Przypadek stacji zewnętrznej z publicznym adresem IP
" Jeżeli stacja zewnętrzna korzysta z publicznego adresu IP, to stacja
wewnętrzna może nawiązać z nią dwukierunkowe połączenie
NAT
" Wyjątkami są omówione wcześniej przypadki połączeń bez protokołów TCP
lub UDP (np. ICMP lub GRE) oraz protokołów aplikacyjnych umieszczających
adresy sieciowe w komunikatach warstwy aplikacyjnej (np. FTP)
Połączenia pomiędzy stacjami
" Nawiązanie połączenia przez stację zewnętrzną do stacji
wewnętrznej może być zrealizowane poprzez skonfigurowanie na
korzystającymi z NAT
routerze realizującym NAT przekierowania połączeń
przychodzących na dany port do określonego adresu stacji w sieci
wewnętrznej.
" Wymaga to dostępu administracyjnego do routera i dany port może być
przypisany tylko jednej stacji w sieci wewnętrznej
1
www.teleinformatyka.net 2
Przypadek stacji zewnętrznej z prywatnym adresem IP TURN  Traversal Using Relay NAT
" W takim przypadku może być wykorzystana trzecia stacja
posiadająca publiczny adres IP, która utworzy tunel pomiędzy
stacjami z adresami prywatnymi
" Takie rozwiązanie określanej jest jako TURN  Traversal Using
Relay NAT
" Wymaga to dostępności dedykowanego serwera pośredniczącego oraz
odpowiedniego protokołu wymiany danych i sterowania tunelem
www.teleinformatyka.net 3 www.teleinformatyka.net 4
3
3
STUN  Simple Traversal of UDP through NAT STUN  Simple Traversal of UDP through NAT
" Jest to rozwiązanie dedykowane dla protokołu UDP, ale może być
też zastosowane do TCP
" Hosty A i B znajdujące się w sieciach wewnętrznych nawiązują
połączenia z hostem C w sieci zewnętrznej
" Host C informuje o host A o adresie i porcie z
ródłowym hosta B oraz
host B o adresie i porcie z
ródłowym hosta A
" Mając te informacje hosty A i B mogą próbować komunikować się
bezpośrednio (bez pośrednictwa hosta C)
" Skuteczność takiego rozwiązania zależy od tego jak zachowuje się
NAT w przypadku otrzymania na zmapowany adres i port (po stronie
zewnętrznej) pakietu od zewnętrznej maszyny nie należącej do
konwersacji (mającej inny adres IP niż ten z którym NAT utworzył i
zapamiętał translację)
www.teleinformatyka.net 5 www.teleinformatyka.net 6
1
Full Cone NAT
Rodzaje NAT ze względu na obsługę pakietów
" Od chwili gdy wewnętrzny adres i port (iAddr:iPort) zostaną
poza nawiązaną konwersacją
zamapowane na zewnętrzny adres i port (eAddr,ePort), każdy pakiet
" Full Cone NAT
z hosta wewnętrznego wysyłany z zamapowanego wewnętrznego
portu z
ródłowego iPort będzie wysłany przez ten sam port
" Restricted Cone NAT
zewnętrzny ePort (także w przypadku jeżeli host w sieci lokalnej
" Port Restricted Cone NAT
użyje ponownie danego portu z
ródłowego do skomunikowania się z
innym hostem po stronie zewnętrznej).
" Symmetric NAT
" Dowolny host zewnętrzny może wysłać pakiet do hosta
wewnętrznego (iAddr:iPort) poprzez wysłanie go do eAddr:ePort
" Taki NAT określa się jako well behaved
www.teleinformatyka.net 7 www.teleinformatyka.net 8
Full Cone NAT Restricted Cone NAT
" Zachowuje się tak samo jak Full Cone NAT, ale pakiet wysłany
iAddr:iPort = 192.168.19.100:3000
przez hosta zewnętrznego dotrze do hosta w sieci wewnętrznej tylko
eAddr:ePort = 157.158.181.42:3010
wtedy, gdy host wewnętrzny wysłał wcześniej pakiet na adres IP
hosta zewnętrznego
Src: 3010
Src:
Src: 3010
Dst:
Dst:
Src:
Src: 157.158.180.200:5000 Src: 157.158.180.200:5000 Src:
Dst: 3010 Dst: 3010
Src: Src:
Src: Src:
Dst: Dst: 3010
Dst: Dst: 3010
Src:
Src: Src: Dst: 3010
3010
Dst: Dst:
Src: Src: 3010
Dst: Dst:
Src: Src:
7000
Dst: Dst: 3010
Src: Src:
Dst: Dst: 3010
Src: Src: 7000
Dst: Dst: 3010
www.teleinformatyka.net 9 www.teleinformatyka.net 10
Port Restricted Cone NAT Symmetric NAT
" Dodaje do Restricted Cone NAT wymóg, aby port z
ródłowy zgadzał " Pakiet z sieci zewnętrznej zostanie przyjęty tylko wówczas, gdy jego
