PAT e NAT... chi me li spiega??
Mirko Borsari
Eccomi qui con un'altra domandina per voi esperti delle reti (bhe voglio
diventarlo anch'io)!!
Mi spieghereste le due modalità PAT e NAT?
Della PAT so che serve a far comunicare i PC con indirizzi privati con
Internet attraverso un router associando una porta TCP all'indirizzo privato
(almeno spero di aver capitp giusto!!).
Mi spieghereste in modo un po' più tecnico cosa sono esattamente e quando
vengono utilizzate queste modalità?
Grazie infinite.
Ciao Ciao MirkoB.
jjm...@galactica.it
BESA
www.itvirtualcommunity.net/educational
8-)
Ciao
"Mirko Borsari" <jjmir...@galactica.it> ha scritto nel messaggio
news:4ij77.22408$sE4.4...@news6.giganews.com...
SuperPippo
news:n6m77.22912$sE4.4...@news6.giganews.com...
http://www.itvirtualcommunity.net/educational.asp
Besa besa.... lavori troppo!
;-)
Bye
Filippo
MCP
Mirko Borsari
news:n6m77.22912$sE4.4...@news6.giganews.com...
Ok... Grazie! Penso d'aver capito come funziona il NAT ma a questo punto
qual'è la differenza con il PAT?????
Grazie mille!!
Ciao ciao MirkoB.
jjm...@galactica.it
test
sentiti citare entrambi negli stessi casi.
La filosofia del Pix firewall, però, li definisce in maniera precisa:
Con il Network Address Translation , quando un client della rete privata
deve uscire verso quella pubblica, il firewall associa in maniera dinamica e
temporanea il suo indirizzo vero ad uno globale (ovvero pubblico). Fino allo
scadere di un time-out quel PC occuperà quel indirizzo pubblico in maniera
stabile ed esclusiva.
Nel Port Address Translation tutti le macchine private escono su internet
con lo stesso unico indirizzo pubblico. Il firewall discrimina il traffico
tenendo traccia delle sessioni aperte.
Ciao
Mirko Borsari
> deve uscire verso quella pubblica, il firewall associa in maniera dinamica
e
> temporanea il suo indirizzo vero ad uno globale (ovvero pubblico). Fino
allo
> scadere di un time-out quel PC occuperà quel indirizzo pubblico in maniera
> stabile ed esclusiva.
Allora io l'ho capito così:
Quando il client deve uscire il router associa una porta all'indirizzo IP
del client e in internet viene visto solo l'indirizzo pubblico del router.
(spiegazione mooolto succinta)
> Nel Port Address Translation tutti le macchine private escono su internet
> con lo stesso unico indirizzo pubblico. Il firewall discrimina il traffico
> tenendo traccia delle sessioni aperte.
Bene... allora se io ho capito bene il NAT il PAT è la stessa cosa!!!
Giusto?? Sbaglio qualcosa?? Ho compreso male qualcosa??
Grazie
Ciao ciao MirkoB.
jjm...@galactica.it
test
sentiti citare entrambi negli stessi casi.
La filosofia del Pix firewall, però, li definisce in maniera precisa:
Con il Network Address Translation , quando un client della rete privata
deve uscire verso quella pubblica, il firewall associa in maniera dinamica e
temporanea il suo indirizzo vero ad uno globale (ovvero pubblico). Fino allo
scadere di un time-out quel PC occuperà quel indirizzo pubblico in maniera
stabile ed esclusiva.
Nel Port Address Translation tutti le macchine private escono su internet
con lo stesso unico indirizzo pubblico. Il firewall discrimina il traffico
tenendo traccia delle sessioni aperte.
Ciao
IH870
<te...@yahoo.it> ha scritto:
> Con il Network Address Translation , quando un client della rete privata
> deve uscire verso quella pubblica, il firewall associa in maniera
> dinamica e temporanea il suo indirizzo vero ad uno globale (ovvero
> pubblico). Fino allo scadere di un time-out quel PC occuperà quel
> indirizzo pubblico in maniera stabile ed esclusiva.
>
> Nel Port Address Translation tutti le macchine private escono su
> internet con lo stesso unico indirizzo pubblico. Il firewall discrimina
> il traffico tenendo traccia delle sessioni aperte.
>
a me sembrano la stessa identica cosa...
BlueRaven
>Con il Network Address Translation , quando un client della rete privata
>deve uscire verso quella pubblica, il firewall associa in maniera dinamica e
>temporanea il suo indirizzo vero ad uno globale (ovvero pubblico). Fino allo
>scadere di un time-out quel PC occuperà quel indirizzo pubblico in maniera
>stabile ed esclusiva.
Gia', e se io di IP pubblico ne ho uno solo e le macchine che devono uscire
sono piu' di una? Vale il detto "chi primo arriva bene alloggia"? :-)
Il NAT funziona cosi':
a) la macchina client deve comunicare con l'host x.y.z.k (il classico web
server, mettiamo) e manda la sua richiesta attraverso il gateway (router,
firewall con funzioni di NAT)
b) il router/firewall registra i dati della connessione richiesta dal client
(in pratica, le coppie IP/porta sorgente e destinazione) in una apposita
"cache" e provvede alla "traduzione" dell'indirizzo: cio', in pratica,
significa che il router (vale anche per il firewall) genera una _nuova_
richiesta, che ha come IP sorgente quello del router e come porta sorgente una
porta effimera (> 1024), che puo' anche essere diversa da quella del client.
