web-dev-qa-db-fra.com

Qu'est-ce qui est strict, modéré et ouvert Nat?

Les options NAT sur les routeurs domestiques sont souvent configurées comme strict. Qu'est-ce que ça veut dire? Qu'est-ce que -modéré ou OUVERT DO? Le transfert de port/l'accès DMZ fonctionne correctement sur strict Alors pourquoi la peine avec les deux autres?

Un look à travers le routeur suggère que cela affecte le pare-fe. Lorsque vous passez une grande quantité de votre temps de sécurisation de votre temps à l'aide de la réponse non descriptive de Cisco/IPTABLES, il n'ya rien d'autre que d'effacement et ne laisse aucune indices quant à l'effet sur un pare-fe Cela a.

S'il vous plaît, quelqu'un peut-il perdre de la lumière.

12
Metalshark

Il est important d'abord savoir comment fonctionne la traduction d'adresses réseau (NAT). Vous établissez une connexion à un serveur sur Internet. En réalité, vous envoyez des paquets à votre routeur, sortant de votre ordinateur sur un port choisi au hasard:

Your computer        Router
+------------+     +-----------+
|            |     |           |
| port 31746 o====>o           |
|            |     |           |
+------------+     +-----------+

Votre routeur, à son tour, établit une connexion au serveur que vous souhaitez parler. Il parle de son propre port choisi au hasard:

                     Router            www.google.com
                   +-----------+     +----------------+
                   |           |     |                |
                   | port 21283o====>o port 80        |
                   |           |     |                |
                   +-----------+     +----------------+

Lorsque le serveur Web de Google vous envoie des informations de retour, elle le renvoie réellement à votre routeur (car votre routeur est le gars en fait sur Internet):

                     Router            www.google.com
                   +-----------+     +----------------+
                   |           |     |                |
                   | port 21283o<====o port 80        |
                   |           |     |                |
                   +-----------+     +----------------+

Un paquet arrive sur votre routeur, sur le port 21283 de www.google.com. Que devrait faire le routeur avec ça?

Dans ce cas, le routeur a tenu un enregistrement de vous et le trafic envoyé à www.google.com:80 du port 21283 en votre nom. Donc, le routeur relais le paquet sur votre ordinateur:

Your computer        Router
+------------+     +-----------+
|            |     |           |
| port 31746 o<====o           |
|            |     |           |
+------------+     +-----------+

Ouvrir

In Ouvrir NAT, toute machine sur Internet peut envoyer du trafic sur le port de votre routeur 21283 et le paquet vous sera envoyé:

Your computer        Router            
+------------+     +-----------+     {www.google.com:80
|            |     |           |     {www.google.com:443
| port 31746 o<====o port 21283o<===={serverfault.com:80
|            |     |           |     {fbi.gov:32188
+------------+     +-----------+     {botnet.cn:11288

Nat fermé

NAT fermé est plus restrictif. Cela ne permettra rien à moins d'être venu de l'adresse d'origine et port que vous vouliez parler à, c'est-à-dire www.google Port 80:

Your computer        Router            
+------------+     +-----------+     {www.google.com:80
|            |     |           |     | (rejected) www.google.com:443
| port 31746 o<====o port 21283o<====+ (rejected) serverfault.com:80
|            |     |           |       (rejected) fbi.gov:32188
+------------+     +-----------+       (rejected) botnet.cn:11288

Nat modéré

Modéré NAT est un mélange, où votre routeur acceptera tout trafic de tout port, mais seulement à partir du même hôte :

Your computer        Router            
+------------+     +-----------+     
|            |     |           |     {www.google.com:80
| port 31746 o<====o port 21283o<===={www.google.com:443
|            |     |           |       (rejected) serverfault.com:80
+------------+     +-----------+       (rejected) fbi.gov:32188
                                       (rejected) botnet.cn:11288

C'est un ensemble de définitions. L'autre est:

  • Ouvrir: Permet aux ordinateurs sur le réseau local d'utiliser UPNP pour ouvrir des ports
  • modérée: Certains porteurs ont été créés et fonctionnent
  • FERMÉ: Aucun transfert de port statique n'existe

Mais la terminologie est vraiment nébuleuse.

Voir également

31
Ian Boyd