Network Address Translation

Network Address Translation eller NAT anvendes i to udgaver:

  • Port Address Translation, PAT, SUA, Source Network Address Translation eller ip-masquerade (kort source NAT eller SNAT). Det er den mest almindeligt anvendte NAT udgave i dag (2004).
  • Destination Network Address Translation (kort Destination NAT eller DNAT).

Source NAT "almindelig NAT" redigér

SNAT, PAT, SUA anvendes i noget netudstyr som f.eks.: trådløs basestation, routere, firewalls og lag 7 MLS.

Når flere computere skal kunne gå på internettet samtidigt via en internetforbindelse, anvendes tit SNAT. Dette opnås ved, at en eller flere private IP-adresser oversættes til en eller nogle få offentlige IP-adresser.

Fordelen ved Source NAT er at mange computere kan deles om en officel ip-adresse. Det er nødvendigt da der er mangel på officielle IPv4 ip-adresser (antal: 232=4.294.967.296). Fra ca. år 2000 og indtil vi går over til IPv6, har jorden mangel på ip-adresser. Kina anvender i dag 2004 IPv6 og i resten af verden kører IPv6 i test.

SNAT protokolunderstøttelse (eng. Application Support) redigér

Mange SNAT implementeringer kan ikke NATte andet end rå (alle kun initieret indefra:) TCP, passiv FTP, ICMP, UDP.

Mere avancerede protokoller, især multimedia, som f.eks. RTSP (med RTP/UDP), IPsec (VPN), Real Audio, Windows Media, H.323, SIP, Quake understøttes ikke.

Man kan bygge bro mellem internettets ip-adresser og de private ip-adresser via en proxyserver. Men det er en lappeløsning. En evt. firewall med SNAT bør understøtte de protokoller man har brug for.

En sidste løsningsmodel, for at få avancerede ikke-NAT-understøttede protokoller igennem, er at mappe en ekstra officiel ip-adresse til en intranet privat ip-adresse (1 til 1 NAT) – og åbne for de tcp/udp-porte der skal anvendes fra internettet. Sikkerhedsmæssigt er dette ikke så smart, men den kan anvendes.

Destination NAT (DNAT) redigér

DNAT understøttes af nogle få stykker netudstyr, der normalt anvendes til at lave load balancing for flere servere (se MLS).

Eksterne henvisninger redigér

NAT protokolunderstøttelsesinformation redigér

Klientinformation redigér

Netudstyrsinformation redigér

Firewall med NAT og god protokolunderstøttelse redigér

  • Freeware, open source: Linux firewall-program: netfilter/iptables project homepage. The netfilter/iptables project. Kernet 2.6 iptables er en firewall med udvidelig NAT protokolunderstøttelse.
    • Application Layer Packet Classifier for Linux Citat: "...This is a classifier for the Linux kernel's Netfilter subsystem that identifies packets based on application layer data (OSI layer 7). This means that it can classify packets as HTTP, FTP, Gnucleus, eDonkey2000, etc, regardless of port. Our classifier complements existing ones that match on route, port numbers and so on..."