On Thu, Aug 14, 2003 at 11:01:22 +0200, Ing. Zdenek Sofr wrote: > NAT je skutecne prekladac adres. Jeho ukolem je "maskovat" IP adresy v > odchozich paket. Dela to tak, ze vsechny IP adresy z vnitrni site nahradi IP > adresou rozhrani, nad kterym je NAT spusten. Pri prichodu odpovedi na dany > paket provede zpetnou nahradu a tim dojde k doruceni na puvodni IP adresu > (nekde si pamatuje, jaky paket sel z jake IP adresy). To je docela přesné. Jen bych doplnil, že speciálním případem NATu je tzv. maškaráda, kdy je jedna veřejná IP adresa sdílena několika počítači uvnitř sítě. Navenek je provoz maskován za jednou IP adresu, proto název maškaráda. Obecný NAT je často mapován 1:1, kdy jedné veřejné adrese odpovídá jedna vnitřní adresa. Používá se u větších firem, které si pronajmou celý blok třeba 64 IP adres. Uvnitř používají interní adresy, ale při přístupu ven je veřejná adresa NAT přidělena jen některým vyvoleným a ostatní jedou přes maškarádu jedné IP nebo přes proxy. > Takze vyhoda - neni mozne zjistit strukturu vnitrni site > nevyhoda - pro zpristupneni "neceho" (aplikace, disk) z vnitrni site musi > jit pres "mapovani portu" Tato nevýhoda může být také výhodou, protože maškaráda vytváří přirozený firewall. Mapování portů není nic složitého. Pokud je potřeba zpřístupnit celou vnitřní síť, lze použít šifrovaný tunel. Výhodné zejména při propojení poboček. > Pokud se nemylim, "sdileni" i NAT by melo byt mozno provozovat soucasne. Ja > pouzivam PROXY server s aktivnim NATem nad vnejsim rozhranim (pouzivam > WinRoute). Pravdepodobne to bude umet i jiny proxy server (WinProxy, mozna i > LanSuite nebo jak se to od 602 jmenuje). > Zdenek "sdílení" bývá často realizováno proxy serverem a maškaráda nebo NAT v tom případě nejsou potřeba. Proxy bývá daleko bezpečnější, ale má podstatně vyšší nároky na HW proxy serveru. Na routerech 386 nebo 486 s malou pamětí je výhodnější použít NAT nebo maškarádu, protože mají nároky podstatně nižší. Kit -- Ing. Vlastimil Pospíchal http://www.hoteldrnholec.cz
This archive was generated by hypermail 2.1.3 : 14. 08. 2003, 16:14 CEST