Перейти к содержанию

Обзор технологии NAT#

В этом разделе описано, как настроить преобразование сетевых адресов (NAT) в системе.

Краткий обзор технологии NAT#

Служба преобразования сетевых адресов (NAT) - это служба, которая изменяет адрес и/или номер порта в сетевых пакетах при их прохождении через компьютер или сетевое устройство. Устройство, выполняющее преобразование сетевых адресов, может являться отправителем пакетов, получателем пакетов или промежуточным устройством на пути между отправителем и получателем.

Пример-устройства

Пример устройства, выполняющего преобразование сетевых адресов (NAT)

NAT изначально был разработан для экономии числа IP-адресов, используемых растущим числом сетевых устройств, подключенных к Интернету, однако он имеет важные применения и в безопасности сетей.

Компьютеры, расположенные во внутренней сети, могут использовать любые адреса, зарезервированные организацией IANA (Internet Assigned Numbers Authority) для частной адресации (см. также RFC 1918). Зарезервированные IP-адреса не используются в Интернете, таким образом, внешнее устройство не может осуществлять маршрутизацию на основе таких адресов. Следующие адреса зарезервированы для частного использования:

  • от 10.0.0.0 до 10.255.255.255 (CIDR: 10.0.0.0/8);
  • от 172.16.0.0 до 172.31.255.255 (CIDR: 172.16.0.0/12);
  • от 192.168.0.0 до 192.168.255.255 (CIDR: 192.168.0.0/16);
  • от 100.64.0.0 до 100.127.255.255 (CIDR: 100.64.0.0/10).

Маршрутизатор, выполняющий преобразование сетевых адресов, может скрывать IP-адреса, используемые во внутренней сети, от внешней сети посредством замены внутренних частных адресов общедоступными (public) адресами, предоставленными для этих целей. Взаимодействие с внешней сетью происходит только с использованием данных общедоступных адресов. Маршрутизатор может использовать набор общедоступных IP-адресов, из которых динамически выбирается адрес, используемый для преобразования.

Следует учитывать тот факт, что хотя использование NAT может снизить вероятность небезопасного подключения внутренних компьютеров к внешним сетям, это не обеспечивает защиты компьютеров, которые по той или иной причине подключаются к недоверенным устройствам. По этой причине всегда следует сочетать использование NAT с фильтрацией пакетов и другими возможностями политики безопасности для организации полной защиты сети.

Преимущества NAT#

Использование преобразования сетевых адресов обеспечивает следующие преимущества:

  • NAT позволяет более эффективно использовать глобальное адресное пространство Интернета.

Любое число устройств локальной сети может использовать частные IP-адреса вместо использования общедоступных IP-адресов. Адреса пакетов, передаваемых из внутренней сети во внешнюю, преобразуются в предназначенные для этого общедоступные IP-адреса. Это означает, что одно и то же частное адресное пространство может быть использовано неограниченным количеством частных сетей, как представлено на рисунке.

Повторное-использование-адресного-пространства

Повторное использование адресного пространства
  • NAT позволяет повысить уровень безопасности.
  • IP-адреса, используемые в частных (внутренних) сетях, скрыты от сетей общего пользования (внешних). Это осложняет проведение злоумышленником атаки на узел внутренней сети. Однако узлы частной сети по прежнему остаются уязвимыми, и по этой причине NAT обычно используется совместно с межсетевым экранированием.

Совместное-использовани- NAT-и-межсетевого-экрана

Совместное использование NAT и межсетевого экрана
  • Стандартные клиент-серверные сетевые службы не требуют модификации при функционировании поверх устройств, осуществляющих преобразование сетевых адресов.
  • Технология NAT облегчает перемещение из одного адресного пространства в другое.

Адресное пространство, используемое внутри частной сети, расположенной за NAT, не зависит от внешнего IP-адреса. Это означает, что для частной сети может быть изменен внешний IP-адрес без дополнительного изменения сетевых настроек внутри частной сети. Аналогично этому, изменение внутренней адресации частной сети не повлияет на внешний IP-адрес.

  • Использование NAT упрощает маршрутизацию.

Технология NAT избавляет от необходимости использования сложных схем маршрутизации в больших сетях.

