Рассмотрим типовой вариант - внутренняя сеть подключена через сервер доступа к Интернет и использует один внешний "белый" IP-адрес (см. вариант применения в разделе "Офисная сеть ").
Задача обеспечения доступа в Интернет из внутренней сети решается, как правило, с помощью NAT или прокси-сервера. Каждый подход имеет свои достоинства и недостатки.
Принцип работы NAT - это простая трансляция IP-адресов и портов в пакетах при прохождении через сервер. Для доступа через NAT не требуется никакая настройка клиентских программ - служба прозрачно транслирует все исходящие запросы наружу. Также этот подход отличает максимальная производительность и не требовательность к ресурсам сервера. Но NAT не позволяет приложению открывать входящие соединения. Это накладывает ограничения на некоторые протоколы, например IRC.
Traffic Inspector использует службу NAT Windows. Это называется ICS (Internet Connection Sharing) или RRAS (Routing and Remote Access Server) для серверных версий системы.
NAT может работать в режиме трансляции портов и адресов. Если используется один внешний адрес, то применяется трансляция портов. Но у провайдера можно дополнительно получить группу адресов и тогда через NAT какой-то внешний адрес может быть назначен на внутренний. Это удобно для случая, когда внутри сети находятся какие-то сервера и требуется прозрачная трансляция портов без их замены. Но всегда имеется возможность публикации наружу внутренних серверов даже на единственный внешний адрес.
В чистом виде NAT от Windows используется мало, так как там практически отсутствует возможность разграничения доступа и контроля трафика.
Прокси-сервер работает на уровне протоколов приложений и требует соответствующей поддержки со стороны клиентских программ и их настройки. Через него можно работать по протоколам HTTP или FTP. Также имеется специальный протокол прокси-серверов SOCKS, через который может работать любое приложение, использующее TCP. Через SOCKS можно открывать как исходящие, так и входящие соединения, так что тут снимаются проблемы NAT. Единственное ограничение - это необходимость поддержки SOCKS со стороны клиентских программ.
При работе с HTTP для экономии трафика прокси-сервера используют кэширование (временное сохранение) закачанных объектов, которые могут использоваться при повторных запросах. Использование кэширования может увеличить скорость доступа при загруженной сети Интернет.
Также с помощью прокси-сервера можно реализовать фильтрацию на уровне приложения - например, запретить доступ к какому-то конкретному ресурсу на сервере или сделать разграничение по контенту данных.
В составе Traffic Inspector имеется полнофункциональный HTTP/FTP/SOCKS прокси-сервер. Реализована гибкая фильтрация, имеется кэширование и возможность ограничения скорости работы. По функциональным возможностям он ничуть не уступает другим прокси-серверам. При работе через HTTP доступна работа с методом CONNECT, что позволяет работать с SSL, а также с помощью этого метода возможна работа с FTP, электронной почтой и другими приложениями, которые это поддерживают. Также имеется возможность работать с FTP через HTTP - при этом клиент использует HTTP (обычный браузер), получая данные с FTP-сервера в виде страниц.
Есть еще одна возможность работать с Интернет из внутренней сети - это получить у провайдера IP-подсеть, сконфигурировать сервер доступа как роутер и раздать клиентам "белые" адреса. Traffic Inspector в таком варианте также сможет работать. Но этот подход мало пригоден прежде всего из-за проблем с безопасностью. Но маршрутизация сети может потребоваться при организации DMZ (т.н. "демилитаризованной зоны") для размещения публичных серверов (см. вариант применения в разделе "
/05.07.2004 20:43/Последние годы среди российских сетевых администраторов стихийно возрастает мода на FireWall и NAT . Моё отношение к этим технологиям пользователи Eserv знают еще с середины 90х годов, но иногда такие вопросы о FireWall / NAT задаются новичками, и приходится повторяться. Поэтому около года назад я написал отдельную статью о FireWall , а сегодня настала очередь NAT.
