Трансляція мережевих адрес (NAT) 1
Чому NAT? Internet Corporation for Assigned Names and Numbers (ICANN) , що координує географічні зони: - ARIN – Америка, - RIPE – Європа, - APNIC – Азія і Тихоокеанський регіон. Регіональні відділи розподіляють адреси між крупними провайдерами, які надають ІР-адреси клієнтам. Якщо не вистачає глобальних ІР-адреси – використовують NAT. Приватні адреси (RFC 1918): 10. 0 - 10. 255 172. 16. 0. 0 - 172. 31. 255 192. 168. 0. 0 - 192. 168. 255 Причини використання NAT: 1. Дефіцит ІР-адрес 2. Скрити структуру мережі 3. Скрити структуру та інтенсивність трафіку 2
Статичний NAT 3
Dynamic NAT with overload (PAT) {внутрішня приватна адреса; номер порту TCP/IP відправника} {глобальна IP-адреса зовнішнього -->> інтерфейсу; призначений номер порту TCP/IP} 4
Динамічний NAT 5
Реалізація NAT в ОС Free. BSD Демон natd У файлі конфігурації ядра мають бути присутніми наступні параметри: options IPFIREWALL options IPDIVERT Додатково, якщо це потрібно, можна додати в ядро: options IPFIREWALL_DEFAULT_TO_ACCEPT options IPFIREWALL_VERBOSE 6
Зміни файлу /etc/rc. conf gateway_enable="YES" firewall_type="OPEN" natd_enable="YES" natd_interface="fxp 0" natd_flags="" або natd_flags="-f /etc/natd. conf" 7
Файл /etc/natd. conf Клієнт A: IP-адреса 192. 168. 0. 2 Клієнт B: IP-адреса 192. 168. 0. 3 Для клієнтів А, В маршрутизатор за умовчанням 192. 168. 0. 1 redirect_port tcp 192. 168. 0. 2: 6667 redirect_port tcp 192. 168. 0. 3: 80 80 8
Перенаправлення портів Клієнт А – IRC-сервер (порт 6667). Клієнт В – Web-сервер (порт 80). Зєднання, що приймаються, мають перенаправлятися на ці хости. -redirect_port proto target. IP: target. PORT[-target. PORT] [alias. IP: ]alias. PORT[-alias. PORT] [remote. IP[: remote. PORT[-remote. PORT]]] Якщо: клієнт A: IP-адреса 192. 168. 0. 2 клієнт B: IP-адреса 192. 168. 0. 3 -redirect_port tcp 192. 168. 0. 2: 6667 -redirect_port tcp 192. 168. 0. 3: 80 80 -redirect_port tcp 192. 168. 0. 2: 2000 -3000 (перенаправлятиме всі з'єднання, що приймаються на портах від 2000 до 3000, на порти від 2000 до 3000 клієнта A) 9
Перенаправлення адреси (статичний NAT) Router з natd має такі зовнішні ІР: 128. 1. 1. 1 (ІР-адреса інтерфейса роутера), 128. 1. 1. 2 (для клієнта А з ІР 192. 168. 0. 2), 128. 1. 1. 3 (для клієнта В з ІР 192. 168. 0. 3) redirect_address local. IP public. IP -redirect_address 192. 168. 0. 2 128. 1. 1. 2 -redirect_address 192. 168. 0. 3 128. 1. 1. 3 10
ipfw NAT (ядерний NAT) Параметри конфігурації ipfw nat: ip ip_address if nic log same_ports unreg_only reset reverse proxy_only redirect_addr local. IP public. IP redirect_addr 10. 0. 0. 8 0. 0 redirect_addr 192. 168. 0. 2 public_addr redirect_addr 192. 168. 0. 3 public_addr redirect_addr 192. 168. 0. 4 public_addr redirect_addr local. IP[, . . . ]] public. IP 11
![ipfw NAT (ядерний NAT) продовження redirect_port proto target. IP: target. PORT[-target. PORT] [alias. IP:](https://present5.com/presentation/35487711_365592338/image-12.jpg "ipfw NAT (ядерний NAT) продовження redirect_port proto target. IP: target. PORT[-target. PORT] [alias. IP:")
ipfw NAT (ядерний NAT) продовження redirect_port proto target. IP: target. PORT[-target. PORT] [alias. IP: ]alias. PORT[-alias. PORT] [remote. IP[: remote. PORT[-remote. PORT]]] redirect_port tcp inside 1: telnet 6666 redirect_port tcp inside 2: 2300 -2399 3300 -3399 redirect_proto local. IP [public. IP [remote. IP]] options IPFIREWALL_NAT options LIBALIAS або у /etc/rc. conf firewall_nat_enable="YES" dummynet_enable="YES" 12