Сети для самых маленьких. часть пятая. acl и nat
Содержание:
- Еще немного про порты и другие нюансы
- Как открыть NAT на Xbox One?
- Файлы HOSTS
- Как пользоваться функцией NAT
- Исправление неполадок GTA Online при использовании «строгого» типа NAT
- Как обнаружить ситуацию с двойным NAT
- Преимущества и недостатки третьего варианта
- Типы NAT
- Фоновые приложения
- Настройки NAT, как сделать его открытым
- Что такое NAT в XBOX?
- Строгий nat как исправить
- Какие проблемы может вызвать двойной NAT
- Настройка NAT на компьютере
- Методы изменения типа NAT на ПК
- Динамический[править]
- Проблемы NAT и возможности решения
Еще немного про порты и другие нюансы
Многие программы (не только лишь все) имеют вшитые порты без возможности перенастройки, либо, к примеру, у вас есть два Веб-сервера на винде (так называемый IIS), которые работают на 80 порту каждый и вам нужно дать доступ из интернета на оба сервера.
Здесь вы откроете на роутере одному серверу порт 80, а оставшемуся вам придется выбрать другой порт (например 8080).
Итого, на роутере мы настраиваем порты таким образом:
Имя | Приложение | Внутренний IP | Внутренний порт | Внешний IP | Внешний порт |
Сервер 1 | Teamspeak | 192.168.1.2 | 9987* | 87.123.41.12 | 9987 |
Сервер 2 | FTP сервер | 192.168.1.3 | 21* | 87.123.41.12 | 21000 |
Сервер 3 | Веб-сервер | 192.168.1.4 | 80* | 87.123.41.12 | 80 |
Сервер 3 | Веб-сервер | 192.168.1.4 | 443* | 87.123.41.12 | 444 |
ПК 1 | uTorrent | 192.168.1.10 | 26000 | 87.123.41.12 | 26000 |
ПК 2 | Bit-Torrent | 192.168.1.20 | 26100 | 87.123.41.12 | 26100 |
ПК 2 | Game Server | 192.168.1.20 | 27015* | 87.123.41.12 | 27015 |
ПК 1 | RDP | 192.168.1.10 | 3389** | 87.123.41.12 | 33891 |
ПК 2 | RDP | 192.168.1.20 | 3389** | 87.123.41.12 | 33892 |
Где * — стандартный порт, который использует программа (т.е. вы ее установили и ничего не настраивали);
** — стандартный порт, который использует сервис и который нельзя сменить.
Наглядная схемка ниже:
Теперь я постараюсь объяснить почему я написал именно эти порты.
Как открыть NAT на Xbox One?
- Перезагрузите ваш WiFi роутер, модем, шлюз и другое сетевое оборудование, а также игровую приставку. Это самое простое решение, но и помогает оно не всегда.
- Включите UPnP в модеме или роутере. Это специальный режим для синхронизации работы различных маршрутизаторов. Не используйте совместно с включенной функцией DMZ.
- Подключите X-ONE к роутеру через кабель Ethernet. Иногда помогает побороть умеренный/строгий тип, особенно если до этого он был открытым. Кроме того, для сетевых шутеров рекомендуется использовать Ethernet подключение или WiFi на 5ГГц, так как пинги через WiFi на 2.4ГГц (большинство дешевых модемов) всегда высокие и в любой момент могут подскочить, из-за чего появятся тормоза.
- Пропишите статический IP для XBOX. Обычно, все настройки раздает ваш модем. Для этого используется DHCP служба, которая автоматом присваивает ip-шники всем устройствам (ноутбук, телефон, планшет, приставки, телевизор). Зайдите в настройки ИксБокса и пропишите руками: IP, маску, шлюз и DNS сервера (все параметры кроме IP будут одинаковыми на всех устройствах).
- Откройте или пробросьте порты в модеме. Необходимые порты для XboxLive указаны в таблице ниже. Каждый роутер имеет собственные параметры и настройки. Используйте поисковую фразу для гугла или яндекса, например: «открыть порты d-link dir 300».
