Previous Topic
Next Topic
Book Contents
Book Index

Jak funguje NAT

Network Address Translation (NAT) je proces modifikace zdrojové adresy paketů jdoucích z/do chráněné privátní sítě. Předpokládá se, že v chráněné síti budou používány privátní (nesměrovatelné) IP adresy.

Ve směru ven...
V paketech procházejících směrem z privátní sítě ven je cílová adresa nahrazena adresou "vnějšího" rozhraní počítače, na němž WinRoute Lite běží. Tato adresa samozřejmě musí být veřejná (a tedy směrovatelná). Paket tedy odchází do Internetu v takové podobě, jako by byl odeslán přímo z počítače, kde WinRoute Lite běží.

Na základě zpracovaného paketu je zároveň vytvořen záznam v tzv. NAT tabulce (původní zdrojová a cílová adresa paketu), aby bylo možno odpověď na tento paket doručit jeho odesílateli.

Jak funguje NAT

Ve směru zpět...
Pakety přicházející z Internetu na "vnější" rozhraní WinRoute Lite jsou porovnávány se záznamy v NAT tabulce. Je-li nalezen odpovídající záznam, dojde ke změně cílové adresy na příslušnou privátní adresu a paket je odeslán do vnitřní sítě. Pokud žádný takový záznam v NAT tabulce neexistuje, je paket zpracován na počítači, kde WinRoute Lite běží.

Omezení
Z výše uvedeného popisu vyplývá základní omezení technologie NAT: Navázat spojení s cílovým počítačem (serverem) je možné pouze z vnitřní sítě ven. V tomto případě se WinRoute Lite chová jako klasický směrovač (překlad IP adres je uživateli skryt). Není ale možné navázat spojení z Internetu do vnitřní sítě: ta se totiž chová jako jediný počítač (s IP adresou "vnějšího" rozhraní). Každý příchozí požadavek tedy přijde na rozhraní počítače s WinRoute Lite, a není-li nalezen odpovídající záznam v NAT tabulce, není možno žádný překlad adres provést.

Navíc nelze ani komunikovat s aplikacemi běžícími přímo na počítači s WinRoute Lite, protože je chráněn firewallem stejně jako ostatní počítače v síti. Zpřístupnění aplikací (serverů) běžících na tomto počítači nebo na libovolném počítači uvnitř chráněné sítě je možné použitím mapovaných portů (viz kap. Mapování portů).

Popsané omezení je v zásadě jediná věc, kterou se WinRoute Lite liší od klasického směrovače a z níž vyplývají veškerá další omezení na konkrétní aplikace. Protože však mnoho aplikací navazuje "zpětné spojení" s klientem (př.: FTP v aktivním módu - klient naváže se serverem řídicí spojení, server pak navazuje datové spojení), má WinRoute Lite vestavěnou speciální podporu pro řadu aplikací, které by pouze s technologií NAT nebylo vůbec možné provozovat. Podrobnosti naleznete v následujících kapitolách tohoto manuálu, případně na http://www.winroute.cz

Viz též...