Nat fullcone: Трансляция сетевых адресов (NAT). Виды, схемы работы

Содержание

Трансляция сетевых адресов (NAT). Виды, схемы работы


Трансляция сетевых адресов (NAT) используется многими сервис провайдерами и частными пользователями для решения проблемы нехватки реальных IP-адресов и обеспечения безопасности локальных сетей подключенных к Интернету. Например. Предприятие может иметь выделенный диапазон реальных IP-адресов, но гораздо большее количество компьютеров имеющих локальные IP-адреса которым необходим доступ в Интернет. Для решения этой проблемы используется технология трансляции адресов, которая позволяет компьютерам локальной сети взаимодействовать с сетью Интернет, используя всего один внешний реальный IP-адрес. NAT решает эту проблему с помощью подмены локального IP-адреса на наружный общедоступный адрес. Заменяя внутренний IP-адрес и порт на внешний IP-адрес и порт, NAT сохраняет таблицу соответствия, затем при получении ответного пакета производится обратное преобразование.
К локальным IP-адресам относятся следующие диапазоны адресов: 10. ххх.ххх.ххх, 192.168.ххх.ххх, 172.16.ххх.ххх - 172.32.ххх.ххх.
Схема работы NATа

Типы трансляторов сетевых адресов (NAT)

Трансляторы адресов подразделяются на 4 типа:
1. Symmetric NAT.
2. Full Cone NAT.
3. Address Restricted Cone NAT (он же Restricted NAT).
4. Port Restricted Cone NAT (или Port Restricted NAT)

В первых трех типах NATа разные IP-адреса внешней сети могут взаимодействовать с адресом из локальной сети используя один и тот же внешний порт. Четвертый тип, для каждого адреса и порта использует отдельный внешний порт.
NATы не имеют статической таблицы соответствия адресов и портов. Отображение открывается, когда первый пакет посылается из локальной сети наружу через NAT и действует определенный промежуток времени (как правило, 1-3 минуты), если пакеты через этот порт не проходят, то порт удаляется из таблицы соответствия. Обычно NAT распределяют внешние порты динамически, используется диапазон выше 1024.

1.Symmetric NAT.
До недавнего времени это была наиболее распространённая реализация. Его характерная особенность – в таблице NAT маппинг адреса IL на адрес IG жёстко привязан к адресу OG, то есть к адресу назначения, который был указан в исходящем пакете, инициировавшем этот маппинг. При указанной реализации NAT в нашем примере хост 192.168.0.141 получит оттранслированные входящие UDP-пакеты только от хоста 1.2.3.4 и строго с портом источника 53 и портом назначения 1053 – ни от кого более. Пакеты от других хостов, даже если указанные в пакете адрес назначения и порт назначения присутствуют в таблице NAT, будут уничтожаться маршрутизатором. Это наиболее параноидальная реализация NAT, обеспечивающая более высокую безопасность для хостов локальной сети, но в некоторых случаях сильно усложняющая жизнь системных администраторов. Да и пользователей тоже.

2. Full Cone NAT.
Эта реализация NAT – полная противоположность предыдущей. При Full Cone NAT входящие пакеты от любого внешнего хоста будут оттранслированы и переправлены соответствующему хосту в локальной сети, если в таблице NAT присутствует соответствующая запись. Более того, номер порта источника в этом случае тоже не имеет значения – он может быть и 53, и 54, и вообще каким угодно. Например, если некое приложение, запущенное на компьютере в локальной сети, инициировало получение пакетов UDP от внешнего хоста 1.2.3.4 на локальный порт 4444, то пакеты UDP для этого приложения смогут слать также и 1.2.3.5, и 1.2.3.6, и вообще все до тех пор, пока запись в таблице NAT не будет по какой-либо причине удалена. Ещё раз: в этой реализации NAT во входящих пакетах проверяется только транспортный протокол, адрес назначения и порт назначения, адрес и порт источника значения не имеют.

3. Address Restricted Cone NAT (он же Restricted NAT).
Эта реализация занимает промежуточное положение между Symmetric и Full Cone реализациями NAT – маршрутизатор будет транслировать входящие пакеты только с определенного адреса источника (в нашем случае 1.2.3.4), но номер порта источника при этом может быть любым.

4.Port Restricted Cone NAT (или Port Restricted NAT).
То же, что и Address Restricted Cone NAT, но в этом случае маршрутизатор обращает внимание на соответствие номера порта источника и не обращает внимания на адрес источника. В нашем примере маршрутизатор будет транслировать входящие пакеты с любым адресом источника, но порт источника при этом обязан быть 53, в противном случае пакет будет уничтожен маршрутизатором.

NAT и Интернет телефония с использованием SIP протокола


Существует три основных проблемы прохождения через NAT звонков с использованием SIP протокола.
1. Наличие локальных адресов в SIP сигнализации.

SIP-пакет:

INVITE sip:[email protected] SIP/2.0
Record-Route:
Via: SIP/2.0/UDP 212.1.1.45;branch=z9hG4bK3af7.0a6e92f4.0
Via: SIP/2.0/UDP 192.168.0.21;branch=z9hG4bK12ee92cb;rport=5060
From: "test" ;tag=as149b2d97
To: sip:[email protected]
Contact: 192.168.0.21:5060>
Call-ID: [email protected]:5060
CSeq: 3 INVITE
Max-Forwards: 70
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY
Supported: replaces
Content-Type: application/sdp
Content-Length: 394

v=0
o=root 3303 3304 IN IP4 192.168.0.21
s=session
c=IN IP4 192.168.0.21
t=0 0
m=audio 40358 RTP/AVP 8 101
a=rtpmap:8 PCMA/8000
a=rtpmap:101 telephone-event/8000
a=fmtp:101 0-16

a=silenceSupp:off - - - -
a=sendrecv

В приведенном примере сигнализации выделены поля, в которых указан локальный адрес. Как следствие этого сервер сети Интернет-телефонии (SoftSwitch) обработав такой запрос, с локальными адресами, не может отправить абоненту ответ, поскольку в поле "Via" указан адрес, который не маршрутизируется в Интернете.
2. Прохождение голосового потока (RTP).
Вызываемый абонент, получив вызов от сервера сети Интернет-телефонии, с указанием локального адреса получателя голосового потока не может отправить речевую информацию по назначению, поскольку указанный адрес не маршрутизируется в Интернете. Вследствие этого возникает, одностороння слышимость абонентов или ее полное отсутствие.
3. Абонент, подключенный через NAT, практически не может принимать входящие звонки.
Это связанно с тем, что NAT резервирует внешний порт на небольшой промежуток времени (от 1 до 3 мин.), поле чего освобождает его.
Полученный после этого входящий вызов от сервера сети Интернет-телефонии просто игнорируется и как следствие этого абонент расположенный за NATом не может получить информацию о входящем звонке

Вы нашли ответы на все свои вопросы в данной статье?