- Включите DMZ для консоли. Данная настройка выведет приставку за пределы вашего файрвола, сразу во внешнюю сеть. На Боксе нужно использовать статические параметры IP, а в роутере для него включить DMZ. Не активируйте эту настройку совместно с пробросом портов и UPnP.
- Подключить внешний (статический) IP адрес. Если ваш провайдер предоставляет такую услугу, то подключение внешки поможет открыть НАТ в 99% случаев. В других случаях, проблема будет крыться в вашем провайдере, стоит долбить их службу поддержки или менять оператора. Имейте в виду, что данная услуга платная!
Номера портов | Для 360 | Для ONE |
---|---|---|
53 (TCP / UDP) | + | + |
80 (TCP) | + | + |
88 (UDP) | + | + |
500 (UDP) | + | |
1863 (TCP /UDP) | + | + |
3074 (TCP/ UDP) | + | + |
3075 (TCP/UDP) | + | |
3544 (UDP) | + | |
4500 (UDP) | + | |
16000 (TCP/UDP) | + |
Файлы HOSTS
HOST-файл является небольшим текстовым файликом, представляющим собой одну из частиц Windows. Его можно применить, чтобы маршрутизировать трафик или блокировать веб-порталы. Однако в некоторых случаях он приводит к блокировке доступа к играм.
Мы советуем вам провести очистку HOSTS-файла, исключив тем самым вероятность того, что доступ к For Honor будет закрыт. Для его очистки вам нужно лишь нажать на надпись Fix it. Подробнее об этом можно прочитать на официальном сайте Microsoft.
Вся эта информация должна была вам помочь разобраться со строгим NAT в игре Ubisoft. Если же вам не удалось справиться с этой проблемой, то мы советуем написать в службу поддержки, подробно описав суть вопроса.
Как пользоваться функцией NAT
С учетом сказанного возникает вопрос, как открыть NAT для своего роутера. В большинстве случаев опция включена по умолчанию. Если это не так, необходима ее активация и дополнительная настройка. Алгоритм действий следующий:
- Войдите в любой веб-проводник на ПК, после чего в поисковой строке введите адрес роутера (к примеру, 192.168.1.1.).
- Авторизуйтесь для входа в настройки путем ввода слов Admin и Admin.
- Войдите в Настройки, а там Сеть и Маршрутизация.
- Жмите на Новое правило. Таким способом удается задать условия маршрутизации. Здесь доступно пять направлений — с помощью имени DNS, через порт или трансляцию по пользователю, через подмену адреса или сетевой интерфейс.
- Задайте условия трафика путем выбора одного из вариантов. На выбор доступны следующие решения — Auto, Interface, Gateway, Trunk. На следующем этапе жмите Далее, а после Закрыть.
Для каждого роутера принципы включения NAT могут отличаться. К примеру, в Zyxel необходимо войти в настройки маршрутизатора, перейти в раздел Network — Routing, а там в Policy routing, Здесь будет тумблер, позволяющий включить службу. Далее задаются настройки в группе Criteria. Если необходимо отключить NAT в роутере, проделайте рассмотренные выше шаги и деактивируйте службу. В качестве альтернативы отключению можно перевести маршрутизатор в другой режим работы.
Если возникает необходимость изменения типа NAT, войдите в настройки роутера, посмотрите IP и настройки сетевого подключения. После этого звоните провайдеру для получения помощи в перенастройке на нужный тип.
Исправление неполадок GTA Online при использовании «строгого» типа NAT
Вопрос: у меня выводится сообщение об ошибке, в котором сказано, что мой тип NAT – «строгий». Что это означает и как изменить тип NAT?
Ошибка: Тип NAT “Строгий”
Ответ: NAT расшифровывается как Network Address Translation, то есть «преобразование сетевых адресов». Это механизм, с помощью которого ваш маршрутизатор или интернет-шлюз преобразует частный IP-адрес и порт вашего компьютера в публичный IP-адрес и порт. Тип NAT говорит о том, какой метод ваше устройство использует для проведения этого преобразования и как оно фильтрует входящие пакеты.
