Was ist strenges, moderates und offenes NAT?

12

NAT-Optionen auf inländischen Routern werden häufig als streng konfiguriert . Was bedeutet das? Was machen Moderate oder Offene ? Port-Forwarding / DMZ-Zugriff funktioniert ordnungsgemäß und streng. Warum sollten Sie sich also um die beiden anderen kümmern?

Ein Blick durch den Router deutet darauf hin, dass dies Auswirkungen auf die Firewall hat . Wenn Sie einen großen Teil Ihrer Zeit damit verbringen, Netzwerke mit Cisco / iptables zu sichern, ist eine solche schlaffe, nicht beschreibende Antwort nichts anderes als ärgerlich und lässt keine Hinweise darauf, welche Auswirkungen dies auf eine Firewall hat.

Bitte kann jemand etwas Licht ins Dunkel bringen.

Metallhai
quelle
Einige Marken \ Modelle wären hilfreich, die Frage scheint eher auf den Superuser-Markt ausgerichtet zu sein. Planen Sie, diese für geschäftliche Zwecke zu verwenden, scheint eher eine Frage vom Typ Superuser zu sein?
Helvick
1
Es tut mir leid, aber ich glaube, dass diese Begriffe am häufigsten von einem Consumer-Gaming-System verwendet werden und von Systemadministratoren nicht häufig verwendet werden. Vielleicht sollten Sie Microsoft fragen, was genau das bedeutet. support.microsoft.com/kb/908880
Zoredache
Ein NetGEAR WNDR3700 in diesem aktuellen Fall, aber auch die Drayteks (die von einigen SoHo- und Showroom-Büros verwendet werden) haben die gleiche Option. Ich möchte nur wissen, was jede Option, die viele bei Problemen untersuchen müssen, bewirkt. Insbesondere dieser scheint bei allen Modellen immer häufiger vorzukommen. Wenn es bei SuperUser besser gefragt wird, versuche ich es stattdessen dort.
Metalshark

Antworten:

31

Es ist wichtig, zuerst zu wissen, wie Network Address Translation (NAT) funktioniert. Sie stellen eine Verbindung zu einem Server im Internet her. In Wirklichkeit senden Sie Pakete an Ihren Router und gehen von Ihrem Computer an einem zufällig ausgewählten Port aus:

Your computer        Router
+------------+     +-----------+
|            |     |           |
| port 31746 o====>o           |
|            |     |           |
+------------+     +-----------+

Ihr Router stellt wiederum eine Verbindung zu dem Server her, mit dem Sie sprechen möchten. Es spricht seinen eigenen zufällig ausgewählten Port aus:

                     Router            www.google.com
                   +-----------+     +----------------+
                   |           |     |                |
                   | port 21283o====>o port 80        |
                   |           |     |                |
                   +-----------+     +----------------+

Wenn der Webserver von Google Ihnen Informationen zurücksendet, sendet er diese tatsächlich an Ihren Router zurück (da Ihr Router der Typ ist, der tatsächlich im Internet ist):

                     Router            www.google.com
                   +-----------+     +----------------+
                   |           |     |                |
                   | port 21283o<====o port 80        |
                   |           |     |                |
                   +-----------+     +----------------+

Ein Paket kommt an Ihrem Router am Port 21283von an www.google.com. Was soll der Router damit machen?

In diesem Fall hat der Router Aufzeichnungen über Sie und den Datenverkehr geführt, an den er in Ihrem Namen www.google.com:80vom Port gesendet wurde 21283. Der Router leitet das Paket also an Ihren Computer weiter:

Your computer        Router
+------------+     +-----------+
|            |     |           |
| port 31746 o<====o           |
|            |     |           |
+------------+     +-----------+

Öffnen Sie NAT

In Open NAT kann jeder Computer im Internet Datenverkehr an den Port Ihres Routers senden 21283, und das Paket wird an Sie zurückgesendet:

Your computer        Router            
+------------+     +-----------+     {www.google.com:80
|            |     |           |     {www.google.com:443
| port 31746 o<====o port 21283o<===={serverfault.com:80
|            |     |           |     {fbi.gov:32188
+------------+     +-----------+     {botnet.cn:11288

Geschlossenes NAT

Closed Nat ist restriktiver. Es wird nichts zugelassen, es sei denn, es stammt von der ursprünglichen Adresse und dem Port, mit dem Sie sprechen wollten, dh www.googlePort 80:

Your computer        Router            
+------------+     +-----------+     {www.google.com:80
|            |     |           |     | (rejected) www.google.com:443
| port 31746 o<====o port 21283o<====+ (rejected) serverfault.com:80
|            |     |           |       (rejected) fbi.gov:32188
+------------+     +-----------+       (rejected) botnet.cn:11288

Moderates NAT

Moderates NAT ist eine Mischung, bei der Ihr Router Datenverkehr von jedem Port akzeptiert , jedoch nur vom selben Host :

Your computer        Router            
+------------+     +-----------+     
|            |     |           |     {www.google.com:80
| port 31746 o<====o port 21283o<===={www.google.com:443
|            |     |           |       (rejected) serverfault.com:80
+------------+     +-----------+       (rejected) fbi.gov:32188
                                       (rejected) botnet.cn:11288

Das ist eine Reihe von Definitionen. Der Andere ist:

  • Öffnen: Ermöglicht Computern im LAN, UPNP zum Öffnen von Ports zu verwenden
  • Moderat: Einige Port Forwards wurden erstellt und funktionieren
  • Geschlossen: Es ist keine statische Portweiterleitung vorhanden

Aber die Terminologie ist wirklich nebulös.

Siehe auch

Ian Boyd
quelle
1
Gute Erklärung. Das ist nur eine Art von NAT und heißt PAT (Port Address Translation)
J.Money
"nur vom selben Host" - nur vom selben Host wie was ?
BT
@BT "nur vom selben Host wie was " - als der Host, mit dem wir sprechen. (zB google.com)
Ian Boyd