Да Нет

Задайте свой вопрос инженеру в режиме онлайн через мессенджеры или социальную сеть:

Carrier Grade NAT (CG-NAT/CGN): ретрансляция сетевых адресов

CGNAT – отвечает за ретрансляцию сетевых адресов и портов, позволяя работать с одним «белым» адресом формата IPv4 сразу нескольким пользователям. CGNAT избавляет от известной проблемы с IPv4, которая характеризуется ограниченностью диапазона адресного пространства, облегчает процесс адаптации и перехода на IPv6.

Классический NAT с трансляцией портов, реализованный в ОС Linux или FreeBSD — это port restricted NAT – принимает входящие соединения только с конкретного номера порта. Например, две игровые приставки, находящиеся за подобным шлюзом, не смогут связаться друг с другом, поскольку NAT изменит номер порта. Аналогично не произойдет соединения у торрентов и других пиринговых протоколов. CGNAT позволяет уйти от этих проблем, разрешая входящие соединения с любого порта.

Схема, при которой СКАТ DPI выступает в качестве NAT шлюза с резервированием:

Важная особенность решения заключается в способности справляться с высокими нагрузками в результате анализа трафика, в том числе обеспечивать функцию CGNAT.

Основные характеристики

  • Соответствие стандартам, прописанным в RFC 6888, RFC 4787
  • Поддержка туннелирования GRE через встроенный NAT (PPTP/GRE ALG)
  • Full Cone – прозрачная работа P2P протоколов и игровых сервисов
  • Paired IP address pooling – привязка сессии к единому для абонента публичному IP- адресу
  • Hairpinning – возможность абонентам внутри NAT обращаться по сети без трансляции адресов
  • Индивидуальные лимиты – задают регулируемое количество TCP и UDP соединений на каждого пользователя
  • Журналирование трансляций по протоколу IPFIX (NetFlow v10)
  • NAT 1:1 упрощает маршрутизацию в сети оператора
  • Для возможности использовать функцию CGNAT, требуется включение СКАТ DPI по схеме «в разрыв» и наличие лицензии СКАТ DPI COMPLETE
  • Чтобы повысить отказоустойчивость необходимо установить резервную платформу
  • Чтобы добиться желаемой производительности при трансляции адресов, необходимо выбрать соответствующую платформу и лицензию – СКАТ DPI 6, 20, 40 и выше

Как определить исходящий порт в Python-NAT



Я работаю над чем-то, что отправляет данные из одной программы через UDP в другую программу через известный IP и порт. Программа на известном IP и Порту получает сообщение от исходного IP, но благодаря NAT порт затемняется (до чего-то вроде 30129). Программа на известном IP и Порту хочет отправить подтверждение и / или информацию запрашивающей программе. Он может отправить его обратно на исходный IP и затемненный порт #., но как запрашивающая программа узнает, какой порт нужно контролировать, чтобы вернуть его обратно? Или есть ли способ (это Python) сказать: "отправьте это через порт 3200 на известный IP (1.2.3.4) на порт 7000? Таким образом, известный IP/порт может ответить на порт 30129, но он будет перенаправлен на 3200, который программа запроса знает для мониторинга. Любая помощь будет оценена по достоинству. И нет, TCP-это не вариант.

python sockets udp port nat
Поделиться Источник Tab     18 марта 2014 в 18:00

2 ответа


  • Выберите исходящий порт TCP / IP на Android

    Есть ли способ выбрать исходящий порт, который я использую при подключении, например, к веб-сервису? Я буду работать на устройстве Android, так что в идеале было бы проще всего что-то основанное на Java.

  • Как определить исходящий порт, используемый SSH после подключения?

    Я подключился к удаленному серверу с помощью ssh: ssh -i <keypair> <[email protected]> Как определить исходящий порт, который мой клиент ssh использует для подключения к удаленному серверу ? Я хочу знать, чтобы настроить свой клиент VNC на использование этого порта... NOTE: я не говорю о...



1

Ладно, я понял - хитрость в том, чтобы использовать для получения тот же объект носка, который вы использовали для отправки. По крайней мере, в начальных экспериментах это, кажется, помогает. Спасибо за вашу помощь.

Поделиться Tab     18 марта 2014 в 18:32



0

Простой ответ заключается в том, что вам все равно, что такое порт "real" (т. Е. предварительно настроенный). Просто ответьте на запрос nat и позвольте nat обрабатывать выдачу результата. Если вам ABSOLUTELY нужно знать исходный порт UDP, включите эту информацию в свой пакет UDP, но я настоятельно рекомендую этого не делать.

Поделиться user590028     18 марта 2014 в 18:05


Похожие вопросы:


Перенаправить весь исходящий трафик на порт 80 на другой IP на том же сервере

У меня есть несколько адресов IP на одном сервере, и я хотел бы перенаправить весь исходящий трафик на порт 80 на другой IP на том же сервере, просто не использовать всегда основной IP. В настоящее...


Как определить тип NAT, за которым стоит данный интерфейс

Я хотел бы обнаружить тип NAT (FullCone, ограниченный конус, порт ограниченный конус, симметричный), за которым стоит данный сетевой интерфейс. Я тестировал разные инструменты (...


Как узнать порт (назначенный nat), с которого осуществляется подключение к веб-серверу

В принципе, у меня есть доступ к серверу Apache, и я хочу сделать приложение обхода NAT. Я думал о том, чтобы случайно попробовать порты с обеих сторон, но быстро отбросил эту идею. У меня нет...


Выберите исходящий порт TCP / IP на Android

Есть ли способ выбрать исходящий порт, который я использую при подключении, например, к веб-сервису? Я буду работать на устройстве Android, так что в идеале было бы проще всего что-то основанное на...


Как определить исходящий порт, используемый SSH после подключения?

Я подключился к удаленному серверу с помощью ssh: ssh -i <keypair> <[email protected]> Как определить исходящий порт, который мой клиент ssh использует для подключения к удаленному серверу ? Я...


linux iptables перенаправляют исходящий трафик на локальный порт

Я хочу перенаправить весь исходящий трафик с порта 8080 на локальный порт 8080 например, я создаю сервер с помощью этой команды nc -l -p 8080 и хочу при использовании этой команды nc 1.2.3.4 8080 ,...


Azure набор шкал: NAT правило не работает

Я создал VMSS с балансировщиком нагрузки (LB). Теперь есть только один VM с приложением nodeJs , запущенным и прослушивающим порт 80. Я разрешил доступ к порту на брандмауэре виртуальной машины...


BizTalk Deployment-исходящий логический порт остается несвязанным

У меня есть решение BizTalk, которое развертывается с помощью UDeploy. После deployment в одной оркестровке один конкретный исходящий логический порт не привязывается к своему порту отправки. Порт...


AWS network ACL: почему мне нужно разрешить исходящий порт 80 для просмотра Интернета?

Я очень новичок в AWS и нетворкинге. Я играл с сетью ACL. Я понял, что если я не разрешу исходящий порт 443 (HTTPS) в сети ACL, я не смогу использовать браузер для перехода к https://www.google.com...


Входящий пул NAT, как обнаружить внешний порт?