Оглавление документа
Простейшее решение этой задачи - подмена обратного адреса на границе сетей - лежало на поверхности и не замедлило опубликоваться: в мае 1994 г., т.е. через два месяца после "раздела сетей" предложили спецификацию NAT: http://www.ietf.org/rfc/rfc1631.txt The Network Address Translator (NAT) May 1994 Авторы анонсировали это как "short-term solution", т.е. временное решение указанной проблемы, эдакий "хак", пока не получат распространение нормальные решения. Но, как известно, ничего не бывает столь постояным, как временное IPv6 вопреки ожиданиям быстро не прижился, и все прошедшие 10 лет мы были свидетелями все новых и новых боев на границах ЛС и интернета. NAT получил распространение, т.к. никакого другого приемлемого решения этой проблемы в те годы не было: FTP-клиенты и HTTP-клиенты (браузеры) не успели адаптироваться под под измененную картину мира, не могли работать из ЛС с внешними ресурсами, поэтому чтобы сделать для них границу прозрачной, их просто программно "обманывали" с помощью NAT - все IP-пакеты, адресованные из ЛС наружу, подвергались простейшей обработке на границе: замене обратного IP-адреса на реальный адрес "пограничного" компьютера, и обратной замене во входящих пакетах. Кроме того обычно заменялся и номер порта ЛС-источника, т.к. с разных машин в ЛС пакеты могут исходить с одними и теми же номерами портов. Т.е. транслируются не только IP-адреса, но и номера портов (иногда порт-трансляторы называют отдельной аббревиатурой PAT). В условной классификации NAT подразделяют на "статические, динамические и маскарадинг (masquerading)", но на практике применяется в основном третий тип, он позволяет через один реальный адрес обслуживать тысячи соединений из ЛС (в идеале), трансляция портов при этом используется всегда. На NAT-компьютере или роутере+NAT выделяется диапазон портов, используемых для трансляции, например с номерами больше 60000 (чтобы быстрее отличать эти порты от выделенных под собственные нужды этого компьютера) и динамическая таблица текущих сессий/отображений адресов. Каждый проходящий пакет сверяется с этой таблицей по и порту и производятся соответствующие подстановки. Технология настолько проста, что сейчас уже все реже можно встретить роутер или кабельный модем без встроенного NAT (и FireWall , столь же примитивного как NAT), причем NAT уже можно обнаружить даже в hub"ах c ценами от $40. Не говоря уж о "бесплатном" NAT, входящем в состав нескольких последних версий Windows под именем "connection sharing " и "совместное использование соединения ". Именно доступность, простота понимания/использования и нетребовательность к клиентскому софту, сделали NAT заслуженно популярным.
Поэтому "проблему NAT" в FTP-протоколе приходится обходить особым образом в FTP-клиентах или в еще одном промежуточном специализированном FTP-прокси. В FTP-клиенте для этого нужно переключиться в т.н. "пассивный режим" - использовать вместо команды PORT команду PASV. PASV просит FTP-сервер открыть дополнительный порт у себя и сообщить клиенту его :порт. Клиент после этого соединяется с указанным (NAT его еще раз обманывает-транслирует) и сессия удается. Кроме необходимости поддержки PASV-режима в FTP-клиенте (в стандартном ftp.exe её нет), при этом требуются и некоторые усилия со стороны администратора FTP-сервера - особенно если он тоже частично загорожен Firewall"ами и NAT"ами (как разработчик FTP-сервера для Eserv знаю эти проблемы не по наслышке). В общем, здесь NAT не помогает соединяться, а мешает.
Теперь о реконструкции протокола внутри NAT для "прозрачного" для клиента обхода проблемы. Те немногие NAT, которые это умеют (хотя на практике тоже скорее декларируют, чем умеют , фактически поднимаются на один сетевой уровень вверх - вместо простейшего форварда пакетов с трансляцией адресов в заголовке они начинают заниматься тем же, чем занимается TCP-стек - сборкой TCP-потока из пакетов. Таким образом они превращаются из переразвитого роутера в недоразвитый прикладной TCP-прокси. В данном случае в FTP-прокси или в FTP-гейт. Недоразвитый потому, что клиент не знает об этом прокси, а NAT в свою очередь продолжает угадывать протокол и заниматься задачей, которая неудобна для решения на его уровне (уровне IP-пакетов).
Намного проще эта задача решается, если вместо NAT или в дополнение к нему сразу использовать специализированный прокси (FTP gate) или универсальные TCP-прокси типа Socks или в крайнем случее httpS (этот крайний случай тем не менее сработает лучше чем NAT). Они изначально работают на TCP-уровне и не обманывают FTP-клиента, а сотрудничают с ним. Отпадают сразу три слоя проблем: FTP-клиент может использовать любой режим - активный или пассивный (в httpS только пассивный, как и в NAT), нет нужды угадывания протокола и двойной сборки TCP . Кроме того, у админа появляется больше возможностей влиять на процесс (об этом позже).
Если клиентская программа не умеет работать через спец-прокси (таких практически не осталось, но будем говорить о худших случаях), то при использовании Socks-прокси работу клиента также можно сделать прозрачной с помощью программ SocksCapture или отечественной FreeCap . Прозрачность границы - это всегда обман, но SocksCapture или FreeCap перехватывают не IP-пакеты, а обращения программы к ОС, поэтому они всегда точно знают, а не вычисляют по потоку пакетов, какое именно действие хочет совершить программа, и соответственно перенаправляют эти действия через Socks-прокси.
