Che cos'è un NAT rigoroso, moderato e aperto?

12

Le opzioni NAT sui router domestici spesso vengono configurate come rigorose . Cosa significa questo? Cosa fanno moderati o aperti ? L'accesso al port forwarding / DMZ funziona correttamente su rigoroso, quindi perché preoccuparsi degli altri due?

Uno sguardo al router suggerisce che ciò influisce sul firewall . Quando trascorri gran parte del tuo tempo a proteggere le reti utilizzando Cisco / iptables, una risposta così descrittiva e limpida non è altro che irritante e non lascia indizi sull'effetto che ha su un firewall .

Per favore qualcuno può far luce.

router  nat  open 
Metalshark
fonte
Alcuni modelli \ sarebbero utili, la domanda sembra più rivolta al mercato dei superutente. Stai pensando di usarli per qualche scopo commerciale, sembra più probabile che si tratti di una domanda tipo superutente?
Helvick,
1
Mi dispiace, ma credo che questi termini siano più comunemente utilizzati da un sistema di gioco di consumo e non siano comunemente utilizzati dagli amministratori di sistema. Forse dovresti chiedere a Microsoft quale sia esattamente il significato nei termini ottusi. support.microsoft.com/kb/908880
Zoredache il
Un NetGEAR WNDR3700 in questo caso attuale, ma anche i Drayteks (usati da parecchi SoHo e uffici showroom) hanno la stessa opzione. Vorrei solo sapere cosa fanno tutte le opzioni, che molti hanno bisogno di indagare in caso di problemi. Questo in particolare sembra sempre più comune tra i modelli. Sebbene se è meglio chiederlo a SuperUser, ci proverò invece.
Metalshark,

Risposte:

31

È importante innanzitutto sapere come funziona Network Address Translation (NAT). Stabilisci una connessione a un server su Internet. In realtà invii pacchetti al tuo router, uscendo dal tuo computer su una porta scelta casualmente:

Your computer        Router
+------------+     +-----------+
|            |     |           |
| port 31746 o====>o           |
|            |     |           |
+------------+     +-----------+

Il router, a sua volta, stabilisce una connessione al server con cui si desidera parlare. Si dice che è la propria porta scelta casualmente:

                     Router            www.google.com
                   +-----------+     +----------------+
                   |           |     |                |
                   | port 21283o====>o port 80        |
                   |           |     |                |
                   +-----------+     +----------------+

Quando il webserver di google ti restituisce informazioni, in realtà le rimanda al tuo router (dal momento che il tuo router è effettivamente il tipo su Internet): 

                     Router            www.google.com
                   +-----------+     +----------------+
                   |           |     |                |
                   | port 21283o<====o port 80        |
                   |           |     |                |
                   +-----------+     +----------------+

Un pacchetto arriva al tuo router, sulla porta 21283da www.google.com. Cosa dovrebbe fare il router con esso?

In questo caso il router ha tenuto traccia di te e del traffico a cui ha inviato www.google.com:80dalla porta 21283per tuo conto. Quindi il router inoltrerà il pacchetto al tuo computer:

Your computer        Router
+------------+     +-----------+
|            |     |           |
| port 31746 o<====o           |
|            |     |           |
+------------+     +-----------+

Apri NAT

In NAT aperto , qualsiasi macchina su Internet può inviare traffico alla porta del tuo router 21283e il pacchetto ti verrà rispedito:

Your computer        Router            
+------------+     +-----------+     {www.google.com:80
|            |     |           |     {www.google.com:443
| port 31746 o<====o port 21283o<===={serverfault.com:80
|            |     |           |     {fbi.gov:32188
+------------+     +-----------+     {botnet.cn:11288

NAT chiuso

La nat chiusa è più restrittiva. Non consentirà nulla a meno che non provenga dall'indirizzo e dalla porta originali con cui si desidera parlare, ad esempio www.googleporta 80:

Your computer        Router            
+------------+     +-----------+     {www.google.com:80
|            |     |           |     | (rejected) www.google.com:443
| port 31746 o<====o port 21283o<====+ (rejected) serverfault.com:80
|            |     |           |       (rejected) fbi.gov:32188
+------------+     +-----------+       (rejected) botnet.cn:11288

NAT moderato

Il NAT moderato è un misto, in cui il tuo router accetterà qualsiasi traffico da qualsiasi porta , ma solo dallo stesso host :

Your computer        Router            
+------------+     +-----------+     
|            |     |           |     {www.google.com:80
| port 31746 o<====o port 21283o<===={www.google.com:443
|            |     |           |       (rejected) serverfault.com:80
+------------+     +-----------+       (rejected) fbi.gov:32188
                                       (rejected) botnet.cn:11288

Questo è un insieme di definizioni. L'altro è:

  • Apri: consente ai computer della LAN di utilizzare UPNP per aprire le porte
  • Moderato: alcuni port forward sono stati creati e funzionano
  • Chiuso: non esiste alcun port forwarding statico

Ma la terminologia è davvero nebulosa.

Guarda anche

Ian Boyd
fonte
1
Buona spiegazione Questo è solo un tipo di NAT e si chiama PAT (Port Address Translation)
J.Money il
"solo dallo stesso host" - solo dallo stesso host di cosa ?
BT,
@BT "solo dallo stesso host di cosa " - come l'host con cui stiamo parlando. (ad es. google.com)
Ian Boyd,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.