się z portem zapamiętanym jako port docelowy w konwersacji adres z
ródłowy oraz porty docelowy i z
ródłowy zgadzają się z
danymi zapamiętanymi w utworzonej konwersacji, dodatkowo
" Jest to chyba najczęściej spotykany wariant
parametry te muszą być unikalne (jeżeli host wewnętrzny użyje
ponownie tego samego numeru portu do połączenia z innym hostem,
to NAT dokona zamiany tego portu na inny numer)
Src: 3010
Dst:
" Określany jako not well behaved
Src:
Dst: 3010
" W takim przypadku szansą na nawiązanie połączenia bezpośredniego jest
przewidzenie portu z
ródłowego, który zostanie wybrany jako kolejny
Src:
Dst: 3010
Src:
3010
Dst:
Src: Src:
3010
Dst: Dst:
Src: Src:
Dst: Dst: 3010
Src:
3010
Dst:
www.teleinformatyka.net 11 www.teleinformatyka.net 12
2
Symmetric NAT Port Restricted Cone NAT
Tworzenie połączenia bezpośredniego
" Zakładamy, że hosty A i B nawiązałypołączenie z hostem C
Src:
3010
Dst:
Src: Src:
Dst: Dst: 3010
Src:
Dst: 3010
Src:
DST=157.158.180.200:5000
Dst: 3010
SRC=157.158.181.42:50000
DST=257.158.180.200:5000
DST=257.158.180.200:5000
Src: Src: 4010
SRC=157.158.180.235:50025
SRC=157.158.180.235:50000
Dst: Dst:
Src:
Dst: 3010
Src: Src:
4010
Dst: Dst:
www.teleinformatyka.net 13 www.teleinformatyka.net 14
Port Restricted Cone NAT Port Restricted Cone NAT
Tworzenie połączenia bezpośredniego Tworzenie połączenia bezpośredniego
" Host C informuje hosty A i B o parametrach nawiązanego połączenia " Hosty A i B zaczynają się wzajemnie bezpośrednio komunikować
używając parametrów otrzymanych od hosta C
" Ponieważ jest to Port Restricted Cone
NAT, pierwszy pakiet z takiej komunikacji
zostanie utracony, ponieważ NAT po
DST=157.158.181.42:50000
SRC=257.158.180.200:5000 stronie B (lub A) nie przestawił jeszcze
numeru portu z
ródłowego (z 5000 na
DST=157.158.180.235:50025
50000), z którego będzie wpuszczał
SRC=257.158.180.200:5000
pakiety (nastąpi to po wysłaniu przez
stronę B (lub A) pakietu do hosta A (lub
B), co spowoduje zmianę w zapisie
utworzonej konwersacji)
" Jeżeli NAT nie zamienia numerów portów,
to połączenie bezpośrednie można
utworzyć nawet bez stacji pośredniczącej
www.teleinformatyka.net 15 www.teleinformatyka.net 16
Port Restricted Cone NAT Port Restricted Cone NAT
Obsługa połączeń TCP Obsługa połączeń TCP
" W przypadku protokołu TCP należy zapewnić poprawne wykonanie " Jeżeli mamy możliwość bezpośredniej komunikacji UDP pomiędzy
procedury trójstanowego nawiązania połączenia pomiędzy hostami A hostami znajdującymi się za NAT em, to można na bazie takiej
i B komunikacji zrealizować tunelowanie ruchu TCP w datagramach
UDP
" Jeżeli zależy nam na bezpośredniej komunikacji TCP (bez
dodatkowej enkapsulacji w tunelu UDP), to stosowane są tutaj dwa
rozwiązania:
" Analogiczne jak w UDP, A tworzy połączenie TCP do C oraz następuje
otwarcie w A dodatkowego gniazda na tym samym porcie (co połączenie do C)
w celu przyjęcia połączenia od drugiej strony
" Nie wszystkie systemy pozwalają na utworzenie drugiego gniazda skojarzonego z
tym samym portem
10001
20001
www.teleinformatyka.net 17 www.teleinformatyka.net 18
3
Port Restricted Cone NAT
Obsługa połączeń TCP
" Inna metoda pozwalająca na nawiązanie bezpośredniej komunikacji
TCP to wysłanie pierwszego segmentu TCP SYN z wartością pola
TTL tak dobraną, aby nie dotarł on do routera po drugiej stronie, w
celu spowodowania korekty wpisu w tablicy NAT w lokalnym
routerze
" Po obustronnym  otwarciu komunikacji NAT można wykonać
jedną z trzech operacji:
" Hosty A i B informują pośrednika C o zastosowanych numerach
sekwencyjnych, po czym C ich imieniu wysyła odpowiedzi SYN-ACK ze
sfałszowanymi adresami z
ródłowymi
" Tylko host B odsyła odpowiedz
SYN-ACK na publiczny adres hosta A
" Oba hosty (A i B) odsyłają odpowiedzi SYN-ACK z numerami sekwencyjnymi
zdalnej maszyny uzyskanymi od pośrednika (hosta C)
www.teleinformatyka.net 19
4