Предыстория : если я правильно понимаю, InboundNATPools используются для сопоставления диапазона внешних портов, каждый из которых соответствует определенному VM на VMSS позади LB. например...

Настройка роутера Mikrotik для работы с 3CX Phone System

Posted on January 3rd, 2015 by Игорь Снежко, Customer Support Regional Manager - Russia & Ukraine

Компания Mikrotik давно выпускает весьма гибкие и недорогие устройства маршрутизации под общим названием Mikrotik Routerboard. Несмотря на обширную линейку этих устройств, их объединяет единая операционная система – Mikrotik RouterOS. Настройка роутеров Mikrotik для работы с 3CX Phone System совсем не так сложна, как может показаться на первый взгляд. Рассмотрим настройку на примере Wi-Fi роутера RB2011UiAS-2HnD-IN. Данный роутер отлично подойдет для организации доступа в сеть Интернет для небольшой и средней компании.

Внимание! Различные модели Mikrotik могут иметь разные предустановки. В частности, модели для SMB сегмента предустановлены таким образом, чтобы с минимальными настройками обеспечить выход в Интернет через первый порт роутера Eth2. Мы воспользуемся этим преимуществом.

Базовая настройка роутера для выхода в Интернет

Если у вас новый роутер, загрузите утилиту Winbox и подключитесь к устройству по адресу 192.168.88.1 с именем пользователя admin. После подключения нажмите в левом верхнем углу кнопку меню Quick Set.

Здесь:

  1. Обновление прошивки роутера. С этого следует начать и продолжить после перезагрузки устройства.
  2. Настройки Wi-Fi модуля роутера (если ваша модель его имеет).
  3. Настройки доступа в Интернет. В данном случае используется PPPoE доступ через порт Ethernet1.
  4. Настройки локальной сети и DHCP сервера. Внимание! Настройка DHCP сервера требует дополнительных действий, описанных далее.
  5. Пароль доступа к интерфейсу управления роутера.

Настройки достаточно очевидны. После установки параметров нажмите кнопку Apply или OK..

Настройка DHCP сервера

Перейдите в раздел меню IP > DHCP Server > Options.

Здесь нужно создать новую DHCP опцию 66 и ее значением указать HTTP ссылку для автонастройки ваших IP телефонов. Эту ссылку нужно скопировать из раздела Настройки > Автонастройка телефона консоли управления 3CX. При этом строку нужно взять в одинарные кавычки, например, ‘http://192.168.0.2/provisioning/hwz44ph6o9’.

Для завершения настройки зайдите в раздел IP > DHCP Server > Networks и донастройте DHCP сервер. В данном примере установлены DNS сервер, имя домена, сервер времени и созданная ранее DHCP опция 66.

Отключение SIP ALG

Для того, чтобы у вас не возникало проблем в работе удаленных подключений в 3CX Phone System, следует отключить встроенный в роутер SIP Application Layer Gateway. Для этого перейдите в раздел IP > Firewall Service Ports и отключите сервис SIP ALG, нажав кнопку с красным крестиком сверху.

Создание правил сетевого экрана и NAT

Для того, чтобы реализовать в роутере Mikrotik Full Cone NAT, или, другими словами, опубликовать на внешней интерфейсе необходимые порты сервера 3CX Phone System, следует создать набор правил брандмауэра. Все правила создаются единообразно.

Перейдите в раздел IP > Firewall > NAT и нажмите кнопку с изображением плюса для добавления нового правила. В данном примере созданы правила для двух SIP провайдеров с IP адресами 62.64.127.43 и 69.167.178.6. Также созданы правила для внешних подключений HTTPS (порт 443 – статусы доб. номера, индикация присутствия клиентов 3CXPhone и удаленное администрирование сервера) и правила для 3CX Tunnel (порт 5090 UDP и TCP).

Правило для SIP сервера

Параметры устанавливаются во вкладках General и Action.

Здесь:

  1. Направление действия правила
  2. Внешний адрес, для которого это правило эффективно. В данном случае, это IP адрес SIP провайдера. Внимание! Рекомендуется разрешать внешний входящий SIP и RTP трафик только для необходимых IP адресов, а не для всего Интернета!
  3. Тип протокола
  4. Порт сервиса, который публикуется
  5. Интерфейс, для которого это правило эффективно. В данном случае, это PPPoE интерфейс подключения роутера к Интернет провайдеру
  6. Действие, которое выполняет правило
  7. Локальный адрес сервера 3CX Phone System
  8. Локальный порт публикуемого сервиса
Правила для 3CX Tunnel и HTTPS

Правила настраиваются аналогично, но адрес источника не указывается. То есть, правило действует для любого хоста в Интернет.

Опционально: настройка сервера времени NTP

Если вы хотите, чтобы роутер Mikrotik также являлся сервером времени для IP телефонов в вашей сети, необходимо загрузить и установить пакет, запускающий сервер NTP в роутере. Архив пакетов для текущей версии RouterOS можно загрузить здесь (актуально только для RouterOS 6.24!). После загрузки распакуйте архив и перетащите файл ntp-6.24-mipsbe.npk в окно File List, вызываемое боковым меню Files.

Внимание! Загружайте файл пакета в корень файловой системы. После этого перегрузите роутер в меню System > Reboot.

После перезагрузки включите NTP сервер в меню System > NTP Server.

В меню System > NTP Client задайте IP адрес предпочитаемого сервера NTP в Интернет для установки точного времени на роутере.

Также рекомендуется установить текущее время в меню System > Clock.

На этом настройка роутера Mikrotik для работы с 3CX Phone System завершена.

Конечно, роутеры Mikrotik имеют множество других важных настроек, которые могут использоваться в вашей сети, однако их рассмотрение выходит за рамки этой статьи.

Общие сведения о различных типах NAT и пробивании отверстий

Применимо к…

  • DxConnect 19,5
  • DxConnect 20.0
  • DxOdyssey 19,5
  • DxOdyssey 20.0
  • DxEnterprise 19,5
  • DxEnterprise 20,0
  • DxEnterprise 21.0

Сводка

Краткое объяснение типов трансляции сетевых адресов (NAT), как они работают с перфорацией и могут влиять на возможность присоединения к группам шлюзов и создания туннелей.

Информация

Все определения NAT, приведенные ниже, взяты из документа Internet Society RFC 3489.

Нормальный (полный конус) NAT

Полный конусный NAT - это такой NAT, при котором все запросы с одного и того же внутреннего IP-адреса и порта отображаются на один и тот же внешний IP-адрес и порт. Кроме того, любой внешний хост может отправить пакет внутреннему хосту, отправив пакет на отображенный внешний адрес.

Ограниченный конус NAT

Ограниченный конусный NAT - это такой конус, в котором все запросы с одного и того же внутреннего IP-адреса и порта отображаются на один и тот же внешний IP-адрес и порт.В отличие от NAT с полным конусом, внешний хост (с IP-адресом X) может отправить пакет на внутренний хост только в том случае, если внутренний хост ранее отправил пакет на IP-адрес X.