По сути, тип NAT определяет, насколько просто игре подключаться к другим игрокам через Интернет.
Существует три типа NAT
- ОТКРЫТЫЙ: вы можете подключаться к устройствам с любым типом NAT.
- УМЕРЕННЫЙ: вы можете подключаться к устройствам с «открытым» и «умеренным» типом NAT.
- СТРОГИЙ: вы можете подключаться только к устройствам с «открытым» типом NAT.
Если ваш тип NAT – «строгий», вы не сможете подключаться напрямую к подавляющему числу игроков. Из-за этого будут возникать проблемы: высокая задержка сигнала («лаг»), меньшие по размеру игровые сессии, большее время ожидания, более частые разъединения. При возникновении конфликтов с соединением из игры может выкинуть игрока с самым «строгим» типом NAT.
Как изменить тип NAT?
В некоторых маршрутизаторах есть специальный «игровой режим». Как правило, если включить этот режим, устанавливается более мягкий тип NAT. Чтобы узнать, поддерживает ли ваш маршрутизатор такую функцию, прочитайте руководство пользователя или поищите сведения об этом в Интернете.
Если ваш тип NAT – «строгий», он может блокировать порты, используемые игрой, или же преобразовывать частный порт в недетерминированный публичный порт при рассылке пакетов другим игрокам в сессии. Другие игроки не смогут определить, к какому порту подключаться. Чтобы устранить эту проблему, воспользуйтесь uPnP или настройте переадресацию портов на своем маршрутизаторе. Большинство маршрутизаторов в той или иной мере поддерживают переадресацию портов. Если выставить корректные настройки, маршрутизатор будет перенаправлять входящие пакеты от определенных портов на указанное устройство внутри вашей сети. Для пользования этой функцией также может понадобиться статический IP-адрес (имеется в виду не статический адрес, назначаемый интернет-провайдером, а просто частный статический адрес компьютера в вашей внутренней сети). Инструкции по переадресации портов в вашей модели маршрутизатора можно поискать на сайте http://portforward.com. А на странице http://portforward.com/networking/staticip.htm рассказывается, как присвоить компьютеру статический IP-адрес. Для обмена пакетами данных GTA Online использует UDP-порт 6672. После того как вашему компьютеру будет присвоен статический IP-адрес, настройте переадресацию UDP-порта 6672 на этот адрес.
Изменение тип NAT на примере роутера “ZTE”
Дополнительные порты для переадресации в GTA Online:
- TCP-порты: 80, 443
- UDP-порты: 6672, 61455, 61456, 61457 и 61458
Как обнаружить ситуацию с двойным NAT
Я уже упоминал, как быстро определить, имеет ли шлюз ISP возможности NAT и маршрутизации, но вы также можете посмотреть, действительно ли происходит двойной NAT, прежде чем тратить время на эту проблему. Иногда шлюзы обнаруживают двойной NAT и автоматически исправляют проблему для вас. Или иногда, если инсталляторы ISP хорошо осведомлены, они могут исправить это, когда они выходят, чтобы установить шлюз, и убедитесь, что у вас есть собственный маршрутизатор.
Для двух способов я покажу вам, как определить ситуацию с двойным NAT, вам нужно проверить свои IP-адреса и узнать, являются ли они частными или общедоступными. Это легко: частные адреса обычно находятся в диапазоне от 192.168.0.0 до 192.168.255.255, от диапазона 172.16.0.0 до 172.31.255.255 или от 10.0.0.0 до 10.255.255.255. Адресами за пределами этих диапазонов будут публичные (интернет-адреса).
Один быстрый способ, который обычно показывает, что двойной NAT существует, — это traceroute, который позволяет вам пинговать сервер или устройство в Интернете и видеть путь, который требуется между маршрутизаторами и серверами. Откройте командную строку (на ПК с ОС Windows, который подключен к Интернету, щелкните в меню «Пуск», введите «cmd» и нажмите Enter) и введите «tracert 8.8.8.8», чтобы увидеть трассировку на DNS-сервере Google. Если вы видите два личных IP-адреса, перечисленных в первых двух перелетах, у вас есть двойной NAT. Если вы видите только один частный адрес, а второй прыжок показывает общедоступный адрес, тогда вы все хорошо.