Socks преодолел все ограничения NAT, плюс добавил как минимум три удобных средства, позволяющих не только "проксировать" практически любой TCP и UDP протокол, но и улучшить контроль над использованием интернета из ЛС:
То же самое с любым другим прикладным протоколом, для которого существуют специализированные прокси - они всегда на порядок более управляемые, чем универсальные низкоуровневые. Например, многие POP3-прокси позволяют фильтровать спам, например PopFile (хотя намного более правильно фильтровать спам не на прокси, а на SMTP-сервере). Socks и NAT для этого потребовались бы особые умения по вниканию в передаваемый протокол, т.е. фактически "эмуляция" POP3-прокси не слишком удобными для этого средствами.
Поэтому использование Socks или NAT для работы с теми протоколами, для которых существуют специализированные прокси (HTTP, HTTPS, FTP, SMTP, POP3, IMAP) или общепринятая архитектура промежуточных серверов (SMTP, POP3, IMAP, DNS) можно считать вынужденным неоптимальным решением. Вынужденным - либо от невозможности использования нужного типа прокси по организационным причинам (некуда поставить нужный вид прокси, или тип подключения не предусматривает наличия ни одного реального IP-адреса, как в случае с интернетом через GPRS или вариантов домовых сетей - в этих случаях NAT или "принудительный HTTP-прокси" уже стоят на стороне провайдера), либо от недостаточной информированности ответственных лиц, в т.ч. админов. Финансовые ограничения не принимаю во внимание, т.к. существует масса вариантов бесплатных или очень дешевых прокси для всех этих протоколов.
В некоторых случаях использование Socks5 вполне оправдано - например, для ICQ и других месенжеров. Для этих протоколов спец-прокси просто не разрабатываются, т.к. они почти незаметны на общем фоне использования сети. При отсутствии в ЛС почтового сервера или pop3/smtp-прокси следующим кандидатом будет также Socks5, хотя его поддержка есть не во всех почтовых клиентах, а в некоторых имеет неочевидные особенности (см. Mozilla ThunderBird).
При переборе вариантов NAT будет "последней инстанцией" - на случай, если не нашлось ничего лучше, или если NAT поставлен провайдером изначально - в кабельном модеме, маршрутизаторе, мобильном подключении (в эти железки ставится именно NAT, а не спец-прокси для популярных протоколов, благодаря предельной простоте его базовой реализации: исходник аналогичного по устройству NAT UDPMAP plugin в Eproxy имеет размер всего 4Кб). Часть протоколов работать не будет, управлять работой будет сложно. Но в таких предельных случаях лучше хоть как-то работать, чем вообще не работать
Вот такое развернутое пояснение к известной моей позиции последних 8 лет - "в Eserv никогда не будет NAT" В подавляющем большинстве случаев NAT либо вам не нужен, либо он у вас уже есть в качестве наказания за выбор провайдера А для ознакомления с NAT можно использовать встроенный в Windows connection sharing, он работает именно как NAT.
См. также "костыль" для NAT на сайте Microsoft: NAT traversal - преодоление NAT путем адаптации приложений , конфигурация NAT/Firewall через UPnP . Если словосочетание NAT traversal вы слышите впервые, то это потому что разработчики предпочитают Socks5 вместо костылей к патчам, и эта инициатива не получила "поддержки кодом". Но статья хороша своими картинками (в отличие от моей и еще одним независимым описанием проблем NAT.
В Windows XP NAT/ICS включается в свойствах интернет-соединения.
Если выдается сообщение "Не удается разрешить общий доступ. Ошибка: 1722: Сервер RPC недоступен." ("Cannot enable shared access. Error: 1722: The RPC server is not available."), то скорее всего у вас остановлен или запрещен сервис DHCP-клиент, нужно его запустить до включения ICS.
Цитата Если сравнивать работу через NAT с реальным , то пока проблемы с NAT у меня были только с голосом, видео и передачей файлов в программах типа MSN Messenger. Возможно в каких-то реализациях NAT"а есть также проблемы с активным ftp, соединением с внешними VPN-серверами и т.п., но при работе через NAT в Linux"е (при соответсвующих настройках) с этим проблем нет. Преимущество NAT в данном случае в экономии IP-адресов и файрволе.
