国内ルーターのNATオプションは、多くの場合strictとして構成されています。これは何を意味するのでしょうか? moderateまたはopenは何をしますか?ポート転送/ DMZアクセスはstrictで適切に機能するので、なぜ他の2つに悩むのでしょうか?
ルーターを見ると、これがfirewallに影響していることがわかります。 Cisco/iptablesを使用してネットワークのセキュリティ保護に多くの時間を費やしている場合、そのような簡潔な非説明的回答は腹立たしいだけであり、firewallにどのような影響があるかについての手がかりはありません。
誰かが光を当てることができます。
まず、ネットワークアドレス変換(NAT)のしくみを理解することが重要です。インターネット上のサーバーへの接続を確立します。実際には、ルーターにパケットを送信し、コンピューターからランダムに選択したポートに送信します。
Your computer Router
+------------+ +-----------+
| | | |
| port 31746 o====>o |
| | | |
+------------+ +-----------+
次に、ルーターは、通信したいサーバーへの接続を確立します。ランダムに選択された独自のポートであることを説明します。
Router www.google.com
+-----------+ +----------------+
| | | |
| port 21283o====>o port 80 |
| | | |
+-----------+ +----------------+
グーグルのウェブサーバーがあなたに情報を送り返すとき、それは実際にそれをあなたのルーターに送り返しています(あなたのルーターは実際にインターネット上の男なので):
Router www.google.com
+-----------+ +----------------+
| | | |
| port 21283o<====o port 80 |
| | | |
+-----------+ +----------------+
パケットがルーターのポート21283
からwww.google.com
から到着します。ルーターはそれをどうするべきですか?
この場合、ルーターはあなたと、ポートwww.google.com:80
から21283
に送信したトラフィックの記録を保持しています。したがって、ルータはパケットをコンピュータにリレーします。
Your computer Router
+------------+ +-----------+
| | | |
| port 31746 o<====o |
| | | |
+------------+ +-----------+
openNATでは、インターネット上の任意のマシンがトラフィックをルーターのポート21283
に送信でき、パケットが返送されます。
Your computer Router
+------------+ +-----------+ {www.google.com:80
| | | | {www.google.com:443
| port 31746 o<====o port 21283o<===={serverfault.com:80
| | | | {fbi.gov:32188
+------------+ +-----------+ {botnet.cn:11288
クローズドNATはより制限的です。話したい元のアドレスおよびポート、つまりwww.google
ポート80
からのものでない限り、何も許可されません。
Your computer Router
+------------+ +-----------+ {www.google.com:80
| | | | | (rejected) www.google.com:443
| port 31746 o<====o port 21283o<====+ (rejected) serverfault.com:80
| | | | (rejected) fbi.gov:32188
+------------+ +-----------+ (rejected) botnet.cn:11288
中程度NATは混合であり、ルーターは任意のポートからのトラフィックを受け入れますが、同じからのトラフィックのみを受け入れますホスト:
Your computer Router
+------------+ +-----------+
| | | | {www.google.com:80
| port 31746 o<====o port 21283o<===={www.google.com:443
| | | | (rejected) serverfault.com:80
+------------+ +-----------+ (rejected) fbi.gov:32188
(rejected) botnet.cn:11288
これは一連の定義です。もう1つは次のとおりです。
しかし、用語は本当に曖昧です。