|
Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
| autor |
|
mightythor
HV veteran
liitunud: 02.12.2004
|
13.05.2008 20:37:57
mida tehniliselt NAT'i keelamine tähendab? |
|
|
NAT'i keelamine minuteada tähendaks seda, et lõppeb sisevõrgust tulnud paketi source IP ja source pordi vahetamine vastavalt ruuteri WAN liidese IP ja ruuteri poolt valitud suvalise pordiga. Loomulikult kaob siis ka vajadus NAT tabeli pidamiseks, et välisvõrgust tulnud vastuseid tagasi sisevõrgus olevatele arvutitele juhatada. Aga kas NAT'i keelamisega tekib ka koheselt olukord, kus enam ei saa mitu arvutit LAN'is olla? Ja kas ruuterist saab siis lihtsalt karp, mis oskab kahte erinevat võrku omavahel ühendada, kuid mõlemas võrgus saab olla vaid üks host ning mõlemas võrgus olevate hostide vahel on otsenähtavus(saab pingida ühest võrgust teise ja kui mõnes on WWW server siis sellele otse ligi jne)? 
|
|
| Kommentaarid: 62 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
53 |
|
| tagasi üles |
|
 |
Smith
HV veteran
liitunud: 25.08.2002
|
|
13.05.2008 20:53:11
|
|
|
Jälle vaevad sa ennast mingi pseudoprobleemiga?
OK, keela ära siis ja vaata mis juhtub.
_________________
Only the Central Computer knows the truth |
|
| Kommentaarid: 158 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
1 :: |
145 |
|
| tagasi üles |
|
|
comcute
HV kasutaja
liitunud: 09.11.2001
|
|
13.05.2008 21:16:01
|
|
|
mightythor, kõik on õige va see, et ühes võrgus saab olla 1 host. Võrgus on täpselt nii palju hoste kui suurt võrku parasjagu vaja on.
_________________
Show someone an MS OS if they've never seen a computer, and see how surprised they are that you turn it off by going to the start button. |
|
| Kommentaarid: 11 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
0 :: |
9 |
|
| tagasi üles |
|
|
mightythor
HV veteran
liitunud: 02.12.2004
|
|
13.05.2008 22:37:45
|
|
|
| Smith kirjutas: |
Jälle vaevad sa ennast mingi pseudoprobleemiga?
OK, keela ära siis ja vaata mis juhtub. |
 Eluliselt vajalik see tõesti pole, kuid siis võiks kõik hobide/huvidega seotud probleemid pseudoprobleemideks lahterdada.
| comcute kirjutas: |
| mightythor, kõik on õige va see, et ühes võrgus saab olla 1 host. Võrgus on täpselt nii palju hoste kui suurt võrku parasjagu vaja on. |
ok, aga need hostid, mis ei ole NAT'i taga, peavad siis olema kõik unikaalsete välisvõrgu IP aadressitega kui tahta, et võrk töötaks? Ehk siis praktikas võib NAT'i maha keerata tulemüüril, mis ühendab näiteks kahte erinevat privaatvõrgu aadressitega lokaalvõrku?
|
|
| Kommentaarid: 62 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
53 |
|
| tagasi üles |
|
|
tahanteada
Lõuapoolik
liitunud: 04.04.2003
|
|
13.05.2008 22:48:31
|
|
|
mightythor: Saad küll serveritele ligi ja ka igale poole mujale, kuhu minekut muidu NAT ära keelab.
Seda võib ka nii seletada, et lihtolukordades tähendabki tihti tulemüür ainult NAT-i olemasolu. Kui keerad NAT-i kinni, siis sellega keerad ka tulemüüri kinni ja vastupidi...
|
|
| Kommentaarid: 284 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
11 :: |
211 |
|
| tagasi üles |
|
|
mightythor
HV veteran
liitunud: 02.12.2004
|
|
13.05.2008 23:14:56
|
|
|
| tahanteada kirjutas: |
mightythor: Saad küll serveritele ligi ja ka igale poole mujale, kuhu minekut muidu NAT ära keelab.
Seda võib ka nii seletada, et lihtolukordades tähendabki tihti tulemüür ainult NAT-i olemasolu. Kui keerad NAT-i kinni, siis sellega keerad ka tulemüüri kinni ja vastupidi... |
ma saan sinna küll ligi, kuid kuidas mulle vastus tagasi saadetakse? Server vaatab paketist source IP aadressi(mis on privaatvõrgu oma) ja siis on tal mõistus otsas. Pakett vist lihtsalt dropitakse nende ruuterite puhul kui server peaks selle privaatvõrgu aadressile tagasi saatma.
