В чем принципиальное различие NAT и PROXY?

Question

[Миша Шав]

Вот читаю-читаю, и не могу понять в чем разница между технологиями. Как нат работает я представляю, берет условный 1 внешний адрес, берет кучу локальных, пропуская из локалки во внешку меняет соурс айпи и порт на свой внешний, записывает в таблицу и пускает, позже ответы сверяя по таблице заворачивает обратно и вот нам интернет. А вот как работает прокси так и не могу понять. Говорят делается полноправным посредником, но любой нат с маскарадом делается полноправным посредником, как по мне. Подскажите, пожалуйста, или ткните носом в ссылку где написано более доходчиво(
Везде пишут и говорят про открытые прокси и какие мол они классные, никакого принципа работы технологии.

Answer 1

[Валентин]

Сосед попросил вас позвонить в газовую службу. Вы - прокси для соседа.
Несколько соседей попросили позвонить вас в газовую службу. Вы позвонили по первой просьбе, а на другие ответили, что уже звонили. Вы - кеширующая прокси для соседей.
Сосед взял ваш телефон и позвонил в газовую службу с вашего номера. Вы - NAT для соседа.

Comments

[Миша Шав]

Аналогия восхитительная, особенно про разделение прокси/кэширующий прокси, спасибо!
Но у меня вопросы именно в технологии исполнения остались. Нат - сосед звонит с моего номера, да, я просто даю ему выход со своего айпи. Прокси - я звоню за него, окей, но как это выглядит в плане передачи пакетов? Как я понял из поста чуть ниже, разница появляется только на более высоких уровнях оси, верно? Т.е. что там, что тут телефон один(айпи, порт), но я выполняю более глубокую обработку сам(читаю хттп заголовки, например?) или я неправильно вас понял? И если правильно, то чем отличается прокси сервер от шлюза с натом и фаерволлом на борту?

[Валентин]

SeanCooper,

Прокси - я звоню за него, окей, но как это выглядит в плане передачи пакетов?

Так и выглядит. Ваш Сосед не может сам обратиться в газовую службу (у него проблемы с речью), он просит вас. Вы дозваниваетесь и передаёте ему то, что вас сказали (при этом можете как-то исказить смысл слов газовой службы).
Вот и ваш браузер не может сам обратиться к гуглу, он просит об этом прокси, прокси обращается за него, и передаёт браузеру ответ (может быть искаженный, например, с рекламой).

Принципиальная разница в том, что при нате вы сами звоните, обогащаетесь к удаленному ресурсу, сами говорите и интерпретируете ответ. При прокси за вас это делают другие. Все остальное (анализ заголовков, более высокие уровни и т.д.) следствие из вышеописанного.

[Wexter]

SeanCooper, NAT подменяет источник пакета, оставляя остальную часть пакета оригинальной.
Прокси читает ваши пакеты, подменяет данные на свои и отправляет свои пакеты к нужному серверу, затем получает ответ, опять подменяет данные и отправляет их вам

Answer 2

[Александр]

Как правильно написать то ... мозгов то не хватает ...
Разный layer - Уровень пакетов (туплю - как написать то ?)
1. прокси - Это Прикладной уровень (а может Сеансовый уровень?) - HTTP, FTP, SMTP и тд.
2. NAT - Это более низкий уровень, Сетевой уровень (а может Транспортный уровень?) TCP/UDP

Короче надо читать https://ru.wikipedia.org/wiki/%D0%A1%D0%B5%D1%82%D...

Comments

[res2001]

Дополню.
NAT прозрачна для пользовательского ПО. Т.е. клиентское ПО не должно как-то специально поддерживать NAT.
Использование прокси в общем случае должно поддерживаться клиентским ПО.
Конечно, есть вариант прозрачного прокси, где не требуется поддержка от ПО клиента, но это уже другая история, применяется для других целей.

[Миша Шав]

res2001, Возможно, прозрачный и непрозрачный прокси это те термины, которые меня тут и запутали. Я вот не могу понять как прозрачный прокси может отличаться от той же связки нат+фаервол.

[res2001]

SeanCooper, Прозрачный прокси обычно используют, что бы фильтровать зашифрованный трафик в корпоративных сетях, например https. NAT + firewall для этих целей не годятся, т.к. они не делают попыток вмешаться в пользовательский трафик.
Прозрачный прокси выдает себя за конечный узел запроса. Когда браузер по https обращается к любому узлу в интернет через прозрачный прокси, прокси расшифровывает запрос, от себя устанавливает соединение с конечным узлом и отправляет пользовательский запрос конечному узлу, заново его зашифровав. Аналогично с ответом на запрос. При этом в промежутке может происходить фильтрация или логирование по расшифрованному контенту.
Пользователь в таком случае у себя в браузере увидит сертификат прокси, а не конечного узла.