Конус с ограничением портов NAT

Конусный NAT с ограничением портов похож на ограниченный конусный NAT, но ограничение включает номера портов. В частности, внешний хост может отправить пакет с исходным IP-адресом X и исходным портом P на внутренний хост только в том случае, если внутренний хост ранее отправил пакет на IP-адрес X и порт P.

Симметричный NAT

Симметричный NAT - это такой NAT, при котором все запросы с одного и того же внутреннего IP-адреса и порта на определенный IP-адрес и порт назначения отображаются на один и тот же внешний IP-адрес и порт. Если один и тот же хост отправляет пакет с тем же адресом источника и портом, но в другое место назначения, используется другое сопоставление. Более того, только внешний хост, который получает пакет, может отправить UDP-пакет обратно на внутренний хост.

Пробивка отверстий

Использование ранее установленной ассоциации, позволяющей произвольному внешнему адресу / порту отправлять данные на внутренний адрес / порт, называется перфорацией.Пробивка отверстий возможна с помощью обычных (полноконусных), ограниченных и ограниченных по портам NAT, которые последовательно сопоставляют один и тот же внутренний адрес / порт с внешним адресом / портом.

ПРИМЕЧАНИЕ. Пробивка отверстий невозможна с чисто симметричными NAT из-за их несовместимого поведения при сопоставлении портов, зависящих от места назначения.

Пробивка отверстий может использоваться как для TCP, так и для UDP-трафика. Чтобы перфорация работала, ассоциация должна быть создана путем инициирования исходящего соединения из внутренней системы и последующего повторного использования порта внутренней системы в качестве слушателя.Внешние системы, отличные от цели исходного соединения, смогут подключаться к внутренней системе через ассоциацию.

Пробивка отверстий может использоваться, когда обе стороны желаемого пути связи находятся за NAT, при условии, что хотя бы одна сторона может определить динамическую ассоциацию, назначенную другой стороне NAT, и отправить данные через ассоциацию.

Тест NAT

Щелкните ссылку ниже, чтобы запустить Dh3i NAT Test, чтобы определить, находится ли ваш сайт за устройством с симметричным NAT.
Dh3i NAT Тест

ПРИМЕЧАНИЕ. Тест Dh3i NAT не делает различий между конусным NAT с полным конусом, ограниченным конусом и конусным ограничением портов. Все эти три типа дадут результат «Нормальный NAT». Следовательно, если один сайт находится за «симметричным NAT», а другой - за «нормальным NAT», соединение может быть или не быть возможным с программным обеспечением Dh3i в зависимости от того, какой тип «нормального NAT» задействован. Симметричный NAT в сочетании с NAT с ограничением портов - это немаршрутизируемая комбинация.

Матрица поддержки типов NAT

Список литературы

Что делают Full Cone и Symmetric NAT для NAT Traversal

Когда мы говорим о протоколе Stun, используемом для обхода NAT в среде voip, общий термин, используемый при разговоре о типе NAT, совместимом с Stun, - это «Full Cone NAT», а затем, когда мы объясняем, почему протокол Turn разработан для замены Stun Протокол, наиболее частая причина - «Симметричный NAT несовместим с Stun».Эти термины «Полный конусный NAT» и «Симметричный» вызывают много недоразумений.

Для некоторых людей, которые традиционно работают с разными поставщиками, такими как Cisco, F5, Fortinet, используются разные термины NAT, наиболее распространенными типами NAT, используемыми многими поставщиками, являются: PAT, статический NAT, SNAT, динамический NAT.

Вопрос: есть ли различия между Full Cone NAT и Symmetric NAT, используемыми в качестве ссылок для объяснения протоколов Stun и Turn?

Ответ находится в RFC 3489 для протокола Stun.

Раздел 5.Варианты NAT

Полный конус: NAT с полным конусом - это такой, при котором все запросы от одного и того же внутреннего IP-адреса
и порта отображаются на один и тот же внешний IP-адрес и порт
. Кроме того, любой внешний хост может отправить пакет
на внутренний хост, отправив пакет на сопоставленный внешний адрес
.

Симметричный: Симметричный NAT - это такой, при котором все запросы от одного и того же внутреннего IP-адреса и порта
к определенному IP-адресу назначения и порту
отображаются на один и тот же внешний IP-адрес и порт
.Если один и тот же хост отправляет пакет с тем же адресом и портом источника
, но в другое место назначения, используется другое сопоставление
. Более того, только внешний хост, который
принимает пакет, может отправить UDP-пакет обратно внутреннему хосту.

Если мы посмотрим на RFC 3489 в разделе: 5. Варианты, полный конусный NAT означает, что частный IP-адрес и порт внутреннего хоста всегда отображаются или транслируются на один и тот же общедоступный IP-адрес и порт при выходе в Интернет, это означает что с этой точки зрения этот внутренний хост доступен из Интернета, используя свой собственный общедоступный IP-адрес и порт.На языке производителя такой тип NAT называется статическим NAT.

От, скажем, поставщика Cisco, статический NAT позволяет отображать общедоступные IP-адреса на хосты внутри внутренней сети. Проще говоря, это означает, что у вас может быть компьютер или сервер в вашей частной сети, которая существует в Интернете с собственным реальным IP-адресом. Это взаимно однозначное сопоставление частного IP-адреса с общедоступным IP-адресом или частного IP / порта с общедоступным IP / портом.

Итак, мы можем сделать вывод, что Full Cone NAT определенно является статическим NAT, традиционно используемым многими производителями.

Для симметричного NAT RFC 3489 объясняет этот вид NAT следующим образом: IP / порт внутреннего хоста преобразуются в разные общедоступные / порты при переходе в другое место назначения в Интернете. И это добавляет интересное предложение: только внешний хост, который получает пакет, может отправить пакет обратно на внутренний хост, это означает, что этот внутренний хост недоступен напрямую из Интернета, как Full Cone NAT, но после инициирования трафика ответ будет отправлено обратно этому хосту.

С точки зрения таких поставщиков, как Cisco, Dynamic NAT и PAT аналогичны Symmetric, как это объясняется в RFC 3489.
Динамический NAT можно определить как динамическое сопоставление частного IP-адреса с общедоступным IP-адресом из группы общедоступных IP-адресов, называемых пулом NAT, поэтому частный IP-адрес может быть преобразован в другой общедоступный IP-адрес, поскольку это сопоставление является динамическим.

Преобразование адресов порта (PAT) - это еще один тип динамического NAT, который может отображать несколько частных IP-адресов на один общедоступный IP-адрес с помощью технологии, известной как преобразование адресов портов. Здесь, когда клиент из внутренней сети связывается с хостом в Интернете, маршрутизатор меняет номер исходного порта (TCP или UDP) на другой номер порта.

Проблемы динамического NAT и PAT заключаются в том, что внутренний хост не может быть доступен напрямую внешнему хосту.

Итак, наконец, Full Cone NAT - это наш статический NAT, который мы обычно настраиваем на наших маршрутизаторах и брандмауэрах, а симметричный NAT - это, наконец, динамический NAT или PAT, который мы обычно используем в нашей инфраструктуре.

