web-dev-qa-db-ja.com

厳格、中程度、オープンなNATとは何ですか?

国内ルーターのNATオプションは、多くの場合strictとして構成されています。これは何を意味するのでしょうか? moderateまたはopenは何をしますか?ポート転送/ DMZアクセスはstrictで適切に機能するので、なぜ他の2つに悩むのでしょうか?

ルーターを見ると、これがfirewallに影響していることがわかります。 Cisco/iptablesを使用してネットワークのセキュリティ保護に多くの時間を費やしている場合、そのような簡潔な非説明的回答は腹立たしいだけであり、firewallにどのような影響があるかについての手がかりはありません。

誰かが光を当てることができます。

routernatopen
12
Metalshark

まず、ネットワークアドレス変換(NAT)のしくみを理解することが重要です。インターネット上のサーバーへの接続を確立します。実際には、ルーターにパケットを送信し、コンピューターからランダムに選択したポートに送信します。

Your computer        Router
+------------+     +-----------+
|            |     |           |
| port 31746 o====>o           |
|            |     |           |
+------------+     +-----------+

次に、ルーターは、通信したいサーバーへの接続を確立します。ランダムに選択された独自のポートであることを説明します。

                     Router            www.google.com
                   +-----------+     +----------------+
                   |           |     |                |
                   | port 21283o====>o port 80        |
                   |           |     |                |
                   +-----------+     +----------------+

グーグルのウェブサーバーがあなたに情報を送り返すとき、それは実際にそれをあなたのルーターに送り返しています(あなたのルーターは実際にインターネット上の男なので):

                     Router            www.google.com
                   +-----------+     +----------------+
                   |           |     |                |
                   | port 21283o<====o port 80        |
                   |           |     |                |
                   +-----------+     +----------------+

パケットがルーターのポート21283からwww.google.comから到着します。ルーターはそれをどうするべきですか?

この場合、ルーターはあなたと、ポートwww.google.com:80から21283に送信したトラフィックの記録を保持しています。したがって、ルータはパケットをコンピュータにリレーします。

Your computer        Router
+------------+     +-----------+
|            |     |           |
| port 31746 o<====o           |
|            |     |           |
+------------+     +-----------+

オープンNAT

openNATでは、インターネット上の任意のマシンがトラフィックをルーターのポート21283に送信でき、パケットが返送されます。

Your computer        Router            
+------------+     +-----------+     {www.google.com:80
|            |     |           |     {www.google.com:443
| port 31746 o<====o port 21283o<===={serverfault.com:80
|            |     |           |     {fbi.gov:32188
+------------+     +-----------+     {botnet.cn:11288

クローズドNAT

クローズドNATはより制限的です。話したい元のアドレスおよびポート、つまりwww.googleポート80からのものでない限り、何も許可されません。

Your computer        Router            
+------------+     +-----------+     {www.google.com:80
|            |     |           |     | (rejected) www.google.com:443
| port 31746 o<====o port 21283o<====+ (rejected) serverfault.com:80
|            |     |           |       (rejected) fbi.gov:32188
+------------+     +-----------+       (rejected) botnet.cn:11288

中程度のNAT

中程度NATは混合であり、ルーターは任意のポートからのトラフィックを受け入れますが、同じからのトラフィックのみを受け入れますホスト

Your computer        Router            
+------------+     +-----------+     
|            |     |           |     {www.google.com:80
| port 31746 o<====o port 21283o<===={www.google.com:443
|            |     |           |       (rejected) serverfault.com:80
+------------+     +-----------+       (rejected) fbi.gov:32188
                                       (rejected) botnet.cn:11288

これは一連の定義です。もう1つは次のとおりです。

  • Open:LAN上のコンピューターがUPNPを使用してポートを開くことを許可します
  • 中程度:一部のポート転送が作成され、動作しています
  • Closed:静的ポート転送は存在しません

しかし、用語は本当に曖昧です。

こちらもご覧ください

31
Ian Boyd