Ovviamente, l'IP/porta di destinazione e' lo stesso della richiesta
originaria.
c) l'host x.y.z.k vede una richiesta proveniente dal router (notare che il
client e' invisibile) e risponde normalmente.
d) quando la risposta arriva al router, questo confronta la coppia IP/porta
_sorgente_ (quelle di x.y.z.k) con la cache e trova qual e' il client che
aveva fatto la richiesta originaria.
A questo punto, viene fatta una traduzione inversa dell'indirizzo, ovvero la
coppia IP/porta sorgente di destinazione viene sostituita con i dati in
cache.
e) i pacchetti di risposta vengono reinoltrati al client, che ha in questo
modo l'impressione che l'host x.y.z.k stia rispondendo a lui in modo
diretto. Ecco perche' si dice che il NAT e' trasparente.
Tra parentesi, il proxy funziona in modo molto simile, con la differenza che
lavora a livello 7 (application layer): pertanto, deve supportare
*esplicitamente* il protocollo applicativo desiderato, mentre il NAT e'
protocol independent.
Poi, esistono protocolli NAT friendly e protocolli che non lo digeriscono,
ma questo e' un altro discorso. :-)
Inoltre, il proxy, normalmente, non e' trasparente: il client _sa_ che si sta
rivolgendo a un intermediario, fatto salvo il caso del transparent proxying.
>Nel Port Address Translation tutti le macchine private escono su internet
>con lo stesso unico indirizzo pubblico. Il firewall discrimina il traffico
>tenendo traccia delle sessioni aperte.
No, questo e' il NAT. :-)
Il PAT serve per permettere a delle macchine che, in condizioni normali, non
sarebbero raggiungibili da un'altra rete (qui si parla di Internet, ma il
discorso vale in generale) di offrire servizi verso la medesima.
Per fare questo, sul router/firewall che separa le due reti si imposta una
regola che "lega" univocamente la porta del servizio desiderato
all'indirizzo IP della macchina che lo offre.
Tutto il traffico che arriva al firewall su quella porta viene ridiretto, in
modo trasparente, alla macchina "interna".
Il concetto chiave, qui, e' che sul firewall *non gira* il servizio in
questione, pur essendo il firewall stesso la macchina visibile all'esterno:
pertanto, eventuali tentativi di exploit sono molto piu' complicati.
L'utilizzo classico lo si ha nella costruzione di una DMZ.
Spero di essere stato chiaro ed esaustivo, in caso contrario postate pure!
:-)
--
BlueRaven
Prima di parlare, ricorda:
mount -t auto /dev/brain /mnt/mouth
Mirko Borsari
> >con lo stesso unico indirizzo pubblico. Il firewall discrimina il
traffico
> >tenendo traccia delle sessioni aperte.
>
> No, questo e' il NAT. :-)
Ok allora il NAT l'ho capito!!! :-)
> Il PAT serve per permettere a delle macchine che, in condizioni normali,
non
> sarebbero raggiungibili da un'altra rete (qui si parla di Internet, ma il
> discorso vale in generale) di offrire servizi verso la medesima.
> Per fare questo, sul router/firewall che separa le due reti si imposta una
> regola che "lega" univocamente la porta del servizio desiderato
> all'indirizzo IP della macchina che lo offre.
> Tutto il traffico che arriva al firewall su quella porta viene ridiretto,
in
> modo trasparente, alla macchina "interna".
> Il concetto chiave, qui, e' che sul firewall *non gira* il servizio in
> questione, pur essendo il firewall stesso la macchina visibile
all'esterno:
> pertanto, eventuali tentativi di exploit sono molto piu' complicati.
> L'utilizzo classico lo si ha nella costruzione di una DMZ.
> Spero di essere stato chiaro ed esaustivo, in caso contrario postate pure!
Allora... Vediamo se ho capito!!!
In pratica con il PAT faccio in modo che un server web (ad es) possa essere
raggiunto direttamente attraverso il firewall?? Il firewall riceve una
richiesta sulla porta 80 e lui inoltra la richiesta sulla porta 80 del
server web!! Giusto???
Ma allora... se questo è giusto e realizzo una DMZ devo impostare il PAT per
tutti i servizi (posta elettronica, web, ftp, dns ecc) attivi all'interno
della zona ma che devono essere visibili dall'esterno???
E, sempre se ho capito bene, il NAT lo configuro sul router invece il PAT
sul Firewall??
Grazie per la pazienza!!!!!
Ciao ciao MirkoB.
jjm...@galactica.it
BlueRaven
>Ok allora il NAT l'ho capito!!! :-)
Avanti il prossimo! :-)
>Allora... Vediamo se ho capito!!!
>In pratica con il PAT faccio in modo che un server web (ad es) possa essere
>raggiunto direttamente attraverso il firewall?? Il firewall riceve una
>richiesta sulla porta 80 e lui inoltra la richiesta sulla porta 80 del
>server web!! Giusto???
Esattamente.
>Ma allora... se questo è giusto e realizzo una DMZ devo impostare il PAT per
>tutti i servizi (posta elettronica, web, ftp, dns ecc) attivi all'interno
>della zona ma che devono essere visibili dall'esterno???
Si'.
>E, sempre se ho capito bene, il NAT lo configuro sul router invece il PAT
>sul Firewall??
Beh, il PAT lo puoi fare anche sul router (se lo supporta), cosi' come il
firewall ti puo' anche fungere da NAT. :-)
Diciamo che dove farlo dipende da cosa hai a disposizione.