| KIV/PD (Přenos dat), Filtrování paketů |
Next Up Previous
NAT (Network Address Translation)
Tato tabulka slouží pro překlad síťových adres.
Využívá se ke dvěma hlavním účelům:
1. Skrývá vnitřní strukturu sítě.
2. Převádí neveřejné adresy na jednu veřejnou adresu, abychom mohli i ze strojů z vnitřní sítě přistupovat ven.
Obsahuje tři řetězce, které se však nepoužívají
k filtrování paketů (i když i to je možné), ale
jak už její název napovídá, ke změnám
adresy datagramu. Funguje to tak, že pokud paket při průchodu vyhoví
zadanému pravidlu, tak mu je podle určeného vzoru
změněna adresa jeho odesílatele resp. příjemce podle
určeného vzoru. Podle toho hovoříme buď o překladu
adres odesílatele (SNAT - Source NAT) nebo překladu adres
příjemce (DNAT - Destination NAT).
A jak vůbec vypadá pouť datagramu NAT tabulkou?
Obr.2.
Pouť datagramu NAT tabulkou
Příchozí
pakety, ať už jejich destinace jakákoliv, prochází
řetězcem PREROUTING, kde jim můžeme měnit adresu příjemce,
tedy DNAT.
Odchozí pakety, bez ohledu na
odesílatele zase mohou být SNATovány
(zamaskování adresy odesílatele) v řetězci
POSTROUTING.
Zvláštním případem je odchozí
řetězec OUTPUT, který lze použít k DNATování
paketů vzniklých pouze na lokálním počítači.
V praxi se však OUTPUT DNAT používá jen
zřídka.
Uvedu jednoduchý příklad:
iptables -t nat -A
POSTROUTING -o eth0 -j SNAT --to ip_routera
router tedy bude
nahrazovat IP odcházejících paketů svojí
IP adresou.
Výhody
skrytí sítě - struktura sítě není viditelná zvenčí
cena - je potřeba pouze jedna veřejná IP adresa
není třeba zvláštní konfigurace klientů - stačí jako bránu nastavit server provádějící NAT
není potřeba úprava aplikací
Nevýhody
skrytí sítě - příchozí dotazy z vnější sítě nemůžou přistupovat dovnitř naší sítě, dokud není komunikace iniciována zevnitř nebo pokud nemáme speciální software pro přeposílání specifických portů
problémy při použití DHCP - spravování překladu při dynamickém přidělování adres ve vnitřní síti
|
|
|
(c) 2003 Pavel Tuček
tuca@kiv.zcu.cz
|