Või mõtlesid sa olukorda, kus võrk on selline:
192.168.1.0 <--ilma NAT'ita ruuter--> 192.168.5.0
ja näiteks WWW server asub selles 192.168.1.0 võrgus aadressil 192.168.1.4 ja päring WWW serverile tuleb aadressilt 192.168.5.5?
|
|
| Kommentaarid: 62 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
53 |
|
| tagasi üles |
|
|
Andrus Luht
itimees.ee
liitunud: 11.06.2002
|
|
| Kommentaarid: 377 loe/lisa |
Kasutajad arvavad: |
|
:: |
5 :: |
1 :: |
318 |
|
| tagasi üles |
|
|
mesinik
HV Guru
liitunud: 19.05.2004
|
|
14.05.2008 15:51:30
|
|
|
| BReaK da iCE kirjutas: |
| [... Kui tulemüüris NAT kinni keerata siis ei saa keegi sisevõrgust enam välisvõrke kasutada. Põhjus lihtne - ükski välisvõrgu masin ei oska pakette saata sinna kinnikeeratud NAT'i taha võrku. Siit ka termin - PRIVAATVÕRK |
See on teooria. No jätame pakettide saatmise käsiposti või ELS ekspressiga tuleva aasta 1ks aprilliks, aga kui võrk on piisavalt suur, siis mingi kriitilise massi kasutajate hulgas leidub leidlikke, kes leiutavad mõne muu tee välisvõrkudesse ... no näiteks kuhugi arvutisse unustatud 56kbps modemiga sissehelistamisteenust kasutades... seda ühendust hakkab moodne tarkvara rõemzalt jagama ka teistele võrgus olevatele masinatele. Siis soovitaks kasutada uut terminit - VÕRGUPIRAAT.
Kui mõttelõnga veel edasi kerida, võiks lihtsalt huvi pärast aegajalt suuremas võrgus näiteks NATi kinni keerata ja vaadata, kas ühendus kaob ... kui ei kao, tuleb otsida VÕRGUPIRAATE.
_________________
Loosi läheb pisut arvutikraami (võib ka helist 55906733): ... https://tinyurl.com/bp5568mb
https://tinyurl.com/yfk6xuru
https://tinyurl.com/33ss54d4 |
|
| Kommentaarid: 238 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
1 :: |
221 |
|
| tagasi üles |
|
|
jnt
HV Guru
liitunud: 10.05.2005
|
|
14.05.2008 15:54:59
|
|
|
Nii palju, kui mina nat'i teemast olen aru saand, võiks öelda, et kui sa oma ruuterikarbil nat'i välja lülitad vms, siis muutub su ruuter lihtsalt switch'iks ja kogu lugu... Ehk need pisikesed ruuterid on tegelt lihtsalt nat karbid.
_________________
Progemisest: https://byteaether.github.io/
Seisab keldris vana 386-486-Pentium1? Räägime! Ehk saan vanakesele uue elu anda. 
Vaata siia, äkki müün midagi põnevat -> https://www.osta.ee/index.php?fuseaction=listing.seller&q[seller]=jnt |
|
| Kommentaarid: 111 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
0 :: |
103 |
|
| tagasi üles |
|
|
Andrus Luht
itimees.ee
liitunud: 11.06.2002
|
|
14.05.2008 16:39:48
|
|
|
| mesinik kirjutas: |
| See on teooria. No jätame pakettide saatmise käsiposti või ELS ekspressiga tuleva aasta 1ks aprilliks, aga kui võrk on piisavalt suur, siis mingi kriitilise massi kasutajate hulgas leidub leidlikke, kes leiutavad mõne muu tee välisvõrkudesse ... no näiteks kuhugi arvutisse unustatud 56kbps modemiga sissehelistamisteenust kasutades... seda ühendust hakkab moodne tarkvara rõemzalt jagama ka teistele võrgus olevatele masinatele. Siis soovitaks kasutada uut terminit - VÕRGUPIRAAT. Kui mõttelõnga veel edasi kerida, võiks lihtsalt huvi pärast aegajalt suuremas võrgus näiteks NATi kinni keerata ja vaadata, kas ühendus kaob ... kui ei kao, tuleb otsida VÕRGUPIRAATE. |
Mis asja sa nüüd ajad!? Iga masin, kes tahab rääkida väljaspoole oma subnetti TCP/IP võrkukihi korral peab omama oma default gateway'na mingit masinat, kes teeks NAT'i või siis ruudiks väljapoole. Privaatvõrkudesse tagasi ei ruudi ükski mõistlik ruuter maailmas. Kui nüüd masinal on määratud default gateway ja seal asuv NAT pannakse kinni siis ei saa see masin kohe mitte kuidagi välimistesse võrkudesse vaatamata sellele, et kuskil mujal samas võrgus on masin, millel oma välisühendus mis iganes pidi. Kõik väljaspoole minevad paketid saadetakse default gateway'le ja see toimetab juba edasi. Vahvad protokollid nagu RIP ja veel mõned teevad siin veel asju keerulisemaks aga suurtes piirides nii see värk käib.