Вот traceroute, показывающий двойной NAT, о чем свидетельствуют частные IP-адреса в первых двух прыжках.
Еще один способ проверить двойной NAT — подключиться к веб-интерфейсу вашего маршрутизатора и посмотреть, является ли WAN (интернет) IP-адрес частным или общедоступным. Это должен быть публичный адрес. Если это частный адрес, у вас двойной NAT.
Больше доказательств двойной ситуации с NAT: IP-адрес моего маршрутизатора WAN является закрытым, а не публичным.
Преимущества и недостатки третьего варианта
Теоретически, вы можете назначить одному IP адресу до 131072 (2 * 2^16) приложений. Почему я говорю «приложений», а не компьютеров/серверов?
Потому что один комп или сервер, как вы уже заметили выше, может использовать несколько различных приложений (при этом одно приложение может использовать несколько портов), при этом каждый порт может быть двух типов: TCP и UDP.
Углубляться в это в рамках этой статьи я не буду, в этом нет необходимости.
Для любой программы есть хелп, в котором написано какие порты ей нужны для работы, если их нельзя сменить. Многие приложения позволяют вам самим назначить какие порты какого типа использовать, таким образом упрощая вашу задачу. Для остальных же есть такой замечательный ресурс, как portforward.com.
- Преимущество такого метода в том, что вы открываете доступ из интернета именно для определенной программы на определенном компьютере/сервере, все остальные порты компьютера/сервера остаются закрытыми;
- Недостаток в том, что требуется все порты открывать вручную (иногда программы делают это за вас при помощи технологии UPnP, но такое бывает не всегда).
Типы NAT
Вы можете установить различные типы настроек для вашего NAT. Однако это наиболее предпочтительные настройки NAT для оптимальной работы в сети:
Как следует из названия, это NAT открытого типа , который позволяет всем устройствам, подключенным через сеть, отправлять и получать данные. Все общие данные не ограничены, и нет конфигураций брандмауэра .
Хотя это поможет вам получить лучший опыт, он действительно привлекает много риски. Любой хакер может легко проникнуть в вашу локальную сеть, когда ваши порты открыты.
Это более безопасный , чем открытый NAT, и имеет только один или два открытых порта для передачи данных. В этой настройке NAT будет действовать как брандмауэр и ограничивать соединения от вмешательства в вашу сеть. Тем не мение. У вас может возникнуть небольшая задержка в онлайн-играх при умеренной настройке NAT.
Это самый безопасный тип NAT, который не позволяет данным передаваться через локальную сеть. Он может защитить вас от большинства типов атак, но вы можете столкнуться с трудностями при подключении к другим сетям, поскольку большая часть данных ограничена в этой сети.
Вы также можете столкнуться с некоторыми задержками в вашем игровой опыт при подключении через строгий NAT .
Есть много других способов изменить тип NAT на ПК, но эти 4 метода — самые простые способы выполнить работу.
Фоновые приложения
Вы также можете столкнуться с проблемами, вызванными приложениями, работающими в фоновом режиме на вашем компьютере. При воспроизведении игр Ubisoft, пожалуйста, не забудьте закрыть все работающие фоновые приложения перед тем, как начать игру.
Прочитайте и выполните действия,перечисленные в инструкции:
- Откройте меню Пуск, найдите Run (Win XP), начать поиск (Win Vista), или поиск программ и файлов (Win 7).
- Удалите всю информацию из бегущей строки и введите слово MSCONFIG. Нажмите клавишу ВВОД/ Enter, чтобы открыть утилиту конфигурации системы.
- Просмотрите список элементов автозагрузки (не вкладку Startup) и выберите параметр Выборочный запуск (если он уже не выбран) (Если вы не видите эту функцию, убедитесь, что вы нажали на опцию ‘General’ в верхней части окна).
- Как только вы нажали на ‘Выборочный запуск’, снимите флажок «Загружать элементы автозагрузки».
