yönlendirici olarak yapılandırın ve "beyaz" adreslerini müşterilere dağıtın.Trafik Müfettişi. Bu seçenek de çalışabilecektir. Ancak bu yaklaşım, öncelikle güvenlik sorunları nedeniyle çok az uygundur. Ancak, kamu sunucularını kaydetmek için DMZ ("Demilitarized Zone") düzenlendiğinde ağ yönlendirme gerekebilir (Seçenek Uygulamasına bakın "

0

Bazı mesajlaşma sistemlerinde, iki mesajlaşma istemcisi doğrudan bir sohbet veya sesli aramada birbirinden doğrudan gönderilir. Ana mekanizmanın (örneğin, TCP): Bu istemci programları bir TCP-soketi dinler ve IP / Port çiftine mesajlaşma / koordinasyonunu bildirir. Müşteri programları daha sonra diğer tarafın diğer tarafını mesajlaşma / koordinasyon sunucusundan alır. Ve bunlardan biri (örneğin, a) daha sonra TCP'yi başka bir çift IP / Port B ile başka biriyle (B) başlatır.

NAT veya proxy için değil pasif müşteri B (TCP SYN'yi bekliyor), iyidir. Ancak B, bir NAT veya Proxy sunucusunun arkasındaysa, IP / PORT çifti aslında bir Public NAT ağ arayüzü veya proxydir.

Yani, sorum şu: NAT veya Proxy TCP Syn'i aldığında, onun tepkisi nedir? TCP SYN SYN'yi bunun arkasındaki uygun ana bilgisayar / işleme nasıl iletirler?

• 2 cevap

Sıralama:

Aktivite

0

İlk varsayımınızın doğru olduğundan şüpheliyim. Büyük olasılıkla, her ikisi de sunucuya aktif bağlantıları açarlar ve sunucu aralarında veri yollar. Çok daha kolaydır ve tarif ettiğiniz sorunlar kaybolur.

0

Bu soru açıkça uzun zamandır soruldu, ama yine de ...

sohbet ve sesli / görüntülü arama, kural olarak tamamen farklı şekilde işlenir. Bir sohbet durumunda, muhtemelen her iki ucun da sunucuya bağlanacağı ve veri alışverişinde bulunacak olan XMPP protokolünü kullanacaksınız. XMPP, 4 düzeyde TCP'dedir, çünkü bu durumda güvenilirlik gecikmeden öncelikten daha yüksektir. Müşteriler, bağlantıyı açan ve destekleyenler olduğundan, bu durumda NAT ile ilgili sorun yaşamayacaksınız.

• ağı (IP Adresi ve Bağlantı Noktası) tartıştığınız parçalar ve alarm için gereken kodeklerin kodu (SDP - Oturum Açıklama Protokolü olarak bilinen)
• ortam kısmı, iki aboneyle sesli / video içeriğini etkili bir şekilde değiştirdiğiniz yer.

Sinyal genellikle, SIP (oturum başlatma protokolü) gibi daha yüksek düzeyde protokoller kullanarak TCP'den geçer. Bu mesaj sunucudan geçecektir. Medya, RTP (gerçek zamanlı iletim protokolünde) gibi daha yüksek bir düzeyde protokol kullanarak UDP'den geçer ve bu mesajlaşmanın bu kısmı genellikle akran bağlantısıdır. Bir UDP bağlantı noktası, hem bir ses / video kanalı için trafiği iletmek ve almak için kullanılabilir. Ek olarak, bir arama sırasında aramanın kalitesi hakkında bilgi almanız için, örneğin paketin kaybını önlemek / azaltmak için kullanılan bant genişliğini azaltabilirsiniz. Bu amaçla, RTCP protokolünü (gerçek zamanlı araç yönetimi protokolü) kullanmanız gerekir. Bu durumda, NAT bypass çok önemlidir! Müşterilerden hiçbiri halka açık IP adreslerini bilmediğinden, iç ağınızda (halka açık bir internette) "dışarıda gördüğünüz gibi" diyebilecek bir sunucuya ihtiyacınız var, bu NAT için. Özellikle. WEBRTC WORLD Bu sunucu buz bilir. Ortak, internetten görülebileceği gibi, bu bilgiyi sinyal mesajının SDP kısmı içine yerleştirir, böylece diğer ucun Internet üzerinden ulaşabilmesi için. NAT yapan yönlendiricinin, ses ve video için kullanılan UDP bağlantı noktalarını izlemek için bazı ek ayarlar gerektirebileceğini unutmayın (internetten NAT geri trafiği için).

Son olarak, bu durumlarda diğer çözümler kullanılır, ancak ayarınıza bağlıdır. Son kullanıcı için bir yazılım yazarsanız, önceki açıklamalar uygulanacaktır. Ancak, kurumsal pazar için bir yazılım yazarsanız, kurumsal ağınızın sınırındaki ek bir sunucu (EDGE olarak bilinen), ortak bir yaklaşım olacaktır. .

Bu saat hakkında yazabilirim, ancak başlamak için yeterli olmalı ... :)