_________________
Äriklassi serverilahenduste müük, paigaldus ja haldus. SaaS / PaaS / IaaS lahendused
Kasutatud äriklassi serverite, andmesalvede ja võrguseadmete ost-müük-rent
Tier-3 privaatpilvede, virtuaal- ja virtuaal-privaat-serverite lahendused. 24/7 haldus, monitooring |
|
| Kommentaarid: 377 loe/lisa |
Kasutajad arvavad: |
|
:: |
5 :: |
1 :: |
318 |
|
| tagasi üles |
|
|
mightythor
HV veteran
liitunud: 02.12.2004
|
|
14.05.2008 16:41:11
|
|
|
| jnt kirjutas: |
| Nii palju, kui mina nat'i teemast olen aru saand, võiks öelda, et kui sa oma ruuterikarbil nat'i välja lülitad vms, siis muutub su ruuter lihtsalt switch'iks ja kogu lugu... Ehk need pisikesed ruuterid on tegelt lihtsalt nat karbid. |
ei, switch ei oska ju pakette ühest võrgust teise liigutada. Ilma NAT'ita ruuter oskab(või õigemini ruuter ehk marsruuter peakski olema selle seadme õige nimi, NAT on tal siis lihtsalt üks lisafunktsioon).
mesinik Aga need kliendid pole ju lokaalvõrku ühendatud? Nad on ühendatud teenusepakkuja hallatavasse võrku(jagagu ta siis privaatseid IP aadresse või mitteprivaatseid) ja kasutajal lihtsalt jääb internetiühendus alles.
Aga kui turvalisusele veel mõelda, siis NAT aitab sellessuhtes kõvasti. Sest kui pole mingeid virtuaalseid servereid/porte suunatud, siis oodatakse ainult tagasi tulevaid ühendusi kindlalt IP aadressilt kindlale pordile(kusjuures see port on eelnevalt suvaliselt valitud). See teeb ründe teostamise vist üsna võimatuks.
|
|
| Kommentaarid: 62 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
53 |
|
| tagasi üles |
|
|
High-Q
HV Guru
liitunud: 11.11.2001
|
|
14.05.2008 17:04:23
|
|
|
oot.. kutid. NAT on siiski privaataadressite transleerimine avalikeks aadressiks. maskeraadiks vanasti nimetati. NAT-i keelamine tehniliselt tähendab seda, et sisevõrgu privaatsete IP aadresseid ei muudeta välisaadressitega suhtlemisel ja kuna neid välisvõrgus niikuinii vastu ei võeta ega ruudita, siis sellega keelatakse lihtsalt sisevõrgu hostidele ligipääs välisvõrku.
kahe sisevõrgu (üleval mainitud 192.168.1.0 ja 192.168.5.0 näiteks) vahel NATi ei kasutata, vaid kasutatakse ruutimisprotokolle, NAT-i tegemiseks pole põhjust. Kui ruutimine toimub (on lubatud, on seadistatud, kasutatakse dünaamilist ruutingut vms), siis liiguvad ka paketid.
|
|
| Kommentaarid: 107 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
0 :: |
97 |
|
| tagasi üles |
|
|
mikk36
HV Guru
liitunud: 21.02.2004
|
|
14.05.2008 18:01:18
|
|
|
igaüks räägib oma aiaaugust 
|
|
| Kommentaarid: 85 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
2 :: |
78 |
|
| tagasi üles |
|
|
tahanteada
Lõuapoolik
liitunud: 04.04.2003
|
|
14.05.2008 19:15:11
|
|
|
mikk36: Aga NAT polegi ju kunagi ühesugust käsitlust tähendanud, vaid mitmeid ja üsna erinevaid erineva keerukusega tehnilisi variante.
Minu poolt eespooltoodud variant, et: Tulemüür = NAT ei pärine näiteks mitte kusagil mujalt kui odava Seebikarp-ruuteri Manuaalist. (Hoiatus, et kui NAT pole lubatud, siis pole ka selle ruuteri tulemüür aktiivne).
|
|
| Kommentaarid: 284 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
11 :: |
211 |
|
| tagasi üles |
|
|
sakinaga
HV Guru
liitunud: 30.08.2006
|
|
14.05.2008 19:22:24
|
|
|
Emm, tooks ühe lollaka näite tahanteada vastu: Bensiin=autokumm. "Hoiatus, et kui kummi all ei ole, siis auto ei sõida" vs "Hoiatus, kui bentsu ei ole, siis auto ei sõida".
_________________
Tsensuur HinnaVaatluse foorumis |
|
| Kommentaarid: 159 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
1 :: |
151 |
|
| tagasi üles |
|
|
Markos
HV veteran
liitunud: 10.04.2002
|
|
14.05.2008 19:30:35
|
|
|
| tsitaat: |
| Aga kas NAT'i keelamisega tekib ka koheselt olukord, kus enam ei saa mitu arvutit LAN'is olla? Ja kas ruuterist saab siis lihtsalt karp, mis oskab kahte erinevat võrku omavahel ühendada, kuid mõlemas võrgus saab olla vaid üks host ning mõlemas võrgus olevate hostide vahel on otsenähtavus(saab pingida ühest võrgust teise ja kui mõnes on WWW server siis sellele otse ligi jne)? |
Saab ikka, LAN'il pole sellest sooja ega külma, ühendus kõikide teiste võrkudega (ka internetiga loomulikult) aga kaob jäädavalt, seda küll. Ruuterist saab siis lihtsalt karp, mis oskab ühendada erinevaid võrke koos kõigi neis eksisteerivate hostidega, ei enamat. See tähendab, et ta oskab kõike seda mida sina talle ette kirjutad, olenevalt karbikese võimalustest. Kui sa tahad kasutada internetti, siis pead alustuseks loobuma privaataadressidest, hankima endale teenusepakkuja käest avalikud aadressid, mille sa siis rõõmsasti ruuterile selgeks õpetad. ISP omakorda ütleb oma ruuterite abiga maailmale, et sinu pisikene võrkujupikene asub sinu pisikese karbikese taga. Kui neid karbikesi on palju ja sinu võrgukene on keerulisemat laadi, ja staatiline konfimine ajab hulluks, pead kasutama dünaamilisi ruutinguprotokolle (Igaks juhuks hoiatan, et ära ospf ja bgp'd vaata, lisaks sellele, et karbikene neist reeglina midagi ei tea, võib su ajukene ka kärssama hakata). Kui karbikene oskab ka mingisuguseid tulemüüri funktsioone, mis forward ahelat kontrollivad, siis saad ka neid rakendada. Igaveseks võiks meelde jätta, NAT'il ei ole mitte mingisugust seost tulemüüriga.
to tahanteada: Sinu praegune haridus/haritus ongi suures osas müügivoldikutelt ja koduperenaistele mõeldud käsiraamatutest omadatud ?
viimati muutis Markos 14.05.2008 19:33:55, muudetud 1 kord |
|
| Kommentaarid: 14 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
2 :: |
12 |
|
| tagasi üles |
|
|
tahanteada
Lõuapoolik
liitunud: 04.04.2003
|
|
| Kommentaarid: 284 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
11 :: |
211 |
|
| tagasi üles |
|
|
Ivoshiee
HV veteran
liitunud: 24.01.2003
|
|
14.05.2008 19:50:33
|
|
|
Esialgne küsimuse püstitus oli hea, sest egas muidu tarkus levi, kui küsida ei julge...
Tehniliselt ei ole NAT piiratud kuidagi sisevõrgu aadressidega. Keski ei keela sul NATida ka välisvõrgu aadresse, aga selle vajadus on vast väga spetsiifiline. Kuigi NAT ehk masquerade ei ole otseselt seotud tulemüüri kui sellisega, siiski esialgselt ja kaugelt vaadates pea alati jääb selline mulje. Tehniliselt on sisevõrgu masinate rünne keerukam kui ruuteripurk NATi teeb, aga siiski tehtav kui ründaja sinu ruuteripurgist tulevat paketivoogu veidi jälgib. Tänapäeval ei ole, aga NAT enam miskiks takistuseks, sest kodukasutajad on endale igasugu P2P, viirused jms tarkvara ilusaste massinasse istutanud ning nende featuure ja bugisid kasutades on see rünne hulka lihtsam.
_________________
Folding@home
FAH foorum |
|
| Kommentaarid: 5 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
5 |
|
| tagasi üles |
|
|
sakinaga
HV Guru
liitunud: 30.08.2006
|
|
14.05.2008 21:49:12
|
|
|
tahanteada, mis ma sealt lingilt täpselt lugema peaksin? Kust ma võiksin lugeda, et NAT=firewall
_________________
Tsensuur HinnaVaatluse foorumis |
|
| Kommentaarid: 159 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
1 :: |
151 |
|
| tagasi üles |
|
|
tahanteada
Lõuapoolik
liitunud: 04.04.2003
|
|
14.05.2008 22:03:21
|
|
|
Maatriks: Seda saad lugeda, et NAT-e on v2ga erinevate lahendustega. Mitte pole tegu yhe ja kindla variandiga.