- Выполнив этот шаг, нажмите ‘Применить’ и ‘ОК’, затем перезагрузите компьютер.
Настройки NAT, как сделать его открытым
Чтобы настроить NAT в роутере, нужно зайти в браузер, набрать 192.168.1.1 или 192.168.0.1 (адрес роутера) после чего потребуется ввести логин с паролем (обычно Admin/Admin). Затем находится поле Configuration (настройки), потом Network (сеть) и Routing (маршруты или маршрутизация). В новом окне выбирают Policy Routing (новое правило). Здесь задаются условия маршрутизации. Выбрать можно по различным свойствам, таким, как: пользователи, интерфейсы, IP-адрес источников или получателей, порт назначения.
Задаем условия трафика, там есть несколько назначений: Auto перенаправит трафик в глобальный интерфейс, который указан по умолчанию, Gateway на адрес, имеющийся в настройках, Trunk — на несколько интерфейсов, Interface – на тот интерфейс, который указан.
На сервере настраивается следующим образом: в начале находится Диспетчер сервера, на который щёлкают мышкой, потом в новом окошке на добавить роли и компоненты, затем далее, устанавливают удалённый доступ, потом добавить компоненты и продолжить. Затем выбирают службы ролей и отмечают маршрутизация, нажимают на далее. В самом конце на закрыть.
Работа с дисками в Windows
После подключения компьютера к серверу необходимо его настроить в NAT. В меню пуск находится окно администрирование — маршрутизация и удалённый доступ. Для активации нужно нажать на «включить маршрутизацию и удалённый доступ». Затем на «далее» и выбрать преобразование сетевых адресов NAT. Потом нажимаем на интернет и включаем базовые службы назначения. Продолжаем несколько раз нажимать на «далее» и последний раз на «готово».
Сделать NAT открытым может помочь провайдер с которым клиент заключил договор на поставку интернет услуг, просто необходимо обратиться к нему с этим вопросом.
Что такое NAT в XBOX?
NetworkAddressTranslation – это технология для экономии и преобразования IP адресов в сетях TCP-IP.
NAT имеет важное значение для совместных баталий и общения игроков A и B в Xbox-Live:
- Открытый (open) – позволяет создавать и подключаться к сетевым играм без ограничений.
- Умеренный, ограниченный (moderate) – работает с открытым и другим умеренным НАТ-ом. Редко позволит создать сервер.
- Строгий, закрытый (strict) – сможет подключиться только к открытому NAT-у, и только для подключения к другим пользователям.
Тип NAT не влияет на работоспособность сетевых игр, размещающихся в облачном хранилище, например Forza Motorsport 5 и Titanfall.
Строгий nat как исправить
Иногда ваша PlayStation 4 может сталкиваться с некоторыми проблемами при подключении к сети интернет. Например, когда вы играете в многопользовательскую игру, вы часто можете отключаться от игровой сессии, или же страдать от высокого пинга. Если вы проверили ваше сетевое соединение, и у вас оказалось все в порядке, возможно, у вас есть проблемы с настройкой NAT на ps4. Фактически, изменение типа NAT может быть эффективным способом для избавления выше перечисленных проблем.
В этой статье я расскажу вам, какие существуют типы NAT, как посмотреть тип nat на ps4 и как поменять nat на ps4 для лучшего сетевого подключения.
Что такое NAT на PS4
Если коротко, NAT — это технология преобразования сетевых адресов. Она переводит IP-адреса всех ваших устройств в вашем доме в общедоступные (все делается очень быстро в вашем маршрутизаторе). NAT является необходимой вещью, поскольку он может сэкономить много адресов, количество которых не бесконечное.
В основном существует три типа NAT:
- Тип 1 (Открытый): Это полностью открытый тип. Вы напрямую подключаетесь к интернету. Ваша PS4 имеет наименьшую вероятность сбоя, что отлично подходит для игр. Вы можете подключаться ко всем пользователям с разными типами NAT. Недостатком является то, что ваше соединение может быть небезопасным.
