Ero sivun ”NAT” versioiden välillä

Siirry navigaatioon Siirry hakuun
298 merkkiä lisätty ,  24. huhtikuuta 2008
p
wikilinkitystä, pientä päivitystä
pEi muokkausyhteenvetoa
p (wikilinkitystä, pientä päivitystä)
Rivi 1: Rivi 1:
NAT eli Network Address Translation on 1996/97 kehitetty tekniikka, jonka tarkoituksena oli vähentää [[IPv4]]-osoitteiden kulutusta. Ennen sen kehittämistä jokaisella Internetiin kytketyllä koneella oli oltava oma IP-osoite.  
NAT eli Network Address Translation on 1996/97 kehitetty tekniikka, jonka tarkoituksena oli vähentää [[IPv4]]-osoitteiden kulutusta. Ennen sen kehittämistä jokaisella Internetiin kytketyllä koneella oli oltava oma [[wikipedia:fi:IP-osoite|IP-osoite]].  


NATin avulla [[wikipedia:fi:reititin|reititin]] voi saada kaikki sen takaa sisäverkosta ulospäin Internetiin otetut yhteydet näkymään reitittimen omalla IP-osoitteella, jolloin sisäverkon koneilla voi olla mitkä tahansa lähiverkon IP-osoitteet niiden vaikuttamatta Internet-liikenteeseen.
NATin avulla [[wikipedia:fi:reititin|reititin]] voi saada kaikki sen takaa sisäverkosta ulospäin Internetiin otetut yhteydet näkymään reitittimen omalla IP-osoitteella, jolloin sisäverkon koneilla voi olla mitkä tahansa lähiverkon IP-osoitteet niiden vaikuttamatta Internet-liikenteeseen.
Rivi 5: Rivi 5:
Kun paketti NATatun verkon sisäpuolelta tulee Internetiin päin olevaan reitittimeen, vaihtaa reititin siihen oman julkisen IP-osoitteensa sisäverkon koneen IP-osoitteen tilalle. Vastaavasti reititin vaihtaa verkkonsa sisäpuolelle tulevien pakettien osoitteet julkisesta koneiden yksityisiin. Näin sisäverkon ulkopuolella olevat koneet eivät voi tietää pakettien tulevan useammalta kuin yhdeltä koneelta.
Kun paketti NATatun verkon sisäpuolelta tulee Internetiin päin olevaan reitittimeen, vaihtaa reititin siihen oman julkisen IP-osoitteensa sisäverkon koneen IP-osoitteen tilalle. Vastaavasti reititin vaihtaa verkkonsa sisäpuolelle tulevien pakettien osoitteet julkisesta koneiden yksityisiin. Näin sisäverkon ulkopuolella olevat koneet eivät voi tietää pakettien tulevan useammalta kuin yhdeltä koneelta.


Ongelma NATin kanssa voi olla se, että aktiivitilassa [[FTP]]:n, [[IRC]]:n tiedonsiirtoprotokolla [[DCC]]:n tai VoIP (SIP, H323) protokollien käyttö on usein vaikeaa tai mahdotonta verkon sisäpuolelta. Tällöin on joko käytettävä erillisiä kernelin moduuleita ftp:lle ja irc/dcc:lle (ip_nat_irc ja ip_nat_ftp) reitittimessä tai FTP:n ollessa kyseessä tyydyttävä sen passiivitilaan.
Ongelma NATin kanssa voi olla se, että aktiivitilassa [[FTP]]:n, [[IRC]]:n tiedonsiirtoprotokolla [[DCC]]:n tai [[VoIP]] (SIP, H323) -protokollien käyttö on usein vaikeaa tai mahdotonta verkon sisäpuolelta. Tällöin on joko käytettävä erillisiä [[ydin|ytimen]] [[moduuli|moduuleita]] ftp:lle ja irc/dcc:lle (ip_nat_irc ja ip_nat_ftp) reitittimessä tai FTP:n ollessa kyseessä tyydyttävä sen passiivitilaan.


=== RFC 1918 ===
=== RFC 1918 ===
NATatun sisäverkon koneiden IP-osoitteiksi ei voi valita aivan mitä tahansa. Jos esimerkiksi yhden koneen osoitteeksi asetettaisiin [http://62.183.177.162/ 62.183.177.162], mikä on [http://www.flug.fi/ www.flug.fi]:n IP-osoite, niin sisäverkosta ei enää FLUG:in sivuille pääsisi, koska kaikki pyynnöt ohjautuisivat sille sisäverkon koneelle, jolle tämä osoite on asetettu. Tästä syystä [http://www.iana.org/ IANA] on kehittänyt RFC 1918 -standardin, jossa määritellään sisäverkoissa sallitut IP-osoiteavaruudet. Nämä osoitteet eivät voi olla käytössä Internetin puolella. Ne ovat seuraavat:
NATatun sisäverkon koneiden IP-osoitteiksi ei voi valita aivan mitä tahansa. Jos esimerkiksi yhden koneen osoitteeksi asetettaisiin [http://62.220.250.162/ 62.220.250.162], mikä on [http://www.flug.fi/ www.flug.fi]:n IP-osoite, niin sisäverkosta ei enää [[FLUG]]in sivuille pääsisi, koska kaikki pyynnöt ohjautuisivat sille sisäverkon koneelle, jolle tämä osoite on asetettu. Tästä syystä [http://www.iana.org/ IANA] on kehittänyt RFC 1918 -standardin, jossa määritellään sisäverkoissa sallitut IP-osoiteavaruudet. Nämä osoitteet eivät voi olla käytössä Internetin puolella. Ne ovat seuraavat:
     10.0.0.0    -  10.255.255.255  (10/8 prefix)
     10.0.0.0    -  10.255.255.255  (10/8 prefix)
     172.16.0.0  -  172.31.255.255  (172.16/12 prefix)
     172.16.0.0  -  172.31.255.255  (172.16/12 prefix)
Rivi 14: Rivi 14:


