Qu'est-ce qu'un NAT strict, modéré et ouvert?

12

Les options NAT sur les routeurs domestiques sont souvent configurées comme strictes . Qu'est-ce que ça veut dire? Que font modérés ou ouverts ? L'accès de redirection de port / DMZ fonctionne correctement sur strict alors pourquoi s'embêter avec les deux autres?

Un coup d'œil à travers le routeur suggère que cela affecte le pare - feu . Lorsque vous passez une grande partie de votre temps à sécuriser les réseaux à l'aide de Cisco / iptables, une réponse non descriptive molle n'est rien d'autre qu'exaspérant et ne laisse aucun indice quant à l'effet que cela a sur un pare - feu .

S'il vous plaît, quelqu'un peut-il faire la lumière?

Metalshark
la source
Certaines marques \ modèles seraient utiles, la question semble plus destinée au marché des super-utilisateurs. Envisagez-vous de les utiliser à des fins commerciales, semble être une question de type superutilisateur?
Helvick
1
Je suis désolé, mais je pense que ces termes sont les plus couramment utilisés par un système de jeu grand public et ne sont pas couramment utilisés par les administrateurs système. Peut-être devriez-vous demander à Microsoft ce que signifiait précisément leur expression abrutie. support.microsoft.com/kb/908880
Zoredache
Un NetGEAR WNDR3700 dans ce cas actuel, mais les Drayteks (utilisés par de nombreux SoHo et showroom) ont également la même option. Je voudrais juste savoir ce que fait chaque option, que beaucoup ont besoin d'étudier en cas de problème. Celui-ci en particulier semble de plus en plus courant parmi les modèles. Bien que si c'est mieux demandé à SuperUser, j'essaierai à la place.
Metalshark

Réponses:

31

Il est important de savoir d'abord comment fonctionne la traduction d'adresses réseau (NAT). Vous établissez une connexion à un serveur sur Internet. En réalité, vous envoyez des paquets à votre routeur, sortant de votre ordinateur sur un port choisi au hasard:

Your computer        Router
+------------+     +-----------+
|            |     |           |
| port 31746 o====>o           |
|            |     |           |
+------------+     +-----------+

Votre routeur, à son tour, établit une connexion avec le serveur avec lequel vous souhaitez parler. Il parle de son propre port choisi au hasard:

                     Router            www.google.com
                   +-----------+     +----------------+
                   |           |     |                |
                   | port 21283o====>o port 80        |
                   |           |     |                |
                   +-----------+     +----------------+

Lorsque le serveur Web de Google vous renvoie des informations, il les renvoie en fait à votre routeur (car votre routeur est le gars en fait sur Internet):

                     Router            www.google.com
                   +-----------+     +----------------+
                   |           |     |                |
                   | port 21283o<====o port 80        |
                   |           |     |                |
                   +-----------+     +----------------+

Un paquet arrive sur votre routeur, sur le port 21283de www.google.com. Que doit en faire le routeur?

Dans ce cas, le routeur a gardé une trace de vous et du trafic qu'il a envoyé www.google.com:80depuis le port 21283en votre nom. Ainsi, le routeur relaiera le paquet à votre ordinateur:

Your computer        Router
+------------+     +-----------+
|            |     |           |
| port 31746 o<====o           |
|            |     |           |
+------------+     +-----------+

NAT ouvert

En NAT ouvert , n'importe quelle machine sur Internet peut envoyer du trafic vers le port de votre routeur 21283, et le paquet vous sera renvoyé:

Your computer        Router            
+------------+     +-----------+     {www.google.com:80
|            |     |           |     {www.google.com:443
| port 31746 o<====o port 21283o<===={serverfault.com:80
|            |     |           |     {fbi.gov:32188
+------------+     +-----------+     {botnet.cn:11288

NAT fermé

Le nat fermé est plus restrictif. Il n'autorisera rien à moins qu'il ne provienne de l'adresse et du port d'origine avec lesquels vous vouliez parler, c'est-à-dire le www.googleport 80:

Your computer        Router            
+------------+     +-----------+     {www.google.com:80
|            |     |           |     | (rejected) www.google.com:443
| port 31746 o<====o port 21283o<====+ (rejected) serverfault.com:80
|            |     |           |       (rejected) fbi.gov:32188
+------------+     +-----------+       (rejected) botnet.cn:11288

NAT modéré

Le NAT modéré est un mélange, où votre routeur acceptera tout le trafic provenant de n'importe quel port , mais uniquement du même hôte :

Your computer        Router            
+------------+     +-----------+     
|            |     |           |     {www.google.com:80
| port 31746 o<====o port 21283o<===={www.google.com:443
|            |     |           |       (rejected) serverfault.com:80
+------------+     +-----------+       (rejected) fbi.gov:32188
                                       (rejected) botnet.cn:11288

C'est un ensemble de définitions. L'autre est:

  • Ouvert: permet aux ordinateurs du LAN d'utiliser UPNP pour ouvrir des ports
  • Modéré: certains transferts de port ont été créés et fonctionnent
  • Fermé: aucune redirection de port statique n'existe

Mais la terminologie est vraiment nébuleuse.

Voir également

Ian Boyd
la source
1
Bonne explication. Ce n'est qu'un type de NAT et s'appelle PAT (Port Address Translation)
J.Money
"seulement du même hôte" - seulement du même hôte que quoi ?
BT
@BT "uniquement à partir du même hôte que quoi " - comme l'hôte auquel nous parlons. (par exemple google.com)
Ian Boyd