- Тип 2 (Умеренный): Ваша PS4 подключается к интернету при помощи маршрутизатора. По сравнению с открытым типом, у вас будет более высокая задержка и более медленное соединение. Но вы все равно можете почти без проблем играть игры, которые требуют интернет соединение.
- Тип 3 (Строгий): Это самый строгий тип. Ваша PS4 подключается к интернету при помощи маршрутизатора. Вероятность отключения максимальная. Вы можете подключаться только к пользователям с открытым NAT. Некоторые ваши онлайн-функции PS4 могут не работать.
Если вы используете 3й тип NAT, рекомендуется изменить его, чтобы увеличить скорость сети PS4. Поэтому, если у вас паршивая связь при игре в онлайн игры на PS4, рекомендуется проверить, какой тип nat использует ваша консоль.
Какие проблемы может вызвать двойной NAT
Когда в вашей сети есть двойной NAT, вы можете столкнуться с проблемами с услугами, для которых требуется поддержка UPnP (Universal Plug-and-Play) или ручная переадресация портов. Это будет включать онлайн-игры на компьютерах или консолях, удаленный рабочий стол на компьютеры, подключение к VPN-серверу или доступ к каналам камеры безопасности. Такие службы иногда требуют, чтобы определенные порты открывались в брандмауэре маршрутизатора и направлялись на определенный компьютер или устройство в сети.
На этом снимке экрана показано, как я настроил свой маршрутизатор для перенаправления портов, чтобы я мог использовать удаленный SSH (Secure Shell) на сервере в локальной сети. Я не могу этого сделать, если мой шлюз также выполняет NAT (преобразование сетевых адресов).
Проблема с двойным NAT заключается в том, что если первый маршрутизатор в вашей сети не настроен для переадресации портов, входящий трафик прекратится там, даже если на втором маршрутизаторе настроен порт вперед. Даже если первый маршрутизатор имеет порт вперед, он не может перенаправить трафик на устройство, подключенное ко второму маршрутизатору. Он может перенаправлять только трафик на компьютеры и устройства, напрямую подключенные к этому первому маршрутизатору, который может быть либо беспроводным, либо проводным.
Двойной NAT также может усложнить любые ручные или автоматические элементы управления качеством обслуживания (QoS), которые определяют приоритетность трафика в вашей внутренней сети, чтобы обеспечить чувствительный к задержкам трафик (игра, голос или видео), которому присваивается более высокий приоритет, чем данные, связанные с файловыми передачами
Это особенно важно, если у вас есть устройства, подключенные к обоим маршрутизаторам, оба из которых имеют разные элементы управления QoS
На этом снимке экрана отображаются параметры QoS (Quality of Service) моего маршрутизатора, которые я настроил для назначения приоритета VoIP (Voice over Internet Protocol).
Настройка NAT на компьютере
Все современные операционные системы имеют уже встроенный NAT. В Windows эта функция реализована с 1999 года с появлением Windows XP. Управление NAT осуществляется непосредственно через свойства сетевого подключения. Чтобы настроить службу нужно сделать следующее:
- Через меню «Пуск» запустить программу «Панель управления».
- Найти иконку «Сетевые подключения» и запустить ее.
- В новом окне кликнуть правой кнопкой мыши на активном сетевом подключении и выбрать в выпадающем списке «Свойства».
- Перейти на вкладку «Дополнительно».
- Установить галочки напротив «Разрешить другим пользователям сети использовать подключение к интернету данного компьютера».
- Подтвердить изменение кнопкой «Ок».
Если при выведется сообщение что невозможно запустить службу общего доступа, нужно убедиться, что запущена служба DHCP-клиент. При необходимости можно установить запуск службы принудительно, а не по запросу автоматически.
Методы изменения типа NAT на ПК
Вот простые способы изменить тип NAT на устройстве ПК:
Метод 1 – Порт вперед
Это наиболее распространенный способ изменить тип NAT без дополнительных хлопот. Вам просто нужно проверить модель вашего роутера и порты игры, в которую вы хотите играть.
- Вам нужно перейти на домашнюю страницу вашего роутера и найти опцию переадресации портов из списка.