Типы NAT и обход NAT - документация Kurento 6.16.0

Транспортный адрес

Транспортный адрес - это комбинация IP-адреса хоста и порта.Говоря о передаче пакетов между хостами, мы будем называть их транспортными адресами как источника, так и получателя.

Пакетная передача

Чтобы говорить о потоках трафика в этом документе, мы будем называть передачу пакетов фактом отправки пакетов данных от источника к хосту назначения. Передача представлена ​​транспортными адресами каждого хоста плюс направление:

 (SRC_ADDR, SRC_PORT) -> (DST_ADDR, DST_PORT)
 

Примечание

  • -> обозначает направление передачи.

  • (ADDR, PORT) обозначает транспортный адрес.

  • (SRC_ADDR, SRC_PORT) - транспортный адрес хоста, который отправляет пакеты.

  • (DST_ADDR, DST_PORT) - транспортный адрес хоста, который принимает пакеты.

Входящая передача через NAT

NAT поддерживает входящих правил , которые используются для преобразования транспортных адресов между внешними и внутренними сторонами NAT.Обычно внешняя сторона NAT обращена к общедоступному Интернету ( WAN ), а внутренняя сторона NAT обращена к частной локальной сети ( LAN ).

Входящие правила имеют форму хэш-таблицы (или карты ), в которой хранится прямая связь между парой внешних транспортных адресов (квадруплет ) и однозначно соответствующим внутренним транспортным адресом. Другими словами:

  • Учитывая четверку, образованную внешним транспортным адресом NAT и транспортным адресом удаленного хоста…

  • … существует правило для входящего трафика для внутреннего транспортного адреса.

Как правило, эти правила NAT создаются автоматически во время исходящей передачи, исходящей из локальной сети на некоторый удаленный хост: именно в тот момент, когда NAT создает новую запись в своей таблице (это шаг 1 в следующем визуализации). Позже эта запись в таблице NAT используется, чтобы решить, какой локальный хост должен получить ответ, который может отправить удаленный хост (это , шаг 2, в визуализациях). Созданные таким образом правила называются « динамических правил »; с другой стороны, «статические правила » могут быть явно созданы администратором для настройки фиксированной таблицы NAT.

Визуализация:

 {внутренняя сторона NAT} | {Внешняя сторона NAT} | {Удаленный узел}
                         | |
1. (INT_ADDR, INT_PORT) => [(EXT_ADDR, EXT_PORT) -> (REM_ADDR, REM_PORT)]
2. (INT_ADDR, INT_PORT) <= [(EXT_ADDR, EXT_PORT) <- (REM_ADDR, REM_PORT)]
 

Значение: какой-то хост инициировал передачу исходящего пакета с IP-адреса INT_ADDR и порта INT_PORT на удаленный хост в REM_ADDR и порту REM_PORT.Когда первый пакет пересек NAT, он автоматически создавал динамическое правило, переводя внутренний транспортный адрес (INT_ADDR, INT_PORT) во внешний транспортный адрес (EXT_ADDR, EXT_PORT). EXT_ADDR - это внешний IP-адрес NAT, в то время как EXT_PORT может быть таким же, как INT_PORT, или может быть другим (это решать NAT).

Примечание

  • -> и <- обозначают направление передачи на каждом шаге.

  • => обозначает создание нового правила в таблице NAT.

  • [(ADDR, PORT), (ADDR, PORT)] в квадратных скобках обозначает четверку транспортных адресов, используемую для доступа к таблице преобразования NAT.

  • <= ​​ обозначает разрешение преобразования NAT.

  • (INT_ADDR, INT_PORT) - это исходный транспортный адрес на внутренней стороне NAT для локального хоста, выполняющего передачу во время шага 1, и это транспортный адрес назначения для того же хоста, принимающего передача во время шага 2.

  • (EXT_ADDR, EXT_PORT) - это исходный транспортный адрес на внешней стороне NAT, откуда отправляется передача во время шага 1, и это транспортный адрес назначения для передачи, полученной во время шаг 2.

  • (REM_ADDR, REM_PORT) - это транспортный адрес назначения некоторого удаленного хоста, принимающего передачу на шаге 1, и это транспортный адрес источника удаленного хоста, который выполняет передачу на шаге 2.

Существует две категории поведения NAT, а именно Cone и Symmetric NAT. Основное различие между ними состоит в том, что первые будут использовать одни и те же номера портов для внутренних и внешних транспортных адресов, а вторые всегда будут использовать разные номера для каждой стороны NAT. Это будет объяснено позже более подробно.

Кроме того, существует 3 типа Cone NAT с различной степенью ограничений в отношении разрешенных источников входящих передач.Чтобы подключиться к локальному хосту, который находится за Cone NAT, сначала требуется, чтобы локальный хост выполнял исходящую передачу на удаленный. Таким образом, для транспортного адреса назначения будет создано динамическое правило, позволяющее удаленному хосту подключиться обратно. Единственным исключением является Full Cone NAT, где статическое правило может быть создано администратором заранее, благодаря тому факту, что этот вид NAT игнорирует исходный транспортный адрес удаленного узла, к которому подключается.

Полный конус NAT

Этот тип NAT разрешает входящую передачу от с любого IP-адреса источника и на любой порт источника , если кортеж назначения существует в ранее созданном правиле.

Обычно эти правила статически создаются заранее администратором. Это правила, которые используются для настройки переадресации портов (также известной как «, открывающая порты ») в большинстве маршрутизаторов потребительского уровня. Конечно, как и для всех типов NAT, также можно создать динамические правила, предварительно выполнив исходящую передачу.

Визуализация:

 {внутренняя сторона NAT} | {Внешняя сторона NAT} | {Удаленный узел}
                         | |
1. (INT_ADDR, INT_PORT) => [(EXT_ADDR, INT_PORT) -> (REM_ADDR, REM_PORT)]
2. (INT_ADDR, INT_PORT) <= [(EXT_ADDR, INT_PORT) <- (*, *)]
 

Примечание

  • * означает, что можно использовать любое значение: удаленный хост может подключаться с к любому IP-адресу и порту .

  • Исходный IP-адрес ( REM_ADDR ) на шаге 2 может отличаться от IP-адреса назначения , который использовался на шаге 1.

  • Исходный IP-порт ( REM_PORT ) на шаге 2 может отличаться от IP-порта назначения , который использовался на шаге 1.

  • Один и тот же порт ( INT_PORT ) используется на внутренней и внешней сторонах NAT. Это наиболее распространенный случай для всех конических NAT, он отличается только для симметричных NAT.

(Адрес) Конус ограниченного доступа NAT

Этот тип NAT разрешает входящие передачи с определенного IP-адреса источника , но позволяет использовать любой порт источника .Обычно правило для входящего трафика этого типа ранее создавалось динамически, когда локальный хост инициировал исходящую передачу на удаленный.

