Маловідомі подробиці роботи NAT
NAT, воістину, порятунок для системного адміністратора, коли потрібно швидко підключити до Інтернету локальну мережу. Але чи всі ви про нього знаєте?
NAT і його реалізації
Таким чином, в таблиці зіставлень NAT кожен запис складається з двох значень - IL і IG.
Більш поширений випадок - це NPAT, network and port address translation. При використанні NPAT в таблиці зіставлень кожен запис має не два (як в простому NAT), а п'ять значень:
Історично склалося так, що саме його, як правило, мають на увазі, коли вживають термін «NAT», і про нього ми і будемо говорити в подальшому, з огляду на його поширеності.
До цих пір мова йшла про речі загальновідомих. Однак, якщо подивитися на NAT ближче, виникають нові питання. Візьмемо найпростішу мережу, з одним комп'ютером і одним шлюзом, який виконує NAT. Модель маршрутизатора в даному випадку не дуже важлива - припустимо, що це давно застаріла, але все ще популярна Cisco 1601R (див. Рис. 2).
Малюнок 2. Приклад мережі з NAT
Last configuration change at 9:29:45 UTC someday by TheAllmightyMaster
NVRAM config last updated at 19:27:46 UTC some other day by TheAllmightyMaster
UDP 11.22.33.44:1053 192.168.0.141:1053 1.2.3.4:53 1.2.3.4:53
До речі кажучи - ну добре, допустимо такого додатка немає, а якби воно було? Як добре відомо користувачам таких програм, як eMule і eDonkey, вони вимагають, щоб їм була надана можливість безперешкодно отримувати UDP пакети з портом призначення 4661, або 4242, або 4321 - точний номер порту залежить від налаштувань. І, що також добре відомо їх користувачам, ці програми погано працюють, будучи запущені з локальної мережі, що знаходиться за NAT. Так ось, це може відбуватися, в тому числі і тому, що не дивлячись на успішне встановлення локальних клієнтом з'єднання з сервером, через специфіку даної конкретної реалізації NAT інші клієнти, що знаходяться в зовнішньому світі, не можуть встановлювати з'єднання з локальним клієнтом.
З цієї ж причини може не працювати DCC chat в клієнтах IRC, передача файлів в ICQ і тому подібні речі, для яких потрібне забезпечення безперешкодного проходження пакетів безпосередньо між призначеними для користувача комп'ютерами.
Отже, відповідаючи на питання, «чи отримає наш хост 192.168.0.141 пакет, спрямований на 11.22.33.44 від стороннього хоста», - може бути, отримає, а може бути, і немає; відповідь на це питання залежить від реалізації NAT на прикордонному маршрутизаторі.
Реалізацій ж налічується чотири:
Малюнок 3. Алгоритм роботи STUN
Запустивши його і вказавши в якості параметра командного рядка один з публічних STUN-серверів, ви дізнаєтеся тип вашого NAT: