В помощь ИТ специалисту 

NAT от PROXY

Вопросы связанные с установкой и использованием межсетевых экранов (Firewall) и прокси серверов(Proxy) в сети организации.

Модератор: Модераторы

Ответить
Nalex
Новый участник
Сообщения: 1
Зарегистрирован: 12 окт 2005, 15:18
Откуда: Alma-Ata

Сообщение Nalex » 12 окт 2005, 15:25

Подскажите в чем принципиальное отличие NAT от PROXY.
Вернуться к началу
OKN
Новый участник
Аватара пользователя
Сообщения: 34
Зарегистрирован: 25 май 2005, 11:43
Откуда: Рига

Сообщение OKN » 12 окт 2005, 15:50

IP 10.10.1.51
M 255.255.255.0
GW 10.10.1.1 (NAT)
10.10.1.1:8080 (PROXY)
Вернуться к началу
slz
Активный пользователь
Сообщения: 1229
Зарегистрирован: 08 июл 2004, 06:17
Откуда: Новосибирск

Сообщение slz » 17 окт 2005, 08:18

OKN
Мощное отличие :D
Nalex
Если вам что-то говорит понятие модель OSI, так вот эти службы использут протоколы различных уровней этой модели и в жизни тоже :) .
Вернуться к началу
biruk
Активный пользователь
Сообщения: 1134
Зарегистрирован: 19 июл 2004, 11:30
Откуда: Москва

Сообщение biruk » 19 окт 2005, 12:53

nat подменяет ip адреса и пропускает пакет дальше.

proxy терминирует запросы клиентов на себе и от своего имени открывает соединение с запрошенным ресурсом. А внутри себя может как-то обрабатывать пакеты. Таким образом, ни один пакет из локальной сети не проходит наружу и снаружи в локалку.

вот. со всеми вытекающими...
Trust me - i know what i’m doing © Sledge Hummer
Вернуться к началу
slz
Активный пользователь
Сообщения: 1229
Зарегистрирован: 08 июл 2004, 06:17
Откуда: Новосибирск

Сообщение slz » 19 окт 2005, 14:46

Все правильно, только НАТ транслирует не только адреса, но и порты, а также бывает SourceNAT и DistantionNAT, работает на сетевом и транспортном уровне и использует маршрутизацию пакетов.
Proxy - работает на уровне приложений и сессий (редко), не использует маршрутизацию и может полностью анализировать, кэшировать и по другому извращаться с инфой.
Вернуться к началу
Harry33
Он здесь живет
Сообщения: 2394
Зарегистрирован: 19 дек 2003, 20:43
Откуда: Москва

Сообщение Harry33 » 19 окт 2005, 16:07

slz
NAT (Network Address Translation) - транслирует ТОЛЬКО адреса, порты при этом остаются без изменений, в отличии от PAT (Port address translation), который как раз и транслирует порты. К слову в подавляющем большинстве случаев для офисных нужд (доступ к Интернет) применяется как раз PAT.
Знания, которые нельзя применить - бесполезны
Вернуться к началу
slz
Активный пользователь
Сообщения: 1229
Зарегистрирован: 08 июл 2004, 06:17
Откуда: Новосибирск

Сообщение slz » 20 окт 2005, 08:29

Harry33
Цитата
NAT (Network Address Translation) - транслирует ТОЛЬКО адреса,
[/quote]

Да что вы говорите.
Согласно документам RFC 1631/2663/2766/2993 есть только NAT, а все остальное - это частные случаи.
Цитата
PAT (Port address translation), который как раз и транслирует порты
[/quote]

Т.е. при огранизации доступа в инет из приватной сети нужно транслировать только адреса портов? Приватные адреса в заголовках IP пакета транслировать не нужно?Как же оно тады работаь будет?
То что ты называешь PAT в RFC называется NAPT - Network Address Port Translation.
Поэтому бессмысленно делить на NAT, PAT, маскарад и еще чего :)
Вернуться к началу
Harry33
Он здесь живет
Сообщения: 2394
Зарегистрирован: 19 дек 2003, 20:43
Откуда: Москва

Сообщение Harry33 » 20 окт 2005, 11:45

slz
Проще на примере
NAT
192.168.1.1 source port 1231 -> 215.124.18.1 source port 1231
192.168.1.2 source port 1231 -> 215.124.18.2 source port 1231
192.168.1.3 source port 1331 -> 215.124.18.3 source port 1331
192.168.1.4 source port 1331 -> 215.124.18.4 source port 1331
.....
PAT
192.168.1.1 source port 1231 -> 215.124.18.1 source port 1231
192.168.1.2 source port 1231 -> 215.124.18.1 source port 1431
192.168.1.3 source port 1331 -> 215.124.18.1 source port 1861
192.168.1.4 source port 1331 -> 215.124.18.1 source port 1881

Относительно наличия смысла в разделении.
С теоретической точки зрения - его безусловно нет, с практической - огромный.
Вот пример (частный случай) система банк клинт нескольких банков производит согласование портов соединения передавая их в теле пакета (NAT преобразовывает только заголовки) соответственно работа такого приложения будет возможна ТОЛЬКО при использования NAT при наличии NAPT (PAT) синхронизировать порты передачи получиться только при условии что инициатор соединения оказался первым. Но это детали.
Как правило "чистый" NAT применяется при необходимости избежать конфликтов IP адресов при объединении разных подсетей имеющих пересекающиеся диапазоны.
Знания, которые нельзя применить - бесполезны
Вернуться к началу
slz
Активный пользователь
Сообщения: 1229
Зарегистрирован: 08 июл 2004, 06:17
Откуда: Новосибирск

Сообщение slz » 20 окт 2005, 13:31

Harry33
Как оно работает я прекрасно знаю, а как оно называется есть в RFC.
Цитата
NAT
192.168.1.1 source port 1231 -> 215.124.18.1 source port 1231
[/quote]


Цитата
PAT
192.168.1.1 source port 1231 -> 215.124.18.1 source port 1231
[/quote]

Чем отличается?
Ошибочка однако.
Первый пример - это Traditional NAT.
Второй, без первой строки - NAPT.
А все всместе частные случаи NAT, которых в RFC целая гора.
Просто PAT - не отражает всю суть происходящего, транслируются не только порты, но и адреса.
Вернуться к началу
Harry33
Он здесь живет
Сообщения: 2394
Зарегистрирован: 19 дек 2003, 20:43
Откуда: Москва

Сообщение Harry33 » 20 окт 2005, 16:21

slz

Цитата
Ошибочка однако.
[/quote]
Это не ошибочка. Именно так это работает. Смещение портов при инициализации сесси от первого хоста не происходит, т.к. в это мнет необходимости.
Я не спорил с утверждением, что NAPT (PAT) - это частный случай NAT
Знания, которые нельзя применить - бесполезны
Вернуться к началу
След.
Ответить

Вернуться в Межсетевые экраны (Firewall) и Прокси серверы (Proxy)

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

Список форумов
Удалить cookies конференции