Настройка трансляции сетевых адресов (NAT) в ОС Linux

31кс-17: Бойко марго
Предмет: программное обеспечение компьютерных сетей
Преподаватель: бабаева назият агабековна

Москва, 2019

это механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса транзитных пакетов.

соединение, инициируемое парой «внутренний адрес: внутренний порт» преобразуется в свободную

уникальную случайно выбранную пару «публичный адрес: публичный порт». При этом инициация соединения из публичной сети невозможна.

между парами «внутренний адрес: внутренний порт» и «публичный адрес: публичный

порт». Любой внешний хост может инициировать соединение с внутренним хостом (если это разрешено в правилах межсетевого экрана).

между парой «внутренний адрес: внутренний порт» и «публичный адрес: публичный

порт». Любое соединение, инициированное с внутреннего адреса, позволяет в дальнейшем получать ему пакеты с любого порта того публичного хоста, к которому он отправлял пакет(ы) ранее.

внутренний порт» и «публичный адрес: публичный порт», при которой входящие

пакеты проходят на внутренний хост только с одного порта публичного хоста — того, на который внутренний хост уже посылал пакет.

режиме PAT), транслируя несколько внутренних IP-адресов в один внешний публичный

IP-адрес (или в несколько, но меньшим количеством, чем внутренних). По такому принципу построено большинство сетей в мире: на небольшой район домашней сети местного провайдера или на офис выделяется 1 публичный (внешний) IP-адрес, за которым работают и получают доступ интерфейсы с приватными (внутренними) IP-адресами.
Позволяет предотвратить или ограничить обращение снаружи ко внутренним хостам, оставляя возможность обращения изнутри наружу. При инициации соединения изнутри сети создаётся трансляция. Ответные пакеты, поступающие снаружи, соответствуют созданной трансляции и поэтому пропускаются. Если для пакетов, поступающих снаружи, соответствующей трансляции не существует (а она может быть созданной при инициации соединения или статической), они не пропускаются.
Позволяет скрыть определённые внутренние сервисы внутренних хостов/серверов. По сути, выполняется та же указанная выше трансляция на определённый порт, но возможно подменить внутренний порт официально зарегистрированной службы (например, 80-й порт TCP (HTTP-сервер) на внешний 54055-й). Тем самым, снаружи, на внешнем IP-адресе после трансляции адресов на сайт (или форум) для осведомлённых посетителей можно будет попасть по адресу http://example.org:54055, но на внутреннем сервере, находящемся за NAT, он будет работать на обычном 80-м порту. Повышение безопасности и сокрытие «непубличных» ресурсов.

gateway
Преобразует служебные заголовки, формирует идентичный IP-пакет
Публикация локальных ресурсов во внешней

IP-сети
Экономическая выгода вследствие приобретения единственного IP-подключения, а не IP-сети.
Сокрытие от внешнего наблюдателя структуры внутренней IP-сети.
Организация системы с распределенной нагрузкой.
При общем доступе через NAT прозрачно открывается доступ к внутренней структуре с защитой без использования межсетевого экрана и т. п.
Через NAT корректно работают многие сетевые протоколы. Конструктивные реализации (общий доступ — это и есть подключение NAT) есть аппаратная реализация NAT (интегрированы межсетевые экраны).

может быть использован во многих компаниях и организациях, так как

данная система позволяет не только уменьшить используемое адресное пространство, выделенное для компаний, но и увеличить защищенность сети за счет функционирования данной системы как межсетевого экрана.