وبلاگ شخصی محمد براتی

سیسکو،میکروتیک،مایکروسافت،لینوکس،برنامه نویسی،منابع درسی دانش آموزان و دانشجویان

وبلاگ شخصی محمد براتی

سیسکو،میکروتیک،مایکروسافت،لینوکس،برنامه نویسی،منابع درسی دانش آموزان و دانشجویان

آخرین نظرات
نویسندگان
پیوندها

NATچیست؟

دوشنبه, ۲۳ شهریور ۱۳۹۴، ۰۹:۱۴ ب.ظ

NAT یک یا چند آدرس را به آدرس های دیگر ترجمه می کند. اما این مطلب چگونه به ما کمک می کند؟ هنگام ساخت شبکه از 30 آدرسی (یا تعدادی از این حدود) که ISP در اختیار گذاشته است استفاده نموده تا سیستم ها را قابل رویت از طریق اینترنت نماییم. در داخل شبکه از آدرس هایی استفاده می کنیم که از خارج قابل رویت نباشند، اما برای ارتباط به اینترنت این آدرس ها ترجمه شده اند (به عبارت دیگر NAT شده اند.)در اغلب شبکه ها فایروال وظیفه NAT را هم انجام می دهد . در صورت نیاز روتر هم می تواند این وظیفه را انجام دهد. در فایروال لایه کاربردی NAT به عنوان بخشی از طراحی فایروال ایجاد می شود. از آنجا که تمام اتصالات به فایروال ختم می شود، فقط آدرس فایروال ها برای خارج قابل رویت است فایروال فیلتر بسته ای هم دارای قابلیت NAT می باشد اما لازم است در هنگام نصب فایروال پیکره بندی گردد. NAT می تواند وظایف امنیتی را هم ایفا کند به طوری که آدرس های پنهان سیستم های داخلی از اینترنت دیده نشود اگر سیستم رویت نشود، کسی نمی تواند آن را آدرس دهی کند و هدف قرار دهد.

به ادامه مطلب مراجعه کنید

توجه: NAT نمی تواند در برابر حملات محافظت کامل ایجاد کند و در قیاس با دیگران ابزار امنیتی قابل اعتماد نیست. چنانچه مهاجم داخل سازمان باشد یا از طریق VPN و اتصال تلفنی به شبکه داخلی ارتباط مستقیم داشته باشد، NAT به هیچ عنوان نمی تواند محافظتی انجام دهد.

آدرس های کلاس اختصاصی

تا اینجا مفهوم NAT را دریافتیم اما هنوز برای شبکه داخلی به آدرس های زیادی نیاز داریم. چنانچه انتخاب آدرس های داخلی به درستی انجام نشود تمام مشکلات مسیریابی را باعث می شود. RFC (این کلمه مخفف عبارت Request for Comment است که چگونگی انتشار استانداردهای اینترنت است) در سال 1918 آدرس های کلاس اختصاصی راتعریف کرده . این آدرس ها برای استفاده درشبکه داخلی و پشت فایروال که NAT را ایجاد می کند می باشد. PFC آدرس های زیر را به عنوان "آدرس های کلاس اختصاصی" تعیین کرده است.

 

  • 10.0.0.0 الی 10.255.255.254 (10.0.0.0 با 8 بیت ماسک)
  • 172.16.255.254 الی 172.31.255.254(172.16.0.0 با 12 بیت ماسک)
  • 192.168.0.0 الی 192.168.255.254 (192.168.0.0 با 16 بیت ماسک)

 

استفاده از این آدرس ها سازمان را قادر می سازد با انعطاف بسیار بالایی آدرس دهی شبکه داخلی خود را طراحی کند هر یک از این آدرس ها را می توان در هر ترکیبی با شبکه داخلی سازمان استفاده کرد اما دو محدودیت برای این امر وجود دارد هیچیک از این آدرس ها قابل روت کردن اینترنت نیست چنانچه سعی کنید یکی از آدرس های کلاس اختصاصی را پینگ نمایید بسته به همراه پیام Network unreachable دعوت داده می شود .توجه: برخی ISPها در شبکه داخلی خودشان از آدرس های کلاس اختصاصی استفاده می کنند .در این حالت ممکن است مکان هایی وجود داشته باشد که به عمل پینگ روی آدرس های کلاس اختصاصی جواب دهد . چنانچه ISP به طور داخلی از آدرس های کلاس اختصاصی استفاده کنند مسیرهای موجود روی آن به خارج ISP انتشار داده نمی شود در نتیجه روی سازمان از این آدرس ها تاثیر نخواهد داشت.