Обычный прокси работает абсолютно открыто, т.е. пользователь должен явно указать в настройках ПО, что нужно ходить через прокси (и обычно указать логин/пароль для прокси). Их обычно используют для авторизации доступа к ресурсу. Учитывая, что сейчас в интернете повсеместно используются защищенные подключения, то возможности фильтрации по контенту у обычных прокси сильно ограничены (фактически они сводятся к аналогичным возможностям фаервола).

[Миша Шав]

res2001, Спасибо! Теперь все гораздо понятнее.

Answer 3

[antonwx]

А прокси, в отличие от NAT, устанавливает второе соединение от своего имени, выгружает данные с сервера и отправляет клиенту по локальному соединению. Да и в целом, прокси-сервер - это программно-аппаратный комплекс, а NAT - это сетевая технология.

Comments

[Миша Шав]

т.е. прокси - это нат с кэшированием? :/

[vreitech]

SeanCooper, нет. прокси - это софт, принимающий соединение от одного хоста и устанавливающий соединение с другим хостом. а нат - модуль ядра или это чип с таблицей трансляции адресов.

Answer 4

[DDwrt100]

Принципиальная разница в уровне абстракции.

Nat "на лету" изменяет поле ip адрес в пакетах проходящих через устройство.

Proxy устанавливает соединение с клиентом , а потом от имени себя транслирует запросы клиента в исходящую сеть(Например в интернет), хотя бывают прозрачные прокси.

Отсюда следует следующие.
Технология Nat относительно легкое решение , однако она умеет делать только одно менять ip адреса.

Прокси это уже программа , и вариативность что она делает с трафиком гораздо больше. Может кешировать запросы, может следить за списком белых сайтов, и сопостовлять этот список с пользователями AD ,и считать рарешенный объем трафика. В общем это уже сервис. Это имеет свою цену, в плане затрат на вычислительные ресурсы.

UPD. СОбствено область применения у этих технологий разная.
Nat используется как инструмент организации сети, для экономии адресного плана, скрытия адресов, организации пипринга.

Proxy это сервис для конечных пользователей , серверов для организации доступа к каким либо ресурсам.

Comments

[Миша Шав]

а в чем разница ната с фаерволлом на пару, например? условно у нас есть железка с фаерволом на борту, она занимается наттингом, она умеет читать заголовки выше транспортного и фильтровать хттп по доменам и прочее. Мне доходчиво объяснили тут о разнице в области применения этих средств, спасибо! Но меня чуть больше интересует техническая сторона реализации.

[DDwrt100]

SeanCooper, Фаервол и Nat две разных технологии на самом деле. Просто сфера применения близка и иногда эти технологии совмещают в одной железке. Задача фаервола защита и фильтрация. Firewall оперирует списками доступа , смотрит на консистеность TCP сессий, направлении трафика. Если смотреть со стороны сети то фаервол оперирует ip адресами и портами. Продвинутые могут смотреть на взаимодействие протоколов(ну например резать из FTP запросов команды на удаление файлов).

[Миша Шав]

DDwrt100, Так, это понимаю, технологии разные, фаервол может быть без ната также, как нат без фаервола. Вопрос в том, что функционал фаервола приписывают как раз таки к прокси, и у меня в голове прокси выглядит как фаервол+нат, вот и появляется у меня такое недопонимание. Я не сомневаюсь, что в глазах гуру с подобными вопросами могу выглядеть идиотом, но лучше уж я сейчас смогу для себя это понимание утвердить, пусть и буду выглядеть глупым, нежели я забью болт и буду по факту идиотом, но с самомнением.

[DDwrt100]

SeanCooper, Тут просто, у фаервола задача защищать ,у прокси перенаправлять трафик, скрывать.
Фаервол, если он стоит в системе, обычно работает со всеми содинениями, и со всеми портами, и обрабатывает весь трафик.
Прокси как сервис висит на одном двух портах, и работает только с тем трафиком который направлен к нему.