Виды NAT#

Существует три основных вида преобразования сетевых адресов (NAT):

Преобразование сетевого адреса отправителя (SNAT)#

Примечание

SNAT выполняется после маршрутизации

SNAT представляет собой наиболее часто используемый вид NAT. SNAT изменяет адрес отправителя сетевых пакетов, проходящих через систему. SNAT обычно используется в том случае, когда внутреннему узлу необходимо инициировать сеанс связи с общедоступным узлом; в этом случае устройство, выполняющее преобразование адресов, изменяет частный IP-адрес узла отправителя на некоторый общедоступный IP-адрес, как представлено на рисунке ниже. При использовании "маскировки" (частный случай SNAT) адрес отправителя исходящего пакета заменяется основным IP-адресом выходного интерфейса.

Устройство, выполняющее преобразование пакетов, отслеживает информацию о потоке сетевого трафика таким образом, чтобы сетевой трафик корректно пересылался к отправителю и от него.

Преобразование-сетевого-адреса-отправителя-(SNAT)

Преобразование сетевого адреса отправителя (SNAT)

Преобразование сетевого адреса получателя (DNAT)#

Примечание

DNAT выполняется перед маршрутизацией

В то время как SNAT изменяет адрес отправителя сетевых пакетов, DNAT изменяет адрес получателя сетевых пакетов при их прохождении через систему. DNAT обычно используется в тех случаях, когда общедоступному узлу требуется инициировать сеанс связи со внутренним (частным) узлом; например, когда подписчик получает доступ к новостному серверу, как представлено на рисунке.

Преобразование-сетевых-адресов-получателя-(DNAT)

Преобразование сетевых адресов получателя (DNAT)

Двунаправленное преобразование сетевых адресов (SNAT + DNAT)#

Двунаправленное преобразование сетевых адресов представляет собой схему, в которой одновременно используется как SNAT, так и DNAT. Двунаправленное преобразование сетевых адресов обычно используется, когда внутренним узлам требуется инициировать сеансы связи со внешними узлами, а также внешним узлам требуется инициировать сеансы связи со внутренними узлами. На рисунке приведен пример двунаправленного NAT.

Двунаправленное-преобразование-сетевых-адресов

Двунаправленное преобразование сетевых адресов

Совместное использование NAT, маршрутизации и межсетевого экрана#

Одним из наиболее важных моментов, о котором необходимо иметь представление при использовании преобразования сетевых адресов, является порядок обработки пакетов различными службами, настроенными в системе. Если порядок обработки не учитывается, могут быть получены результаты, отличные от ожидаемых.

Например, при использовании DNAT необходимо следить за тем, чтобы маршрутизация была настроена не на основе конкретных внешних адресов. Это может привести к непредсказуемым результатам, так как адреса внешних пакетов будут заменены на внутренние адреса механизмом преобразования сетевых адресов получателя (DNAT) перед выполнением маршрутизации. Также использование технлологии NAT оказывает влияние на работу определенных фильтров трафика, которые могут использоваться в политиках межсетевого экранирования. Так, например, фильтрация по фрагментированным пакетам и фильтрация по некорректным флагам для протокола TCP не работают совместно с NAT ввиду особенностей реализации сохранения соединений в таблицу.

На рисунке представлена схема прохождения трафика при использовании NAT, маршрутизации и межсетевого экрана.

Прохождение-трафика-через-Numa-Edge

Прохождение трафика через Numa Edge

На рисунке ниже изображена базовая схема сети, которая будет использоваться в дальнейших примерах.

Базовая-схема

Базовая схема

Совместное использование NAT и маршрутизации#

При совместном использовании NAT и маршрутизации необходимо учитывать влияние правил DNAT и SNAT на решения о маршрутизации. Типовые схемы, приведенные в этом разделе, раскрывают данный вопрос.

Схема 1а. DNAT—Пакеты, проходящие через Numa Edge#

Примечание

DNAT — решение о маршрутизации принимается на основе измененных адресов получателя

Преобразование DNAT осуществляется перед принятием решения о маршрутизации. Это означает, что принятие решения о маршрутизации на основе адреса получателя осуществляется с использованием измененных адресов получателя — а не первоначальных адресов получателя.

