Network Address Translation
Denne artikel omhandler svært stof. Der er endnu ikke taget hensyn til ikke-eksperter.Lær hvordan og hvornår man kan fjerne denne skabelonbesked) ( |
Network Address Translation eller NAT anvendes i to udgaver:
- Port Address Translation, PAT, SUA, Source Network Address Translation eller ip-masquerade (kort source NAT eller SNAT). Det er den mest almindeligt anvendte NAT udgave i dag (2004).
- Destination Network Address Translation (kort Destination NAT eller DNAT).
Source NAT "almindelig NAT"
[redigér | rediger kildetekst]SNAT, PAT, SUA anvendes i noget netudstyr som f.eks.: trådløs basestation, routere, firewalls og lag 7 MLS.
Når flere computere skal kunne gå på internettet samtidigt via en internetforbindelse, anvendes tit SNAT. Dette opnås ved, at en eller flere private IP-adresser oversættes til en eller nogle få offentlige IP-adresser.
Fordelen ved Source NAT er at mange computere kan deles om en officel ip-adresse. Det er nødvendigt da der er mangel på officielle IPv4 ip-adresser (antal: 232=4.294.967.296). Fra ca. år 2000 og indtil vi går over til IPv6, har jorden mangel på ip-adresser. Kina anvender i dag 2004 IPv6 og i resten af verden kører IPv6 i test.
SNAT protokolunderstøttelse (eng. Application Support)
[redigér | rediger kildetekst]Mange SNAT implementeringer kan ikke NATte andet end rå (alle kun initieret indefra:) TCP, passiv FTP, ICMP, UDP.
Mere avancerede protokoller, især multimedia, som f.eks. RTSP (med RTP/UDP), IPsec (VPN), Real Audio, Windows Media, H.323, SIP, Quake understøttes ikke.
Man kan bygge bro mellem internettets ip-adresser og de private ip-adresser via en proxyserver. Men det er en lappeløsning. En evt. firewall med SNAT bør understøtte de protokoller man har brug for.
En sidste løsningsmodel, for at få avancerede ikke-NAT-understøttede protokoller igennem, er at mappe en ekstra officiel ip-adresse til en intranet privat ip-adresse (1 til 1 NAT) – og åbne for de tcp/udp-porte der skal anvendes fra internettet. Sikkerhedsmæssigt er dette ikke så smart, men den kan anvendes.
Destination NAT (DNAT)
[redigér | rediger kildetekst]DNAT understøttes af nogle få stykker netudstyr, der normalt anvendes til at lave load balancing for flere servere (se MLS).
Eksterne henvisninger
[redigér | rediger kildetekst]- Google: NAT Arkiveret 22. juni 2003 hos Wayback Machine
- RFC 1631 The IP Network Address Translator (NAT)
- RFC 2391 – Load Sharing using IP Network Address Translation (LSNAT)
- SysAdmin: Configuring a FreeBSD Access Point for your Wireless Network Arkiveret 12. oktober 2004 hos Wayback Machine Citat: "...NAT is one of the great evils of the Internet today. It prevents true end-to-end connectivity and can get so layered that it becomes ridiculous. Unfortunately, IPv6 isn’t widely used, and unless you want to spend a good chunk of time configuring it, you’ll have to stick with NAT..."
NAT protokolunderstøttelsesinformation
[redigér | rediger kildetekst]Klientinformation
[redigér | rediger kildetekst]- How to set up QuickTime clients to receive a streaming movie Arkiveret 1. november 2004 hos Wayback Machine
- Real.com: Firewall Support Især firewalls med NAT.
Netudstyrsinformation
[redigér | rediger kildetekst]- Real.com: Firewall Support: Third Party Vendor Solutions
- Microsoft: Windows Media Services 9 Series Firewall Information
Firewall med NAT og god protokolunderstøttelse
[redigér | rediger kildetekst]- Freeware, open source: Linux firewall-program: netfilter/iptables project homepage. The netfilter/iptables project. Kernet 2.6 iptables er en firewall med udvidelig NAT protokolunderstøttelse.
- Application Layer Packet Classifier for Linux Citat: "...This is a classifier for the Linux kernel's Netfilter subsystem that identifies packets based on application layer data (OSI layer 7). This means that it can classify packets as HTTP, FTP, Gnucleus, eDonkey2000, etc, regardless of port. Our classifier complements existing ones that match on route, port numbers and so on..."