Lan2net NAT Firewall - Технология NAT

Подключение локальной сети к Интернет с помощью технологии NAT

Обычно для подключения локальной сети к Интернету через Интернет шлюз используется один или несколько внешних IP-адресов, а компьютерам локальной сети присваиваются внутренние IP-адреса.

Существует несколько причин такого способа подключения:

• Ограниченное количество реальных IP-адресов. За каждый IP-адрес необходимо оплачивать аренду у провайдера;
• Нет проблем при расширении локальной сети. С появлением необходимости присвоить новым компьютерам IP-адреса, нет надобности обращаться за выделением дополнительных внешних IP-адресов;
• Надежная защита компьютеров в локальной сети от внешних атак. Компьютеры с внутренними IP-адресами недоступны напрямую из внешней сети.

Для подключения локальной сети к Интернет существует несколько способов. Самые популярные из которых - использование в качестве Интернет шлюза proxy сервера и NAT сервера. Proxy сервер работает на уровне приложений, а драйвер NAT - на уровне стека протоколов TCP/IP.

Главные минусы использования proxy сервера - необходимость настройки каждого клиентского приложения, несовместимость некоторых приложений с работой через proxy сервер (например, банковские программы, игры), очень низкая производительность и высокое потребление системных ресурсов Интернет сервера.

Использование NAT обеспечивает прозрачность для приложений - их не нужно настраивать, с NAT работают практически все протоколы и приложения. Поскольку NAT представляет собой низкоуровневый сетевой драйвер, то его производительность по сравнению с proxy серверами выше в несколько раз. Соотвтетственно выше скорость работы Интернет сервера.

В отличие от множества других программных решений, использующих встроенный в Windows драйвер NAT, в Lan2net NAT Firewall используется более производительный драйвер NAT собственной разработки.

Для построения локальных сетей необходимо использовать специально определенные в RFC 1918 группы приватных IP-адресов:

• Для сетей класса А: 10.0.0.0-10.255.255.255
• Для сетей класса B: 172.16.0.0-172.31.255.255
• Для сетей класса С: 192.168.0.0-192.168.255.255

Иногда диапазоны этих IP-адресов также называют частные или серые IP-адреса. Внешние реальные адреса имеют название белые IP-адреса. Таким образом, компьютерам локальной сети могут назначаться IP-адреса из указанных диапазонов. Однако, непосредственный доступ в Интернет из таких сетей невозможен.

Для подключения всей локальной сети достаточно иметь единственный узел с доступом в Интернет, имеющий уникальный белый IP-адрес. Такой узел называется Интернет шлюзом или Интернет сервером. Интернет шлюз должен иметь, как минимум, два сетевых адаптера. Один из которых обеспечивает доступ в Интернет. Этому внешнему адаптеру присвоен белый IP-адрес. Внутренним адаптерам могут быть присвоены как белые, так и серые IP-адреса.

При прохождении сетевых пакетов через Интернет сервер, с внутреннего адаптера на внешний и обратно, происходит трансляция сетевых адресов (NAT). Такой механизм обеспечивает прозрачный доступ в Интернет для узлов с серыми IP-адресами. Кроме того, все соединения после шлюза выглядят так, как если бы они были установлены с единственного белого IP-адреса. Тем самым обеспечивается сокрытие конфиденциальной информации о локальной сети.

В программном комплексе Lan2net NAT Firewall трансляция сетевых адресов выполняется для протоколов: TCP, UDP и ICMP.

Принцип работы NAT

Трансляция сетевых адресов выполняется в процессе контроля транзитных соединений на Интернет сервере. Когда пакет IP-соединения с серым IP-адресом источника передается драйвером внутреннего сетевого адаптера к драйверу стека TCP/IP, сетевой драйвер Lan2net NAT Firewall перехватывает пакет, изменяя в нем IP-адрес источника и номер порта источника для протоколов UDP и TCP. Для пакетов протокола ICMP модифицируется идентификатор запроса. После модификации пакета он передается драйверу внешнего сетевого адаптера Интернет шлюза и далее отсылается необходимому узлу в Интернет.

При передаче в сеть Интернет пакет выглядит так, как будто, он отправлен с белого внешнего IP-адреса. Тем самым обеспечивается уникальность IP-адреса источника соединения в рамках всей сети Интернет.

Получив ответные пакеты, драйвер внешнего сетевого адаптера передает их драйверу стека TCP/IP. В этот момент пакеты перехватываются драйвером Lan2net NAT Firewall. Сетевой драйвер Lan2net NAT Firewall определяет принадлежность пакетов исходному IP-соединению. Так как при модификации номеров TCP-, UDP-портов или идентификатора ICMP-запроса в исходящих пакетах им были присвоены уникальные значения, то теперь на основе этих значений драйвер может восстановить оригинальный, серый IP-адрес источника запроса.

Таким образом, в ответных пакетах IP-адрес назначения заменяется на IP-адрес источника запроса, а номера TCP-, UDP-портов или идентификатора ICMP-запроса также восстанавливают свои оригинальные значения. После этого ответные пакеты передаются драйверу TCP/IP и далее, через внутренний адаптер, к узлу, сделавшему запрос.

Скачать Lan2net NAT Firewall