Решения-о-маршрутизации-при-прохождении-DNAT

Решения о маршрутизации при прохождении DNAT
Схема 1б. DNAT— Пакеты, предназначенные для Numa Edge#

Аналогичная ситуация происходит, когда сетевые пакеты предназначаются для локальной системы. В этой схеме пакеты предназначены для одного из локальных процессов системы.

Так как преобразование DNAT применяется к сетевым пакетам перед принятием решения о маршрутизации, принятие решения о маршрутизации осуществляется на основе измененных адресов получателя — а не первоначальных адресов.

Решения-о-маршрутизации-при-использовании-DNAT-для-пакетов-предназначенных-Numa-Edge

Решения о маршрутизации при использовании DNAT для пакетов, предназначенных Numa Edge
Схема 2а. SNAT— Пакеты, проходящие через Numa Edge#

Примечание

SNAT — Решение о маршрутизации принимается на основе исходного (первоначального) адреса отправителя

В то же время решения о маршрутизации принимаются перед преобразованием SNAT. Это означает, что принятие решения о маршрутизации на основе адресов отправителя осуществляется на основе исходного (первоначального) адреса отправителя — а не измененного адреса.

Решения-о-маршрутизации-при-прохождении-SNAT

Решения о маршрутизации при прохождении SNAT
Схема 2б. SNAT— Пакеты, отправителем которых является Numa Edge#

В этой схеме сетевые пакеты отправляются процессом внутри Numa Edge.

В свою очередь, так как принятие решения о маршрутизации осуществляется перед преобразованием сетевого адреса отправителя, принятие решения о маршрутизации на основе адреса отправителя осуществляется с использованием исходного (первоначального) адреса отправителя — а не измененного адреса.

Решения-о-маршрутизации-при-использовании-SNAT-для-пакетов-отправленных-Numa-Edge

Решения о маршрутизации при использовании SNAT для пакетов, отправленных Numa Edge

Совместное использование NAT и межсетевого экранирования#

При совместном использовании NAT и межсетевого экрана важно иметь представление о последовательности обработки сетевого трафика данными службами. Типовые схемы, приведенные в этом разделе, раскрывают этот вопрос:

Схема 3а. DNAT—Пакеты, проходящие через Numa Edge#

В этой схеме сетевые пакеты отправлены из сети А и проходят через Numa Edge.

Правила межсетевого экрана, установленные для входящего трафика, применяются после осуществления преобразования сетевого адреса получателя (то есть на основе измененного адреса получателя).

Правила межсетевого экрана, установленные для исходящего трафика, применяются после осуществления преобразования сетевого адреса получателя (то есть, на основе измененного адреса получателя).

Решение-МЭ-при-прохождении-DNAT

Решение МЭ при прохождении DNAT
Схема 3б. DNAT— Пакеты, предназначенные для Numa Edge#

В этой схеме пакеты предназначены для одного из процессов в Numa Edge. Правила межсетевого экрана, установленные для трафика предназначенного для локальной системы, применяются после осуществления преобразования сетевого адреса получателя (то есть, на основе измененного адреса получателя).

Решения-МЭ-при-использовании-DNAT-для-пакетов-предназначенных-Numa-Edge

Решения МЭ при использовании DNAT для пакетов, предназначенных Numa Edge
Схема 4а. SNAT— Пакеты, проходящие через Numa Edge#

Примечание

Правила SNAT осуществляются на основе исходного (первоначального) адреса отправителя.

Правила межсетевого экрана, установленные для входящего и исходящего трафика, применяются до осуществления преобразования сетевого адреса отправителя. Это означает, что решения МЭ принимаются на основе исходного (первоначального) адреса отправителя — а не измененного адреса отправителя.

Решения-МЭ-при-использовании-SNAT-для-пакетов-предназначенных-Numa-Edge

Решения МЭ при использовании SNAT для пакетов, предназначенных Numa Edge
Схема 4б. SNAT— Пакеты, отправителем которых является Numa Edge#

В данной схеме сетевые пакеты отправляются одним из процессов в Numa Edge. Правила установленные для исходящих пакетов применяются применяются к исходному (первоначальному) адресу отправителя, а не измененному адресу.

Решения-МЭ-при-использовании-SNAT-для-пакетов-отправленных-Numa-Edge

Решения МЭ при использовании SNAT для пакетов, отправленных Numa Edge