Static NAT

توجه: می توانید آدرس را به سیستمی روی شبکه داخلی ترجمه نمایید اما اینکار باعث می شود سیستم از خارج قابل دسترسی گردد، از اینرو چنین سیستمی باید در DMZ باشد.

سؤال آشکاری که به نظر می رسد این است که چرا با استفاده از NAT خود را به زحمت بیندازیم، چون می توان آدرس های معتبر را به DMZ اختصاص داد و با آن کار کرد. اگرچه این مطلب درست است اما دو مشکل دیگر پیش می آید. اول اینکه برای انجام این کار نیاز به مجموعه دومی از آدرس ها دارید یا نیاز به تعداد آدرس بیشتری نسبت به 30 آدرسی که ISP در اختیارتان قرار داده است خواهید داشت. اگر بخواهید برخی از سیستم ها را در DMZ دومی قرار دهید باز هم به مجموعه ای از آدرس ها نیاز خواهید داشت. دوم اینکه تمام سیستم هایی که روی DMZ قرار دارند به آدرس حقیقی نیاز ندارند. چنانچه نگاهی به شکل 1 بیندازید یک سرور کاربردی روی DMZ خواهید دید. لازم نیست این سرور از اینترنت قابل دسترسی باشد. قرار دادن سرور کاربردی در این محل، به منظور پردازش اطلاعاتی که توسط سرور وب دریافت شده است و تبادل اطلاعات با سرور بانک اطلاعات داخلی است.

شکل 1 ,Static NAT ترجمه آدرس شبکه از نوع ایستا

nat

 

 

Dynamic NAT از آن جهت با Static NAT تفاوت دارد که در آن چند آدرس داخلی به یک آدرس معتبر نگاشت می شود(برخلاف حالت قبل که نگاشت یک به یک استفاده می شد). نوعا تک آدرس معتبر مورد استفاده، آدرس خارجی فایروال است. پس از آن فایروال ارتباطات را دنبال می کند و برای هر ارتباط یک پورت را بکار می برد. محدودیت عملی این کار حدود 64 هزار ارتباط را دنبال می کند و برای هر ارتباط یک پورت را بکار می برد. محدودیت عملی این کار حدود 64 هزار ارتباط NAT دینامیک همزمان می باشد. به خاطر داشته باشید یک کامپیوتر رومیزی داخلی به هنگام دسترسی به وب سایت می تواند 32 ارتباط همزمان باز کند. Dynamic NAT مخصوصا برای کلانیت های رومیزی(Desktop) که از پروتکل DHCP استفاده می کنند مفید است. از آنجا که به هنگام بوت شدن سیستم، DHCP همان IP قبلی را تضمین نمی کند لذا Static NAT نمی تواند با آن کار کند. کامپیوترهایی که از Dynamic NAT استفاده می کنند قابل دسترسی از خارج نیستند چون مدیریت نگاشت پورت به سیستم توسط فایروال انجام می شود و این نگاشت بطور منظم تغییر می کند.

شکل 2  ,Dynamic NAT ترجمه آدرس شبکه از نوع پویا

  • موافقین ۰ مخالفین ۰
  • ۹۴/۰۶/۲۳
  • ۱۵۲۰ نمایش
  • محمد براتی

Nat

نظرات (۲)

  • (مهدی سیستم)
  • عالی بود آقای براتی ممنونم از زحمات شما.
    سلام ممنونم
    پاسخ:
    خواهش میکنم دوست عزیز
    ارسال نظر آزاد است، اما اگر قبلا در بیان ثبت نام کرده اید می توانید ابتدا وارد شوید.
    شما میتوانید از این تگهای html استفاده کنید:
    <b> یا <strong>، <em> یا <i>، <u>، <strike> یا <s>، <sup>، <sub>، <blockquote>، <code>، <pre>، <hr>، <br>، <p>، <a href="" title="">، <span style="">، <div align="">
    تجدید کد امنیتی