Если сравнивать NAT с прокси (как способ выхода в Интернет, т.е. перенаправление запросов, не рассматривая функции кэширования, анализа URL и т.п.), то через NAT работает больше приложений и протоколов (все ); для NAT не требуется специальных настроек со стороны пользователя; прокси более требователен к оборудованию. Прокси обычно не обеспечивают функциональности Destination NAT (DNAT), хотя в Есерве у тебя частичного подобия DNAT можно добиться с помощью tcp/udp-маппинга. Конец цитаты.
Эта цитата показывает, что у провайдеров тоже требования сильно отличаются от админов на предприятиях.
BackLinks |
---|
Articles |
FireWall |
MxServer |
NCSI |
WhatIsProxyServer |
0
В некоторых системах обмена сообщениями два клиента обмена сообщениями отправляют/принимают пакеты непосредственно друг от друга в чате или голосовом вызове. Я думаю, что основной механизм (например, TCP): эти клиентские программы открывают прослушивающий TCP-сокет и сообщают серверу обмена сообщениями/координирующей их IP/PORT пару. Затем клиентские программы извлекают IP/PORT другой стороны из сервера обмена сообщениями/координации. И один из них (допустим, A) затем инициирует TCP с другим (скажем B) с полученной парой IP/PORT B.
Когда пассивный клиент B (который ожидает пакет TCP SYN) не за NAT или прокси, это прекрасно. Но если B находится за NAT или прокси-сервером, то пара IP/PORT фактически является общедоступным сетевым интерфейсом NAT или прокси.
Итак, мой вопрос: когда NAT или прокси получает TCP SYN, какова его реакция? Как они передают TCP SYN в соответствующий хост/процесс за ним?
Сортировка:
Активность
0
Я сомневаюсь, что ваше первоначальное предположение верно. Скорее всего, они оба открывают активные подключения к серверу, а сервер маршрутизирует данные между ними. Это намного проще, и проблемы, которые вы описываете, исчезают.
0
Этот вопрос был явно спросил давно, но до сих пор...
чат и голосовые/видео вызов, как правило, обрабатываются совершенно по-разному. В случае чата вы, вероятно, будете использовать протокол XMPP, где оба конца будут подключаться к серверу и обмениваться данными через него. XMPP находится на TCP на уровне 4, поскольку надежность в этом случае выше приоритета, чем латентность. Поскольку клиенты - это те, которые открывают и поддерживают соединение, в этом случае у вас не будет проблем с NAT.
Сигнал обычно проходит через TCP с использованием протоколов более высокого уровня, таких как SIP (Session Initiation Protocol). Это сообщение будет проходить через сервер. Средства массовой информации проходят через UDP с использованием протоколов более высокого уровня, таких как RTP (протокол передачи в реальном времени), и эта часть обмена сообщениями, как правило, проходит одноранговое соединение. Один порт UDP может использоваться как для передачи, так и для приема трафика для одного голосового/видеоканала. Кроме того, вы, вероятно, захотите получить информацию о качестве звонка во время вызова, чтобы вы могли, например, уменьшите используемую полосу пропускания, чтобы избежать/уменьшить потерю пакета. Для этой цели вы должны использовать протокол RTCP (протокол управления транспортным средством в реальном времени). В этом случае обход NAT имеет решающее значение! Поскольку ни один из клиентов не знает свои общедоступные IP-адреса, вам нужен сервер в вашей внутренней сети (в общедоступном Интернете), который мог бы сказать «как вы видите снаружи», то есть за NAT. В частности. Мир WebRTC этот сервер знает ICE. После того, как партнер узнает, как это видно из Интернета, он будет размещать эту информацию внутри части SDP сигнального сообщения, чтобы другой конец мог дойти до нее через Интернет. Имейте в виду, что маршрутизатор, который выполняет NAT, может также потребовать некоторые дополнительные настройки для отслеживания используемых портов UDP для голоса и видео (для NAT-back трафика из Интернета вам).
Наконец, в этих случаях используются другие решения, но это зависит от вашей настройки. Если вы пишете программное обеспечение для конечного пользователя, тогда будут применяться предыдущие объяснения.Однако, если вы пишете программное обеспечение для корпоративного рынка, такие решения, как дополнительный сервер (известный как EDGE) на границе вашей корпоративной сети, будут распространенным подходом.
Я могу написать об этом часами, но этого должно быть достаточно для начала... :)
Давай попробуем на примере UserGate, хотя у меня его нет под рукой, буду по памяти, так что извини, если какие детали упущу из виду.