Визуализация:

 {внутренняя сторона NAT} | {Внешняя сторона NAT} | {Удаленный узел}
                         | |
1. (INT_ADDR, INT_PORT) => [(EXT_ADDR, INT_PORT) -> (REM_ADDR, REM_PORT)]
2. (INT_ADDR, INT_PORT) <= [(EXT_ADDR, INT_PORT) <- (REM_ADDR, *)]
 

Примечание

  • Исходный IP-адрес ( REM_ADDR ) на шаге 2 должен совпадать с IP-адресом назначения , который использовался на шаге 1.

  • Исходный IP-порт ( REM_PORT ) на шаге 2 может отличаться от IP-порта назначения , который использовался на шаге 1.

  • Один и тот же порт ( INT_PORT ) используется на внутренней и внешней сторонах NAT.

Конус с ограничением портов NAT

Это наиболее ограничительный тип Cone NAT: он разрешает входящие передачи только с определенного IP-адреса источника и определенного порта источника .Опять же, правило для входящего трафика этого типа ранее создавалось динамически, когда локальный хост инициировал исходящую передачу на удаленный.

Визуализация:

 {внутренняя сторона NAT} | {Внешняя сторона NAT} | {Удаленный узел}
                         | |
1. (INT_ADDR, INT_PORT) => [(EXT_ADDR, INT_PORT) -> (REM_ADDR, REM_PORT)]
2. (INT_ADDR, INT_PORT) <= [(EXT_ADDR, INT_PORT) <- (REM_ADDR, REM_PORT)]
 

Примечание

  • Исходный IP-адрес ( REM_ADDR ) на шаге 2 должен совпадать с IP-адресом назначения , который использовался на шаге 1.

  • Исходный IP-порт ( REM_PORT ) на шаге 2 должен совпадать с IP-портом назначения , который использовался на шаге 1.

  • Один и тот же порт ( INT_PORT ) используется на внутренней и внешней сторонах NAT.

Симметричный NAT

Этот тип NAT ведет себя так же, как конусный NAT с ограничением портов, с одним важным отличием: для каждой исходящей передачи на другой удаленный транспортный адрес (т.е. к другому удаленному хосту) NAT назначает новый случайный исходный порт на внешней стороне. Это означает, что две последовательные передачи с одного и того же локального порта на два разных удаленных хоста будут иметь два разных внешних порта источника, даже если внутренний транспортный адрес источника одинаков для них обоих.

Это также единственный случай, когда протокол подключения ICE найдет кандидатов Peer Reflexive, которые отличаются от кандидатов Server Reflexive из-за различных портов между передачей на сервер STUN и прямой передачей между одноранговыми узлами.

Визуализация:

 {внутренняя сторона NAT} | {Внешняя сторона NAT} | {Удаленный узел}
                         | |
1. (INT_ADDR, INT_PORT) => [(EXT_ADDR, EXT_PORT1) -> (REM_ADDR, REM_PORT1)]
2. (INT_ADDR, INT_PORT) <= [(EXT_ADDR, EXT_PORT1) <- (REM_ADDR, REM_PORT1)]
...
3. (INT_ADDR, INT_PORT) => [(EXT_ADDR, EXT_PORT2) -> (REM_ADDR, REM_PORT2)]
4. (INT_ADDR, INT_PORT) <= [(EXT_ADDR, EXT_PORT2) <- (REM_ADDR, REM_PORT2)]
 

Примечание

  • Когда исходящая передача выполняется на шаге 1, EXT_PORT1 определяется как новый случайный номер порта, назначенный для нового удаленного транспортного адреса (REM_ADDR, REM_PORT1) .

  • Позже на шаге 3 выполняется другая исходящая передача с того же локального адреса и порта на тот же удаленный хост, но на другом порту. EXT_PORT2 - это новый случайный номер порта, назначенный для нового удаленного транспортного адреса (REM_ADDR, REM_PORT2) .

Механизм NAT реализован в подавляющем большинстве домашних и корпоративных маршрутизаторов и полностью предотвращает возможность запуска любого серверного программного обеспечения на локальном хосте, который находится за такими устройствами.NAT Traversal, также известный как Hole Punching , представляет собой процедуру открытия входящего порта в таблицах NAT этих маршрутизаторов.

Чтобы подключиться к локальному хосту, который находится за любым типом NAT, сначала требуется, чтобы локальный хост выполнял исходящую передачу на удаленный. Таким образом, для транспортного адреса назначения будет создано динамическое правило, позволяющее удаленному хосту подключиться обратно.

Чтобы сообщить одному хосту, когда он должен выполнить исходящую передачу другому, и указать транспортный адрес назначения, который он должен использовать, типичным решением является использование вспомогательной службы, такой как STUN.Обычно это управляется третьим хостом, сервером, находящимся на общедоступном интернет-адресе. Он извлекает внешний IP-адрес и порт каждого однорангового узла и передает эту информацию другим одноранговым узлам, которые хотят общаться.

STUN / TURN требования:

  • Симметричный на симметричный: ОБОРОТ .

  • Симметричный конус с ограниченным портом: TURN .

  • Симметричный конус с ограничением адреса: STUN (но, вероятно, ненадежный).

  • Симметричный к полному конусу: STUN .

  • Все остальное: STUN .

Пробивка отверстий своими руками

Проверить возможности NAT в локальной сети очень просто. Для этого нужен доступ к двум хостам:

  1. Один сидит за NAT. Назовем его хостом A .

  2. Один напрямую подключен к Интернету, без брандмауэра. Это хост B .

Задайте несколько вспомогательных переменных: общедоступный IP-адрес каждого хоста и их порты прослушивания:

 A_IP = "198.51.100.1" # Общедоступный IP-адрес NAT, который скрывает хост A
A_PORT = "1111" # Порт прослушивания на хосте A
B_IP = "203.0.113.2" # Публичный IP-адрес хоста B
B_PORT = "2222" # Порт прослушивания хоста B
 
  1. начинает прослушивание данных. Оставьте это в A:

  2. B пытается отправить данные, но NAT перед A отбрасывает пакеты.Обкатка B:

     эхо "ТЕСТ" | nc -4nu -q 1 -p "$ B_PORT" "$ A_IP" "$ A_PORT"
     
  3. выполняет перфорацию, заставляя свой NAT создать новое правило для входящих подключений. B ожидает пакета UDP для проверки.

    Обкатка B:

     sudo tcpdump -n -i eth0 "src host $ A_IP и udp dst port $ B_PORT"
     

    Обкатка A:

     sudo hping3 --count 1 --udp --baseport "$ A_PORT" --keep --destport "$ B_PORT" "$ B_IP"
     
  4. B пытается отправить данные еще раз.Обкатка B:

     эхо "ТЕСТ" | nc -4nu -q 1 -p "$ B_PORT" "$ A_IP" "$ A_PORT"
     

Примечание

  • Разницу между коническим NAT и симметричным NAT можно обнаружить на шаге 3. Если команда tcpdump на B показывает порт источника, равный $ A_PORT , то NAT учитывает выбранный порт источника. приложением, что означает, что это один из типов конусного NAT. Однако, если tcpdump показывает, что исходный порт отличается от $ A_PORT , тогда NAT изменяет исходный порт во время исходящего сопоставления, что означает, что это симметричный NAT.