- Введите порты игры в первом разделе и введите свой IP-адрес в следующем столбце.
- Вам будет предложено выбрать устройство, на которое вы хотите указать. После этого выберите опцию UDP и TCP .
- Теперь вы можете сохранить настройки и перезагрузить их для немедленных результатов.
Способ 2 – использовать VPN
Использование VPN – лучший способ обойти брандмауэр соединения NAT, так как в VPN нет ограничений на данные. Если вы используете VPN, все данные, которые передаются через ваш компьютер, зашифрованы . Это поможет вам защитить вашу личность в сети от физической сети, и вы сможете получить доступ к сети без каких-либо проблем.
Самым большим преимуществом использования VPN является то, что он может ограничить вашего интернет-провайдера от контроля ваших данных и наложения каких-либо ограничений на него, избавляя вас от регулирования ISP .
Метод 3 – Через обнаружение сети
Если вы являетесь пользователем Windows, вы можете включить обнаружение сети в вашей операционной системе.
Выполните следующие действия, чтобы включить обнаружение сети:
- Откройте начальное меню
- Ищи настройки
- Поиск сети и интернета
- Ищите « Опции обмена » в сети и настройках
- Включите параметр обнаружения сети и установите флажок для подключенных устройств тоже.
Теперь вы можете сохранить настройки и включить сетевое обнаружение вашего устройства Windows.
Динамический[править]
Есть пул белых адресов, например, провайдер выделил сеть 198.51.100.0/28 с 16-ю адресами. Два из них (первый и последний) — адрес сети и широковещательный, ещё два адреса назначаются на оборудование для обеспечения маршрутизации. Двенадцать оставшихся адресов можно использовать для NAT и выпускать через них своих пользователей.
Ситуация похожа на статический NAT — один приватный адрес транслируется на один внешний, — но теперь внешний не чётко зафиксирован, а будет выбираться динамически из заданного диапазона. Проблема подхода такая же, как и в случае со статическим NAT — не решается проблема ограниченности белых адресов.
Проблемы NAT и возможности решения
С момента появления NAT сразу же стали проявляться проблемы. Невозможно было получить доступ по отдельному протоколу или в работе отдельных программ. Данные проблемы так и не удалось полностью устранить, получилось только найти некоторые варианты решения только с использованием трансляции адресов, но ни один вариант решения не является правильным с точки зрения спецификаций администрирования.
В качестве примера можно рассмотреть протокол передачи файлов (FTP), который был саммым распространенным к появлению NAT. Для файловых серверов (FTP) ключевым является реальный IP адрес компьютера, который посылает запрос на доступ. Здесь преобразование адресов не работает, потому что запрос на сервер отправляется с IP, невидимого из интернета. Нет возможности создать сессию клиент-сервер для загрузки файлов. Обойти проблему помогает использование FTP в пассивном режиме. В этом режиме используется другой набор команд, и работа ведется через специальный прокси-сервер, который дополнительно открывает другой порт для соединения и передает его программе клиенту. Проблемой такого решения является то, что необходимо использовать сторонние FTP клиенты.
Полностью избавиться от проблемы доступа получилось только с появлением SOCKS (Socket Secure) протокола. Этот протокол позволяет обмениваться данными через прокси-сервер в «прозрачном» режиме. То есть сервер не будет знать, что происходит подмена адресов с локальных на глобальные и наоборот. Изобретение SOCKS позволило избавиться от ряда проблем и упростить работу администрирования сети:
- создает на сервере службу, слушающую входящие запросы, что позволяет обслуживать многосвязные протоколы наподобие FTP;
- нет необходимости использовать и обслуживать службу DNS внутри локальной сети. Теперь такая задача возложена на кэширующие прокси;
- дополнительные способы авторизации позволяют с большей эффективностью проводить отслеживание и фильтрацию пакетов. Средствами NAT можно фильтровать запросы только по адресам.
Использование NAT и SOCKS не всегда оправдано с точки зрения сетевого администрирования. Иногда более целесообразным является использование специализированных прокси, которых существуете множество для любого протокола передачи данных.