Назначаешь пользователя в UserGate - допустим: Вася. Указываешь способ авторизации: допустим: по IP адресу, прописываешь - 192.168.0.66, дополнительно можно в авторизации указать что бы учитывал и МАС адрес для пущей безопасности, ну что бы этих Васей не наплодилось... Если Вася будет только лазать по страничкам и еще, может быть, что то скачивать то достаточно ему HTTP и FTP прокси и NAT можно не включать (это относится только к UG о котором мы тут и говорим), естественно у Васи в броузере должно быть прописано: галочка - использовать прокси и адрес прокси: 192.168.0.55 и порт 8080 (ну или тот, что ты указал в настройках своего UG) для HTTP и допустим 21 порт для FTP. Все Вася подсоединен. Но возможно Вася захочет еще отправлять и получать почту с, например, mail.ru... идем на вкладочку NAT, ставим галочку - использовать, где - то, на других вкладках настройки снимаем галочку что бы активировать POP и SMTP, т.к., по - умолчанию, они отключены, соответствующие пункты станут активными, далее: идем в настройку Васиной учетной записи и в табличке что ему разрешено ставим галочки на POP и SMTP. Мы включили NAT для Васи по протоколам POP и SMTP. Если этот пресловутый Вася будет настраивать свою почтовую программу, то укажет обычные настройки для получения почты с mail.ru и будет спокойно получать свою почту, как если бы он был подключен к Интернету напрямую. Если нужно разрешить какие другие протоколы, то придется прописать их вручную. Без использования NAT придется для тех же целей организовывать почтовый шлюз и в Васином почтовом клиенте прописывать путь до шлюза и настраивать сам шлюз, либо организовывать portmapping (перенаправление), вот видишь а ты говорил, что NAT - бяка, а он тебя избавляет от лишней беготни и разных мудренных настроек. Будем считать, что предварительно с первой задачей разобрались. Где конкретно находится та или иная настройка смотри сам, повторяю, что у меня UserGate перед глазами нету.
Вторая задача наоборот - предоставить другому пользователю дозваивающемуся ко мне по модему (входящее подключение) доступ к моему инету по локалке. В этом случае при соединении по модемам я получаю ip 192.168.5.1, дозванивающемуся даю 192.168.5.2 (наша маска 255.255.255.0).
Создаем еще одного пользователя: пусть будет Миша. Авторизация по логину и паролю, т.к. IP будет все время разный.
В дополнительных настройках UG указываем - использовать родительский прокси: и забиваем туда адрес прокси вашей локальной сети, если он используется, конечно. А, вообще, в этом случае надо смотреть на месте.
Я рядовой клиент локалки (ip 192.168.0.55 mask 255.255.255.0). Имею два канала выхода в инет: один по нашей локалке, другой по модему (dial-up). При выходе по модему я получаю внешний ip 84.53.206.121 (например).
Моя первая задача - предоставить доступ к dial-up инету такому же клиенту в локальной сети как и я (его ip 192.168.0.66 mask 255.255.255.0).
Моё же мнение: то, что вы творите - форменное безобразие, т.к. вы ковыряете дырки в сети и нарушаете режим безопасности, не обладая достаточными знаниями, а ваш админ, просто, разгильдяй и бывший студент троечник, если позволяет такое вытворять в сети рядовым юзерам. Вам надо дать по рукам, а админа уволить. У нормального админа у вас даже не было бы прав что то ставить на машину без его ведома, тем более прокси и NAT.
есть такое понятие, как DHCP сервер, клиент автоматом ищет доступный сервер и получает IP, а NAT транслирует определенные указанные ему локальные адреса, к тому же есть такое понятие, как привязка по MAC - адресу.А если NAT все равно на какой ip ставить, а на клиенте не надо делать настроек и указывать где же NAT стоит...
скорее всего к тому, который найдет первым... или, который указан явным образом...вот в том то и беда, если каждый может установить, что угодно и где угодно, таким образом можно, вообще, все запутать и вывести сеть из строя, это можно охарактеризовать одним словом - БАРДАК , у сети должен быть один хозяин, который осуществляет политику этой сети. А остальное популистские сказки, вроде большевистской: каждая кухарка может управлять государством. Несмотря на то, что я ответил в этой теме, мое отношение крайне негативное ко всему этому, и не надо злоупотреблять мягкотелостью или неопытностью вашего админа. А если уж берешься за подобную модернизацию вашей сети, то, как минимум, должен четко представлять что ты делаешь, как, зачем и к каким последствиям это может привести. Не обижайся, тут ничего личного. Но представь ситуацию, когда в автобусе каждое пассажирское место оснащено рулем и педалями управления, я бы не хотел оказаться в этом автобусе.то к какому же компу будет обращаться клиент, если допустим в сети NAT стоит на двух машинах?? (Любой же может поставить у себя тот же UserGate или WinGate c NAT)