  • В случае Cone NAT данные, отправленные из B , должны правильно поступать на A после шага 4.

  • В случае симметричного NAT данные, отправленные из B , не поступят на A после шага 4, потому что $ A_PORT - неправильный порт назначения. Если вы напишете правильный порт (как было обнаружено на шаге 3) вместо $ A_PORT , то данные должны прибыть на A .

PySTUN

PySTUN - это инструмент, который использует серверы STUN, чтобы попытаться определить тип NAT при запуске с хоста, находящегося за ним.

В настоящее время он был лучше всего обновлен в одной из своих форков, поэтому мы предлагаем использовать его вместо версии от оригинального создателя. Для установки и запуска:

 git clone https://github.com/konradkonrad/pystun.git pystun-konrad
cd pystun-konrad /
исследование git checkout
mv README.md README.rst
sudo python setup.py установить
пыстун
 

3CX требует статического сопоставления портов (Full Cone NAT)

Опубликовано 3 мая 2009 г. Ник Галеа , технический директор и основатель, 3CX

Если вы используете поставщика VoIP, вам потребуется брандмауэр, который поддерживает статическое сопоставление портов и настроен на него.Для правильной работы RTP, протокола, передающего звук, требуется статическое сопоставление портов.

RTP и симметричный NAT Приложения

VoIP, которые используют протокол RTP для отправки и приема аудио- и видеопотоков, как правило, имеют проблемы за межсетевым экраном или маршрутизатором, поскольку RTP использует случайные порты для отправки и получения аудио- или видеопотоков. Неправильная конфигурация брандмауэра приведет к тому, что вызовы, сделанные через провайдеров VoIP или удаленные расширения, не будут иметь звука или будут иметь только односторонний звук.

При использовании симметричного NAT брандмауэр / маршрутизатор изменяет порт, на котором принимается звук, на лету. Например, при исходящем вызове через провайдера VoIP система 3CX Phone выполнит разрешение STUN для определения общедоступного IP-адреса и используемого порта. Затем он сообщит об этом другой стороне. Между тем брандмауэр закроет порт, указанный в сообщении INVITE, что приведет к сбою вызова. Очевидно, что невозможно установить надежный вызов VoIP, если это делает брандмауэр.Эта процедура называется симметричным NAT и должна быть отключена.

Как проверить, правильно ли настроен брандмауэр?

Лучший способ проверить правильность конфигурации брандмауэра и отсутствие симметричного NAT - это запустить программу проверки брандмауэра. Вы можете запустить проверку брандмауэра из консоли управления 3CX, выбрав «Настройки»> «Проверка брандмауэра» . Если средство проверки брандмауэра не работает или приводит к ошибке предупреждения 10 , значит, у вас есть симметричный NAT, и вызовы через поставщика VoIP или на внешний добавочный номер не будут надежными.

Что я могу сделать для решения этой проблемы и создания статических сопоставлений портов?

Решением для отсутствия звука или одностороннего звука при вызове поставщика VoIP или при получении вызова от поставщика VoIP является использование маршрутизатора или брандмауэра, который поддерживает «Full Cone NAT» . В «Full Cone NAT» (также известном как NAT «один к одному») все порты для внешнего адреса отображаются на определенный внутренний адрес и тот же порт. Внешний хост может отправлять пакеты RTP на внутренний хост, отправляя пакет на внешний адрес брандмауэра или маршрутизатора и сопоставленный порт.

Большинство брандмауэров можно настроить для этого. Его также называют статическим портом. Эта конфигурация гарантирует, что определенный порт останется открытым и не будет изменен брандмауэром. Некоторые очень дешевые межсетевые экраны не позволяют такую ​​конфигурацию, но большинство межсетевых экранов позволяет. Ниже мы предоставили образцы конфигураций для следующих межсетевых экранов. На основе этих конфигураций вы сможете соответствующим образом настроить брандмауэр.

Дополнительная литература:

Объяснение различных типов NAT и принципов работы NAT:
http: // en.wikipedia.org/wiki/Network_address_translation

Еще один хороший ресурс по проблемам симметричных телефонных систем NAT и VOIP:
http://www.asteriskguru.com/tutorials/sip_nat_oneway_or_no_audio_asterisk.html

Chion82 / netfilter-full-cone-nat: модуль ядра для превращения MASQUERADE в SNAT с полным конусом

Реализация SNAT с полным конусом, совместимого с RFC3489.

Предполагая, что eth0 - это внешний интерфейс:

  iptables -t nat -A POSTROUTING -o eth0 -j FULLCONENAT # то же, что и MASQUERADE
iptables -t nat -A PREROUTING -i eth0 -j FULLCONENAT # автоматически восстанавливать NAT для входящих пакетов
  

В настоящее время для полноконусного NAT поддерживается только трафик UDP.Для других протоколов FULLCONENAT эквивалентен MASQUERADE.

Предварительные требования:

  • исходный код ядра
  • источник iptables (git: //git.netfilter.org/iptables.git)

Подтвердите, что опция конфигурации ядра CONFIG_NF_CONNTRACK_EVENTS включена. Если в вашей системе этот параметр отключен, включите его и перестройте модули netfilter.

Модуль ядра

  $ марка
# insmod xt_FULLCONENAT.ko
  

Добавочный номер Iptables

  1. Скопируйте libipt_FULLCONENAT.c до iptables-source / extensions .

  2. В исходном каталоге iptables, ./configure (используйте --prefix , чтобы заменить текущий iptables , посмотрев на который iptables ), make и make install

OpenWRT

Пакет для openwrt доступен по адресу https://github.com/LGA1150/openwrt-fullconenat

Предполагая, что eth0 - это внешний интерфейс:

Обычное использование:

  iptables -t nat -A POSTROUTING -o eth0 -j FULLCONENAT
iptables -t nat -A PREROUTING -i eth0 -j FULLCONENAT
  

Случайный диапазон портов:

  iptables -t nat -A POSTROUTING -o eth0! -p udp -j МАСКЕРАД
iptables -t nat -A POSTROUTING -o eth0 -p udp -j FULLCONENAT --to-ports 40000-60000 --random-full

iptables -t nat -A PREROUTING -i eth0 -p udp -m multiport --dports 40000: 60000 -j FULLCONENAT
  

Hairpin NAT (предполагается, что eth2 - это интерфейс LAN, а диапазон IP-адресов для LAN равен 192.168.100.0 / 24):

  iptables -t nat -A POSTROUTING -o eth0 -j FULLCONENAT
iptables -t nat -A ПОСТРОУТИРОВАНИЕ -o eth2 -s 192.168.100.0/24 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth0 -j FULLCONENAT
iptables -t nat -A PREROUTING -i eth2 -j FULLCONENAT
  
  1. Скопируйте xt_FULLCONENAT.c в kernel-source / net / netfilter / xt_FULLCONENAT.c
  2. Добавьте следующую строку в файл kernel-source / net / netfilter / Makefile :
  obj - $ (CONFIG_NETFILTER_XT_TARGET_FULLCONENAT) + = xt_FULLCONENAT.о
  