== NATin päällekytkeminen Linuxissa ==
== NATin päällekytkeminen Linuxissa ==
Komenna seuraavasti root-käyttäjänä:
[[komentorivi|Komenna]] seuraavasti [[pääkäyttäjä]]nä (root):
  modprobe iptable_nat
  [[modprobe]] iptable_nat
  echo 1 > /proc/sys/net/ipv4/ip_forward
  [[echo]] 1 > /[[proc]]/sys/net/ipv4/ip_forward
  iptables -t nat -A POSTROUTING -o ethX -j MASQUERADE
  [[iptables]] -t nat -A POSTROUTING -o ethX -j MASQUERADE


Tässä ethX on ulospäin liikennöivä verkkolaite (voi olla esim. eth0 tai eth1). Jos käytät [[PPPoE]]:tä tai modeemia, on ethX korvattava pppX:llä. Jos taas käytössäsi on [[wikipedia:fi:ISDN|ISDN]], on laitteen nimi ipppX.
Tässä ethX on ulospäin liikennöivä verkkolaite (voi olla esim. eth0 tai eth1). Jos käytät [[PPPoE]]:tä tai modeemia, on ethX korvattava pppX:llä. Jos taas käytössäsi on [[wikipedia:fi:ISDN|ISDN]], on laitteen nimi ipppX. [[WLAN]]-korteilla taas laitenimi on yleensä muotoa wlanX.


Viimeisen komennon voi antaa myös muodossa  
Viimeisen komennon voi antaa myös muodossa  
  iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ethX -j MASQUERADE  
  iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o ethX -j MASQUERADE  
jolloin 192.168.0.0/255.255.255.0:n tilalle laitat sisäverkkosi osoitteen.
jolloin 192.168.0.0/255.255.255.0:n tilalle laitat sisäverkkosi osoitteen.


Jos sinulla on kiinteä IP-osoite, niin komento on tämä:
Jos sinulla on '''kiinteä IP-osoite''', niin komento on tämä:
  iptables -t nat -A POSTROUTING -o ethX -j SNAT --to PYSYVÄ_IP-OSOITTEESI
  iptables -t nat -A POSTROUTING -o ethX -j SNAT --to PYSYVÄ_IP-OSOITTEESI


Rivi 33: Rivi 33:
Tässä 192.168.0.0/255.255.255.0 on sisäverkon osoite ja ethX on ulospäin menevä laite.
Tässä 192.168.0.0/255.255.255.0 on sisäverkon osoite ja ethX on ulospäin menevä laite.


Monissa [[jakelut|jakeluissa]] NAT:in päällekytkeminen onnistuu myös jakelun omilla graafisilla asetusohjelmilla, esimerkiksi jollain Internet-yhteyden jako -velholla.
Monissa [[jakelut|jakeluissa]] NAT:in päällekytkeminen onnistuu myös jakelun omilla graafisilla asetusohjelmilla, esimerkiksi jollakin Internet-yhteyden jako -velholla tai [[palomuuri]]asetustyökalulla. Monissa asetusohjelmissa NAT:ista käytetään nimitystä ''masquerading''.


==NAT Fireholilla==
==NAT Fireholilla==
Rivi 41: Rivi 41:
         masquerade reverse
         masquerade reverse
         client all accept
         client all accept


== Katso myös ==
== Katso myös ==
*[[DHCP]]
*[[DHCP]]
*[[Verkkoliitynnät]]
*[[Verkkoliitynnät]]
*[[Palomuuri]]


==Aiheesta muualla==
==Aiheesta muualla==
Rivi 55: Rivi 55:
*[http://fi.wikipedia.org/wiki/Osoitteenmuunnos Artikkeli Osoitteenmuunnos Wikipediassa]
*[http://fi.wikipedia.org/wiki/Osoitteenmuunnos Artikkeli Osoitteenmuunnos Wikipediassa]


[[Luokka: Verkko]]
[[Luokka:Verkko]]
[[Luokka: Ohjeet]]
[[Luokka:Ohjeet]]
4 316

muokkausta

Navigointivalikko