[Ruslan-Strannik]

нат подменяет айпи, а прокси нет. по сути это и есть разница. также прокси имеет часть функционала фаервола. он умеет использовать списки и разграничивать хождение (кому/куда можно).
и умеет хранить кеш (для повторных запросов)

[DDwrt100]

Ruslan-Strannik, не совсем так.
Нат оперирует с пакетами и меняет ip.
Прокси стоит посередине между клиентом и "вебсайтом" , оперирует сессиями. Может внутри содержать дополнительный функционал, типа кеширования, разрешений , учета. В классической схеме меняет Ip, но не тем что модифицирует пакет, а тем что создает новую сессию с другого ip адреса. В принципе ему не обязательно организовывать новую сессию с другого интерфейса, поэтому может не подменять ip адреса(например ситуация если прокси имеет ключи для входа в сегмент), может иметь часть функционала фаервола(хотя опять же не совсем корректно, но сойдет.)

UPD
Когда мы говорив о ферволе , мы говорим о чем массовом, которое сидит на сетевой подсистеме. Прокси оперирует правилами относительно себя.

Answer 5

[pfg21]

чутка дополню @vvpoloskin
NAT это когда сидишь во дворе, чувствуешь запах газа и кричишь "позвоните в службу газа". кто-то из соседей звонит, от газовщиков естественно идет набор вопросов по ситуации, которые тебе сосед озвучивает в окно а и твои ответы пересказывает в трубку :)

комп в локальной сети имеет адрес 192.168.1.100. он локальный и не имеет право хождения сети интернет.
ты хочешь зайти на страничку яндекса. браузер на основе твоих желаний формирует пакет запроса данных (по идее http-канал, но опустим подробности) с твоего 192.168.1.100 на ip-адрес сервера яндекса и посылает в сеть.
роутер, находящийся на границе локальной сети и интернета отлавливает пакет, получатель которого находится в интернете и пересылает его из локалки в интернет.

но т.к. адрес источника пакета 192.168.1.100 не имеет права быть в интернете, он подменяется на интернет-адрес роутера, это и есть source NAT (один из вариантов Network Address Translation - преобразование сетевых адресов) - подмена адреса отправителя.

а также создается временное правило для того чтобы ответные пакеты от яндекса были пересланы к тебе (так-то сервера яндекса полностью уверены что общаются с интернет-адресом роутера и посылают пакеты данных на этот ip). это уже будет destination NAT - подмена адреса получателя.

много чего опущено и не описано, но суть попытался донести попрощеее.

Comments

[Ruslan-Strannik]

так, а от прокси чем отличается то? :)

[pfg21]

Ruslan-Strannik, в прокси ты конкретно стучишься в сервер прокси и просишь достучаться до серверов яндекса. т.е. прокси сервер надо прописывать в браузер.
в NAT ты драже не замечаешь что свзязь с яндексом у тебя идет через роутер и с подменой адресов.

[Ruslan-Strannik]

прозрачный прокси позволяет обойтись без прописки в браузер.
в случае с прокси получается, что добавляется еще одно звено? юзер-прокси-шлюз с натом.
или даже юзер-нат-прокси-шлюз с натом-провайдер. ведь наш прокси тоже не имеет внешнего айпи адреса.
кажется я сам себя запутал.
Пока не начал читать этот вопрос и его ответы - все казалось понятным :):):)

[Миша Шав]

pfg21, так, секундочку. Если я ставлю проксю, а потом пишу в браузере "Гугол.ком", то мой пк отправляет запрос не на днс сервер, и пакет на 3-м уровне выглядит как срц ип - 192.168.0.100(мой), дест - 192.168.0.1(адрес прокси), а не 8.8.8.8, например? и если я захожу на сам гугл, все мое общение сводится к общению с прокси-сервером? и во всех входящих ответах от серверов прокси заворачивает в сорс свой айпи?

[Миша Шав]

Ruslan-Strannik, Тема прозрачного и непрозрачного прокси и ввела эти самые смуты в мой рассудок :/ Будет забавно, если в итоге окажется, что прозрачный прокси - это тот же нат)

[pfg21]

"прозрачным" прокси становится когда в фаервол вклеивают правило перенаправления определенных пакетов в порт прокси.
сам прокси о том что он прозрачный даже не подозревает.

т.е. фаервол, отловив нужный пакет, не мудруствует внутри него с адресами (как в случае с NAT), а разбирает http-запрос и формирует запрос к прокси. потом все заворачивает обратно.
это нет NAT, это чутка по другому.
хотя для пользователя NAT и прозрачный прокси эквипенисуальны :

прокси работает с протоколом. т.е. внутри http-proxy можно пропустить только умеющие в http потоки. ftp pop уже просто так, сколь помню, не всунутся (но могу ошибаться.)

NAT работает с пакетами, ему до лампочки что внутри пакета. хоть http хоть snmp