radios orulet

[Jakab Peter]

Dukai Zoltan wrote:
> Na erre en is nagyon kivancsi vagyok!
> Olyan jo lenne ha a suli belso halojaban levo gepeket tudnam cimezni 
> valahogy...

Nem hiszem, hogy a most kovetkezo valaszokra vartok, de azert leirom.

A NAT lenyege: van szinte korlatlan mennyisegu privat ip cimunk, amit 
Interneten nem routolnak, mert ugyanazokat a privat cimeket nagyon sok 
belso halozatban hasznaljak. Azert, hogy az Internetre ki tudjon menni 
valaki egy ilyen privat cimmel, a belso halozat hataran atforditjuk 
publikus, interneten elerheto cimre. A NAT doboz rendeli ossze a belso 
ip cimet, portokat a kulso ip cim, porttal, internet felol ugy latszik, 
hogy a router (publikus ip cime) kuldi es kapja az osszes mogotte levo 
gep csomagjait.

A NAT allapottablajaba ugy kerulnek be cimek, hogy a belso halozat 
valamelyik ip cime es forrasportja kapcsolatot probal meg felepiteni egy 
kulso cimmel. Ezek a forrascimek es a cel ip/port bekerul a tablazatba. 
A tablazat alapjan mar a visszajovo csomagot is kezelni tudjuk, mert 
megvan, hogy hova kuldjuk.

A NAT miatt viszont ha valaki az internetrol a publikus ip cim fele akar 
kapcsolatot felepiteni, a NAT allapottablajaban nincs meghatarozva, hogy 
az adott kapcsolatot a belso halozat fele kinek kellene tovabbitani. 
Erre szolgal a port forwarding: statikus szabalyt ad meg arra, hogy egy 
adott portra erkezo forgalmat melyik belso ip cim/port fele 
tovabbitsunk. A port forwardinggal mar kivulrol is elerhetove teheto egy 
belso gepen futo szerver szolgaltatas.

megoldasok az atjarasra:

- a NAT-ot vegzo routeren port forwarding beallitasaval - a legtrivialisabb

- ha a belso gep es a kulso cim kozott ugy bomlik le a kapcsolat, hogy 
errol a NAT-ot vegzo doboz nem ertesul, a belso cim/port kombinacio 
tovabbra is elerheto kivulrol. Ez leginkabb UDP alapu kommunikacio 
eseten erdekes, ez ugyanis allapotmentes: a NAT doboznak fogalma sincs, 
mikor van vege a kommunikacionak. Ezert inkabb bentmarad a dinamikus 
port forwarding az allapottablaban az utolso kimeno csomagtol szamitott 
5 percig.

- ha a NAT doboz tud alkalmazas-szintu port-forwardingot, valoszinuleg a 
megoldasnak hianyossagai vannak. Pelda: egy belso ip cimen ftp szerver 
fut, es ez kivulrol barkinek elerheto, azaz port forwarding van 
bekonfiguralva a belso ftp szerver fele. Az ftp protokoll 
parancs-csatornajan kerul egyeztetesre, hogy az ftp szerver melyik 
portjan szeretne kuldeni/fogadni. A protokoll helyes mukodesehez a 
port-forwarding figyeli a parancs-csatornat, es az ott hallottak alapjan 
dinamikusan felvesz uj szabalyokat, azaz megnyitja a csatornat a kulso 
ip cim es a belso kozott. Ezt a figyelo mechanizmust a parancs-csatorna 
manipulalasaval at lehet verni, es kivansagra kivulrol "konfiguralni" 
lehet a dinamikus port forwarding szabalyokat.

- tunneling: a NAT mogott allo gep egy interneten levo gepet hasznal 
kozvetitonek (proxynak). A belso cimrol felepit egy konstans csatornat a 
proxy fele, aki a sajat, teljes erteku cimet adja a belso gepnek, es a 
felepult csatornan tovabbitja az ip csomagokat.


-- 
JAKAB Peter  http://jap.hu/