  1. Вставьте следующий раздел в kernel-source / net / ipv4 / netfilter / Kconfig сразу после раздела config IP_NF_TARGET_NETMAP :
  конфигурация IP_NF_TARGET_FULLCONENAT
  tristate "Целевая поддержка FULLCONENAT"
  зависит от NETFILTER_ADVANCED
  выберите NETFILTER_XT_TARGET_FULLCONENAT
  ---помощь---
  Это вариант обратной совместимости для удобства пользователя.
  (например, при запуске oldconfig). Он выбирает
  CONFIG_NETFILTER_XT_TARGET_FULLCONENAT. 
  1. Вставьте следующий раздел в kernel-source / net / netfilter / Kconfig сразу после раздела config NETFILTER_XT_TARGET_NETMAP :
  конфигурация NETFILTER_XT_TARGET_FULLCONENAT
  tristate 'Целевая поддержка "FULLCONENAT"'
  зависит от NF_NAT
  ---помощь---
  Полный конусный NAT

  Чтобы скомпилировать его как модуль, выберите M здесь. Если не уверены, скажите Н.

  
  1. Запустите make menuconfig и выберите: Поддержка сети -> Параметры сети -> Структура фильтрации сетевых пакетов (Netfilter) -> IP: Конфигурация Netfilter -> Поддержка цели FULLCONENAT

Авторское право 2018 Chion Tang betaidc
GPL-2.0
См. ЛИЦЕНЗИЮ

Ссылка CLI | FortiGate / FortiOS 6.2.3

  конфигурация межсетевого экрана ippool
      Описание: настройка пулов IP-адресов IPv4.
      редактировать <имя>
          установить тип [перегрузка | один к одному | ...]
          установить стартовую подсказку {ipv4-address-any}
          установить endip {ipv4-address-any}
          установить исходный-стартовый {ipv4-адрес-любой}
          установить исходный-конец {ipv4-адрес-любой}
          установить размер блока {целое число}
          установить число блоков на пользователя {целое число}
          установить pba-timeout {целое число}
          установить разрешение-любой-хост [отключить | включить]
          установить arp-reply [отключить | включить]
          установить arp-intf {строка}
          установить связанный-интерфейс {строка}
          установить комментарии {var-string}
      следующий
  конец  
Имя параметра Описание Тип Размер
тип Тип пула IP-адресов (перегрузка, однозначный, фиксированный диапазон портов или выделение блоков портов).
перегрузка: IP-адресов в пуле IP-адресов могут совместно использоваться клиентами.
«один к одному»: Сопоставление «один к одному».
fixed-port-range: Фиксированный диапазон портов.
Распределение блоков портов: Распределение блоков портов.
вариант
подсказка Первый IPv4-адрес (включительно) в диапазоне для пула адресов (формат xxx.xxx.xxx.xxx, по умолчанию: 0.0.0.0). ipv4-адрес-любой Не указано
конец Конечный IPv4-адрес (включительно) в диапазоне для пула адресов (формат xxx.xxx.xxx.xxx, по умолчанию: 0.0.0.0). ipv4-адрес-любой Не указано
исходная подсказка Первый IPv4-адрес (включительно) в диапазоне адресов источника, которые необходимо преобразовать (формат xxx.xxx.xxx.xxx, по умолчанию: 0.0.0.0). ipv4-адрес-любой Не указано
исходный конец Конечный IPv4-адрес (включительно) в диапазоне адресов источника для преобразования (формат xxx.xxx.xxx.xxx, по умолчанию: 0.0.0.0). ipv4-адрес-любой Не указано
размер блока Количество адресов в блоке (от 64 до 4096, по умолчанию = 128). целое Минимальное значение: 64 Максимальное значение: 4096
количество блоков на пользователя Количество блоков адресов, которые может использовать пользователь (от 1 до 128, по умолчанию = 8). целое Минимальное значение: 1 Максимальное значение: 128
тайм-аут pba Тайм-аут выделения блока порта (в секундах). целое Минимальное значение: 3 Максимальное значение: 300
разрешение-любой-хост Включение / отключение полного конусного NAT.
disable: Отключить полный конусный NAT.
enable: Включить полный конусный NAT.
вариант
arp-reply Включение / отключение ответа на запросы ARP при добавлении пула IP-адресов в политику (по умолчанию = включить).
disable: Отключить ответ ARP.
enable: Включить ответ ARP.
вариант
arp-intf Выберите интерфейс из доступных вариантов, который будет отвечать на запросы ARP. (Если пусто, выбирается любой). строка Максимальная длина: 15
связанный интерфейс Имя связанного интерфейса. строка Максимальная длина: 15
комментариев Комментарий. var-string Максимальная длина: 255

Настройка согласованного NAT (преобразование сетевых адресов)

17.08.2021 80 23776

ОПИСАНИЕ:

Согласованный NAT расширяет стандартную политику NAT для обеспечения большей совместимости с одноранговыми приложениями, которым требуется согласованный IP-адрес адрес для подключения, например VoIP.

Согласованный NAT использует метод хеширования MD5 для последовательного назначения одного и того же сопоставленного общедоступного IP-адреса и пары портов UDP каждому внутреннему частному IP-адресу и паре портов.

ПРИЧИНА:

ПРИМЕР: NAT может преобразовать частные (LAN) IP-адреса и пары портов, 192.116.168.10/50650 и 192.116.168.20/50655, в общедоступные (WAN) пары IP / портов следующим образом.

17

Частный IP-адрес / порт

Транслированный общедоступный IP-адрес / порт
192.116.168.10/50650 64.41.140.167/40004

18

64.41.140.167 / 40745

При включенном Consistent NAT все последующие запросы от любого хоста 192.116.168.10 или 192.116.168.20 с использованием тех же портов, показанных в предыдущем случае, приводят к использованию тех же транслированных пар адресов и портов . Без согласованного NAT порт и, возможно, IP-адрес меняются с каждым запросом.

РАЗРЕШЕНИЕ:

Разрешение для SonicOS 6.5

Этот выпуск включает в себя значительные изменения пользовательского интерфейса и множество новых функций, которые отличаются от SonicOS 6.2 и более ранние прошивки. Приведенное ниже разрешение предназначено для клиентов, использующих прошивку SonicOS 6.5.

  1. Перейдите в Управление | Voip.
  2. На Общие настройки.
  3. Установите флажок Включить согласованный NAT .
  4. Щелкните Принять .

ПРИМЕЧАНИЕ. Включение согласованного NAT вызывает небольшое снижение общей безопасности из-за повышенной предсказуемости пар адресов и портов.Большинство приложений на основе UDP совместимы с традиционным NAT. Поэтому не включайте согласованный NAT, если в вашей сети не используются приложения, которым это необходимо.

Разрешение для SonicOS 6.2 и ниже

Приведенное ниже разрешение предназначено для клиентов, использующих SonicOS 6.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *