Как работает NAT и правда ли что он такой непробивной?

Question

[PO6OT]

Привет. Похоже, я не разбираюсь в сетях и маршрутизации. А хотелось бы узнать, по какой причине NAT не пропустит доступ извне. Ясно, что для доступа к определенной машине нужно к ней обращаться по её собственному белому IP, который ей не выдан провайдером. Но каким же образом тогда сервера возвращают ответ клиенту за NAT'ом? Ведь не по одному только IP адресу, а как-то достукиваются.

Answer 1

[Rsa97]

Представьте себе компьютер в виде многоквартирного дома, где каждый сервис - квартира. У дома есть адрес (белый IP) и номера квартир (порты). Прислать письмо в такой дом очень просто, достаточно указать адрес и квартиру.
Теперь возьмём микрорайон, огородим его стеной с КПП, сделаем в нём внутренние (серые) адреса домов, неизвестные снаружи и оставим известным (белым) только адрес самого микрорайона. Очевидно, что адреса микрорайона и номера квартиры недостаточно для того, чтобы письмо попало по адресу. Есть вариант, когда все письма отправляются в один конкретный дом (DMZ), есть переадресация (port mapping), когда письмо, пришедшее в микрорайон с указанием определённой квартиры переадресуется с КПП в заранее определённый дом/квартиру.
Если же мы пишем письмо из микрорайона наружу, то на КПП (NAT) запоминают адрес/квартиру отправителя и получателя и все приходящие в микрорайон письма с адреса получателя переправляют отправителю исходного письма.

Comments

[PO6OT]

А обмануть NAT никак нельзя?

[Rsa97]

PO6OT: Что значит "обмануть"?

[PO6OT]

Rsa97: То и значит. Хак для поддержания соединения между двумя серверами за разными натами возможен? Возможности использовать туннелирование нет, так как полноценного сервера с белым IP нет. Есть PHP шаред-хостинг, возможно его можно использовать как туннель? Идеи есть?

[Rsa97]

PO6OT: Если внешние адреса белые, то самое простое - прокинуть нужные порты на одном из NAT или поставить сервер в DMZ. Лучше если внешние адреса фиксированные, но можно и через динамический DNS с малым TTL. После этого можно поднять VPN между серверами.
PHP как туннель теоретически использовать можно, но только для для тех портов, которые слушает сервер на хостинге или для каких-то самописных протоколов.

[PO6OT]

Rsa97: Я не имею доступа к настройкам NAT. Поймите ситуацию - ПК за натом провайдера, хочу получать к нему доступ с другого ПК за другим натом не без шаманства и хаков.

[Rsa97]

PO6OT: Тогда разве что VPN с промежуточным сервером. Или, если с обоих сторон есть графический интерфейс, то TeamViewer.

[PO6OT]

Rsa97: Я плохо объяснил. Мне нужен доступ к машине, а не к интерфейсу, то естьTeamViewer не подходит в любом случае.

Answer 2

[Дмитрий Шицков]

Добавлю к ответу выше, что NAT - это просто таблица соответствия адресов и портов источника и назначения. Нат не обеспечивает никакой защиты - его можно "пробить" снаружи через любой открытый им порт, поэтому наличие настроенного фаерволла он не отменяет.

Comments

[PO6OT]

Вы уже на шаг впереди других ответчиков) А как его пробить то?

[Дмитрий Шицков]

PO6OT, как пример - торрент устанавливает множество соединений, а значит в нат появляется большое число открытых портов - этакий дуршлак, через который злоумышленник может проникнуть за нат. Вредоносное ПО так и работает - оно стучится на сервер злоумышленника в интернете, открывая тем самым порт и пропуская его за нат к зараженному хосту, а значит и ко всей сети, спрятанной за нат.

[PO6OT]

Дмитрий Шицков: Чтоб вы понимали, я хочу получить доступ к своему ПК за натом с другого ПК тоже за натом, на крайний случай есть PHP-хостинг с белым IP, который может стать посредником. Никаких вредоносных идей нет - просто не хочу покупать IP

[PO6OT]

Дмитрий Шицков: То что вы описали работает, если злоумышленник, к которому стучится ПО, за другим натом?
И можно какие-то ссылки, материалы, код или ключевые слова по которым искать?

Answer 3

[CityCat4]

По очень простой причине - он для этого писался :) В мире не так уж и много IP-адресов (v4, конечно же), а устройств, которым он нужен, гораздо больше. Поэтому во-первых:
- провайдер Вам выдаст максимум 1 белый IP (все остальное - за деньги)
- во внутренней сети у Вас будут адреса типа 192.168.1.1

Далее происходит что:
- устройство 192.168.1.1 отправляет пакет ... ну например на 77.88.55.66 (такой адрес есть, это Яндекс :) )
- роутер, который подключен к провайдеру, заменяет в пакете адрес источника на выданный провайдером белый IP и запоминает это
- пакет, в котором адрес источника - белый IP провайдера, доходит до яндекса, яндекс посылает ответ, пакет возвращается на роутер
- роутер, помня, что и где он менял, меняет в полученном пакете адрес назначения на 192.168.1.1 и отправляет пакет на устройство.

Получить доступ до 192.168.1.1 из внешней сети невозможно никак, потому что любой роутер такие пакеты просто обрезает, хотя иногда провайдеры нарушают RFC и устраивают "полосатый" интернет в своей локалке, когда 192.168.1.1 из одной сети может получить доступ скажем к 172.16.1.1 в другой сети

Comments

[PO6OT]

Про IP адреса знаю не хуже вашего. Иначе бы не употреблял слово NAT, если не изволили догадаться.
А роутер запоминает на как долго? И почему незаметно влияние этой резервации на скорость интернета?

>Получить доступ до 192.168.1.1 из внешней сети невозможно никак...
Хотя для туннелирования у меня нет возможностей - необходим сервер-посредник с белым IP, но ведь предложить можно было?
Почему вы мыслите в рамках? Что ж вы безыдейный такой? Лучше бы молчали, полезности от вас 0..

[CityCat4]

PO6OT: Прежде чем указывать кому-то стоит ему молчать или нет, подумайте о себе. "Не разбираюсь в сетях и маршрутизации"... "Про IP адреса знаю..." - не вяжется не правда ли? Знали бы про IP адреса - не спрашивали бы про NAT, вообще говоря ответ на этот вопрос в учебнике по сетям Олиферов, который следует прочитать в первую очередь. Прежде чем задавать здесь нубские вопросы. И значительно прежде чем указывать людям на их полезность.

Answer 4

[Diman89]

Клиент отправляет серверу запрос через роутер (nat же)
Роутер видит адрес источника и назначения, и подменяет адрес источника (который за nat, серый) на свой собственный (белый)
Сервер отправляет ответ на адрес роутера, т.к. запрос был от него. роутер опять подменяет адрес назначения со своего обратно на серый и шлет пк

Comments

[PO6OT]

А обмануть NAT никак нельзя?

[Diman89]

PO6OT: что вы имеете в виду?

[PO6OT]

Diman89: всё-таки получить доступ по серому IP

[Diman89]

PO6OT: серые ip не маршрутизируются в мир, это стандарт

[PO6OT]

Diman89: я не дурак
без прямой маршрутизации в мир получить доступ к пк с серым ip нет идей?
например отправить запрос на нужный удалённый пк и как-то попытаться оставить нат в текущем положении - то есть маршрутизации всех запросов на твой пк

[Diman89]

PO6OT: шта??

[PO6OT]

Diman89: я в отчаянии от ваших идей, точнее их отсутствия..

[Diman89]

PO6OT: поздравляю

Answer 5

[Руслан]

Есть разные типы натов маскарадинг ,семантик нат, и итд семантик самый херойвый и непробивной