Network Address Translation

Fra Wikipedia, den frie encyklopædi
Gå til: navigation, søg
Scientist.svg Svært stof
Denne artikel omhandler svært stof. Der er endnu ikke taget hensyn til ikke-eksperter. Du kan hjælpe ved at skrive en letforståelig indledning.

Network Address Translation eller NAT anvendes i to udgaver:

  • Port Address Translation, PAT, SUA, Source Network Address Translation eller ip-masquerade (kort source NAT eller SNAT). Det er den mest almindeligt anvendte NAT udgave i dag (2004).
  • Destination Network Address Translation (kort Destination NAT eller DNAT).

Source NAT "almindelig NAT"[redigér | redigér wikikode]

SNAT, PAT, SUA anvendes i noget netudstyr som f.eks.: trådløs basestation, routere, firewalls og lag 7 MLS.

Når flere computere skal kunne gå på internettet samtidigt via en internetforbindelse, anvendes til SNAT. Dette opnås ved, at en eller flere private IP-adresser oversættes til en eller nogle få officielle IP-adresser.

Fordelen ved Source NAT er at mange computere kan deles om en officel ip-adresse. Det er nødvendigt da der er mangel på officielle IPv4 ip-adresser (antal: 232=4.294.967.296). Fra ca. år 2000 og indtil vi går over til IPv6, har jorden mangel på ip-adresser. Kina anvender i dag 2004 IPv6 og i resten af verdenen kører IPv6 i test.

SNAT protokolunderstøttelse (eng. Application Support)[redigér | redigér wikikode]

Mange SNAT implementeringer kan ikke NATte andet end rå (alle kun initieret indefra:) TCP, passiv FTP, ICMP, UDP.

Mere avancerede protokoller, især multimedia, som f.eks. RTSP (med RTP/UDP), IPsec (VPN), Real Audio, Windows Media, H.323, SIP, Quake understøttes ikke.

Man kan bygge bro mellem internettets ip-adresser og de private ip-adresser via en proxyserver. Men det er en lappeløsning. En evt. firewall med SNAT bør understøtte de protokoller man har brug for.

En sidste løsningsmodel, for at få avancerede ikke-NAT-understøttede protokoller igennem, er at mappe en ekstra officiel ip-adresse til en intranet privat ip-adresse (1 til 1 NAT) – og åbne for de tcp/udp-porte der skal anvendes fra internettet. Sikkerhedsmæssigt er dette ikke så smart, men den kan anvendes.

Destination NAT (DNAT)[redigér | redigér wikikode]

DNAT understøttes af nogle få stykker netudstyr, der normalt anvendes til at lave load balancing for flere servere (se MLS).

Eksterne henvisninger[redigér | redigér wikikode]

NAT protokolunderstøttelsesinformation[redigér | redigér wikikode]

Klientinformation[redigér | redigér wikikode]

Netudstyrsinformation[redigér | redigér wikikode]

Firewall med NAT og god protokolunderstøttelse[redigér | redigér wikikode]

  • Freeware, open source: Linux firewall-program: netfilter/iptables project homepage. The netfilter/iptables project. Kernet 2.6 iptables er en firewall med udvidelig NAT protokolunderstøttelse.
    • Application Layer Packet Classifier for Linux Citat: "...This is a classifier for the Linux kernel's Netfilter subsystem that identifies packets based on application layer data (OSI layer 7). This means that it can classify packets as HTTP, FTP, Gnucleus, eDonkey2000, etc, regardless of port. Our classifier complements existing ones that match on route, port numbers and so on..."