rfc 3022
starea documentului
Acest document oferă informații pentru comunitatea de Internet, și nu definește orice standarde. Documentul poate fi distribuit gratuit.
prefață
1. Introducere
Basic Broadcast, în multe cazuri (cu excepția celor specificate în [NAT-TERM] și secțiunea 6 a acestui document) poate oferi accesul utilizatorilor la o rețea privată la rețeaua externă, precum și accesul extern la unele gazde locale. Organizațiile, în care rețeaua este folosit pentru a rezolva problemele interne, precum și accesul la rețelele externe este necesară în mod regulat, un astfel de sistem ar fi foarte convenabil.
Definiții "Address Realm", "Routing Transparent", "Porturi TU", "ALG" et al. Folosit aici pot fi găsite în [NAT-TERM].
2. Prezentare generală a NAT tradiționale
2.1 Prezentare generală a NAT de bază
2.2. Privire de ansamblu asupra NAPT
Rețineți din nou, că nu este obligat să facă orice modificări la gazde sau routere. cristal Broadcast clar.
altele decât TCP, UDP, ICMP sesiuni, nu este pur și simplu acceptată pentru nodurile locale, deservite de un router NAPT.
3. Faza de difuzare pentru sesiune
Faza tradițională NAT NAT aceeași așa cum este descris în [NAT-TERM]. În următoarele secțiuni luăm în considerare aspectele specifice ale radiodifuziunii tradiționale.
4. Transformarea Packet
Iapachetelorconexe sesiunilor NAT traducere supuse în ambele direcții. Descrierea detaliată a transformărilor efectuate pentru pachetele individuale sunt discutate mai jos.
4.1. Manipularea antetul IP, TCP, UDP si ICMP
Modelul NAPT IP schimbare antet este similar cu cazul de bază NAT. Sesiuni pentru TCP / UDP, de asemenea, modificări de port TU (portul sursă pentru pachetele de ieșire și portul de destinație pentru intrare) în / antetul UDP TCP. ICMP antet în pachetele ICMP, de asemenea, trebuie să fie modificate pentru a ajusta valoarea ID-ul de interogare și ICMP antet de control. ID rețea interogare gazdă internă în pachete de ieșire trebuie să fie înlocuite cu timpul alocat identificatorul de difuzare, iar răspunsurile primite trebuie să fie efectuate transformare inversă. ICMP antet de control trebuie să fie ajustate pentru a reflecta traducerea Query ID.
4.2. Corectarea unui control
4.3. Schimbarea mesajelor de eroare ICMP
Modificări la mesajul de eroare ICMP ([ICMP]) va include modificarea PA și ICMP, precum și modificarea header-ul pachetului încorporate în câmpul de date de mesaje ICMP.
În cazul NAPT, în cazul în care pachetul IP este încorporat în mesajul ICMP este un pachet de TCP, UDP sau ICMP interogare, TU, de asemenea, trebuie să se schimbe numărul de port în antetul TCP / UDP sau câmpul de interogare, identificatorul în antetul ICMP interogare.
În concluzie, necesitatea de a modifica antetul unui pachet IP care conține un ICMP.
4.4. suportul pentru FTP
Una dintre cele mai populare aplicația FTP ([FTP]) va necesita prezența ALG pentru a monitoriza sesiunea de control pentru a determina parametrii sesiunii de date corespunzătoare. FTP ALG este o componentă a încorporat cele mai multe implementari NAT.
Suport 4.5 DNS
4.6. prelucrarea opțiunilor IP
5.3. Dirijării prin intermediul NAT
5.4. Trecerea de la bază NAT la NAPT
6. NAT Limitări
[NAT-TERM] descrie limitările inerente tuturor opțiunilor NAT, fără prea multe detalii. O descriere mai detaliată a limitărilor inerente tradiționale NAT NAT.
6.1. secrete de securitate și de securitate
6.3. fragmente de difuzare care își încetează activitatea TCP / UDP în NAPT
Ca urmare, ambele sesiuni vor fi corupte.
7. implementările moderne
Rețineți că codul sursă Linux este distribuit sub licența GNU și software-ul FreeBSD - pe licență UC Berkeley.
Programe pentru Linux si FreeBSD sunt gratuite, și puteți cumpăra un CD cu oricare dintre aceste programe pentru preț foarte rezonabil. De asemenea, puteți pur și simplu descărcați cea mai recentă versiune a programului de pe serverele FTP multiple.
8. Considerații de securitate
Problemele de securitate discutate în [NAT-TERMEN] pentru toate opțiunile NAT aplicabile NAT tradiționale.
literatură
Pyda Srisuresh
Jasmine Networks, Inc.
3061 Zanker Road, Suite B
San Jose, CA 95134 USA
Telefon: (408) 895-5032
E-mail: moc.oohay@hserusirs
traducere română
Nicholas mic, moc.milib@hkylamn