Postitatud mobile device
|
|
| Kommentaarid: 284 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
11 :: |
211 |
|
| tagasi üles |
|
|
Markos
HV veteran
liitunud: 10.04.2002
|
|
14.05.2008 22:20:57
|
|
|
| Nii snat kui dnat on ruuterikarbis esindatud. Esimesega tehakse klassikalist pääsu internetti, teist tunneme pordisuunajana.
|
|
| Kommentaarid: 14 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
2 :: |
12 |
|
| tagasi üles |
|
|
mightythor
HV veteran
liitunud: 02.12.2004
|
|
16.05.2008 18:11:56
|
|
|
aga miks privaatvõrkude vahelises suhtluses NAT takistuseks on?
Tegin sellise katse kahe võrgu vahel:
| 192.168.1.0 <--ruuter NAT lubatud--> 192.168.2.0 |
Ruuteri LAN liidese IP oli 192.168.1.1 ja WAN liidese IP 192.168.2.1. Näiteks kui pöörduksin aadressilt 192.168.1.2:43542 aadressi 192.168.2.4:80 poole(ehk siis veebiserveri poole), siis ruuteris olev NAT vahetaks paketi päises 192.168.1.2:43542 näiteks 192.168.2.1:6234 vastu. Ma ei saa ainult aru, mis selles halba on, st miks pakett aadressi 192.168.2.4:80 juurde kohale ei jõua?
Samas kui nüüd sedasi tegin:
| 192.168.1.0 <--ruuter NAT keelatud--> 192.168.2.0 |
...siis jõudis 192.168.1.2:43542 ilusasti 192.168.2.4:80 juurde. Ilmselt siis ruuter sai aru, et ta peab andma paketi edasi WAN liidesele.
Samamoodi ei saanud ma ka sellist seadistust:
| 192.168.1.0 <--ruuter1 NAT lubatud--> <--ruuter2 NAT lubatud--> 192.168.3.0 |
...ennem tööle kui mõlemas ruuteris NAT'i keelasin. Infoks seda, et ruuter1 LAN oli 192.168.1.1 ja WAN 192.168.2.1. Ruuter2 LAN oli 192.168.2.2 ja WAN 192.168.3.1
Või kas asi on lihtsalt selles, et NAT tarkvara keeldub paketi source IP'd vahetama privaatvõrgu IP aadressi vastu(mul oli ju kõigi katsete puhul määratud ruuteri WAN liidese IP privaatvõrgu oma) ning lihtsalt dropib paketi selle peale?
|
|
| Kommentaarid: 62 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
53 |
|
| tagasi üles |
|
|
furyy
HV kasutaja
liitunud: 06.02.2006
|
|
19.05.2008 09:16:55
|
|
|
Probleemiks oleks vast see, et privaatvõrgu IPde vahel ei tehta NATi.
Parem vaata kas ruutimistabelid üldse õiged on.
( Haige teema )
_________________
48 thousand years into the future, you've still got a knack for stating the obvious. |
|
| Kommentaarid: 7 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
7 |
|
| tagasi üles |
|
|
mightythor
HV veteran
liitunud: 02.12.2004
|
|
19.05.2008 12:23:45
|
|
|
| furyy kirjutas: |
Probleemiks oleks vast see, et privaatvõrgu IPde vahel ei tehta NATi.
Parem vaata kas ruutimistabelid üldse õiged on. |
miks see probleemiks on kui privaatvõrgu IP'de vahel ei tehta NAT'i? Ilma NAT'ita just töötab ju
|
|
| Kommentaarid: 62 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
53 |
|
| tagasi üles |
|
|
mikk36
HV Guru
liitunud: 21.02.2004
|
|
19.05.2008 12:43:41
|
|
|
| mightythor, probleem on selles, et NAT'i puhul pead sa pöörduma ruuteri ip poole 80 pordi peale, mis suunab ise 2.4'le edasi selle päringu, sina aga üritasid otse 2.4'ga suhelda
|
|
| Kommentaarid: 85 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
2 :: |
78 |
|
| tagasi üles |
|
|
|
:: KKK
:: otsing 
:: statistika
:: kasutajate nimekiri
:: kasutajate grupid
:: registreeri
teata moderaatorile
