rfc 3022

starea documentului

Acest document oferă informații pentru comunitatea de Internet, și nu definește orice standarde. Documentul poate fi distribuit gratuit.

prefață

1. Introducere

Basic Broadcast, în multe cazuri (cu excepția celor specificate în [NAT-TERM] și secțiunea 6 a acestui document) poate oferi accesul utilizatorilor la o rețea privată la rețeaua externă, precum și accesul extern la unele gazde locale. Organizațiile, în care rețeaua este folosit pentru a rezolva problemele interne, precum și accesul la rețelele externe este necesară în mod regulat, un astfel de sistem ar fi foarte convenabil.

Definiții "Address Realm", "Routing Transparent", "Porturi TU", "ALG" et al. Folosit aici pot fi găsite în [NAT-TERM].

2. Prezentare generală a NAT tradiționale

2.1 Prezentare generală a NAT de bază

2.2. Privire de ansamblu asupra NAPT

Rețineți din nou, că nu este obligat să facă orice modificări la gazde sau routere. cristal Broadcast clar.

altele decât TCP, UDP, ICMP sesiuni, nu este pur și simplu acceptată pentru nodurile locale, deservite de un router NAPT.

3. Faza de difuzare pentru sesiune

Faza tradițională NAT NAT aceeași așa cum este descris în [NAT-TERM]. În următoarele secțiuni luăm în considerare aspectele specifice ale radiodifuziunii tradiționale.

4. Transformarea Packet

Iapachetelorconexe sesiunilor NAT traducere supuse în ambele direcții. Descrierea detaliată a transformărilor efectuate pentru pachetele individuale sunt discutate mai jos.

4.1. Manipularea antetul IP, TCP, UDP si ICMP

Modelul NAPT IP schimbare antet este similar cu cazul de bază NAT. Sesiuni pentru TCP / UDP, de asemenea, modificări de port TU (portul sursă pentru pachetele de ieșire și portul de destinație pentru intrare) în / antetul UDP TCP. ICMP antet în pachetele ICMP, de asemenea, trebuie să fie modificate pentru a ajusta valoarea ID-ul de interogare și ICMP antet de control. ID rețea interogare gazdă internă în pachete de ieșire trebuie să fie înlocuite cu timpul alocat identificatorul de difuzare, iar răspunsurile primite trebuie să fie efectuate transformare inversă. ICMP antet de control trebuie să fie ajustate pentru a reflecta traducerea Query ID.

4.2. Corectarea unui control

4.3. Schimbarea mesajelor de eroare ICMP

Modificări la mesajul de eroare ICMP ([ICMP]) va include modificarea PA și ICMP, precum și modificarea header-ul pachetului încorporate în câmpul de date de mesaje ICMP.

În cazul NAPT, în cazul în care pachetul IP este încorporat în mesajul ICMP este un pachet de TCP, UDP sau ICMP interogare, TU, de asemenea, trebuie să se schimbe numărul de port în antetul TCP / UDP sau câmpul de interogare, identificatorul în antetul ICMP interogare.

În concluzie, necesitatea de a modifica antetul unui pachet IP care conține un ICMP.

4.4. suportul pentru FTP

Una dintre cele mai populare aplicația FTP ([FTP]) va necesita prezența ALG pentru a monitoriza sesiunea de control pentru a determina parametrii sesiunii de date corespunzătoare. FTP ALG este o componentă a încorporat cele mai multe implementari NAT.

Suport 4.5 DNS

4.6. prelucrarea opțiunilor IP

5.3. Dirijării prin intermediul NAT

5.4. Trecerea de la bază NAT la NAPT

6. NAT Limitări

[NAT-TERM] descrie limitările inerente tuturor opțiunilor NAT, fără prea multe detalii. O descriere mai detaliată a limitărilor inerente tradiționale NAT NAT.

6.1. secrete de securitate și de securitate

6.3. fragmente de difuzare care își încetează activitatea TCP / UDP în NAPT

Ca urmare, ambele sesiuni vor fi corupte.

7. implementările moderne

Rețineți că codul sursă Linux este distribuit sub licența GNU și software-ul FreeBSD - pe licență UC Berkeley.

Programe pentru Linux si FreeBSD sunt gratuite, și puteți cumpăra un CD cu oricare dintre aceste programe pentru preț foarte rezonabil. De asemenea, puteți pur și simplu descărcați cea mai recentă versiune a programului de pe serverele FTP multiple.

8. Considerații de securitate

Problemele de securitate discutate în [NAT-TERMEN] pentru toate opțiunile NAT aplicabile NAT tradiționale.

literatură

Pyda Srisuresh
Jasmine Networks, Inc.
3061 Zanker Road, Suite B
San Jose, CA 95134 USA
Telefon: (408) 895-5032
E-mail: moc.oohay@hserusirs

traducere română

Nicholas mic, moc.milib@hkylamn