NAT چیست؟

توجه: NAT نمی تواند در برابر حملات محافظت کامل ایجاد کند و در قیاس با دیگران ابزار امنیتی قابل اعتماد نیست. چنانچه مهاجم داخل سازمان باشد یا از طریق VPN و اتصال تلفنی به شبکه داخلی ارتباط مستقیم داشته باشد، NAT به هیچ عنوان نمی تواند محافظتی انجام دهد.

آدرس های کلاس اختصاصی

تا اینجا مفهوم NAT را دریافتیم اما هنوز برای شبکه داخلی به آدرس های زیادی نیاز داریم. چنانچه انتخاب آدرس های داخلی به درستی انجام نشود تمام مشکلات مسیریابی را باعث می شود. RFC (این کلمه مخفف عبارت Request for Comment است که چگونگی انتشار استانداردهای اینترنت است) در سال 1918 آدرس های کلاس اختصاصی راتعریف کرده . این آدرس ها برای استفاده درشبکه داخلی و پشت فایروال پاوان که NAT را ایجاد می کند می باشد. PFC آدرس های زیر را به عنوان “آدرس های کلاس اختصاصی” تعیین کرده است.

• 10.0.0.0 الی 10.255.255.254 (10.0.0.0 با 8 بیت ماسک)
• 172.16.255.254 الی 172.31.255.254(172.16.0.0 با 12 بیت ماسک)
• 192.168.0.0 الی 192.168.255.254 (192.168.0.0 با 16 بیت ماسک)

استفاده از این آدرس ها سازمان را قادر می سازد با انعطاف بسیار بالایی آدرس دهی شبکه داخلی خود را طراحی کند هر یک از این آدرس ها را می توان در هر ترکیبی با شبکه داخلی سازمان استفاده کرد اما دو محدودیت برای این امر وجود دارد هیچیک از این آدرس ها قابل روت کردن اینترنت نیست چنانچه سعی کنید یکی از آدرس های کلاس اختصاصی را پینگ نمایید بسته به همراه پیام Network unreachable دعوت داده می شود .توجه: برخی ISPها در شبکه داخلی خودشان از آدرس های کلاس اختصاصی استفاده می کنند .در این حالت ممکن است مکان هایی وجود داشته باشد که به عمل پینگ روی آدرس های کلاس اختصاصی جواب دهد . چنانچه ISP به طور داخلی از آدرس های کلاس اختصاصی استفاده کنند مسیرهای موجود روی آن به خارج ISP انتشار داده نمی شود در نتیجه روی سازمان از این آدرس ها تاثیر نخواهد داشت.

Static NAT

توجه: می توانید آدرس را به سیستمی روی شبکه داخلی ترجمه نمایید اما اینکار باعث می شود سیستم از خارج قابل دسترسی گردد، از اینرو چنین سیستمی باید در DMZ باشد.

سؤال آشکاری که به نظر می رسد این است که چرا با استفاده از NAT خود را به زحمت بیندازیم، چون می توان آدرس های معتبر را به DMZ اختصاص داد و با آن کار کرد. اگرچه این مطلب درست است اما دو مشکل دیگر پیش می آید. اول اینکه برای انجام این کار نیاز به مجموعه دومی از آدرس ها دارید یا نیاز به تعداد آدرس بیشتری نسبت به 30 آدرسی که ISP در اختیارتان قرار داده است خواهید داشت. اگر بخواهید برخی از سیستم ها را در DMZ دومی قرار دهید باز هم به مجموعه ای از آدرس ها نیاز خواهید داشت. دوم اینکه تمام سیستم هایی که روی DMZ قرار دارند به آدرس حقیقی نیاز ندارند. چنانچه نگاهی به شکل 1 بیندازید یک سرور کاربردی روی DMZ خواهید دید. لازم نیست این سرور از اینترنت قابل دسترسی باشد. قرار دادن سرور کاربردی در این محل، به منظور پردازش اطلاعاتی که توسط سرور وب دریافت شده است و تبادل اطلاعات با سرور بانک اطلاعات داخلی است.

شکل 1 ,Static NAT ترجمه آدرس شبکه از نوع ایستا

Dynamic NAT

Dynamic NAT از آن جهت با Static NAT تفاوت دارد که در آن چند آدرس داخلی به یک آدرس معتبر نگاشت می شود(برخلاف حالت قبل که نگاشت یک به یک استفاده می شد). نوعا تک آدرس معتبر مورد استفاده، آدرس خارجی فایروال پاوان است. پس از آن فایروال پاوان ارتباطات را دنبال می کند و برای هر ارتباط یک پورت را بکار می برد. محدودیت عملی این کار حدود 64 هزار ارتباط را دنبال می کند و برای هر ارتباط یک پورت را بکار می برد. محدودیت عملی این کار حدود 64 هزار ارتباط NAT دینامیک همزمان می باشد. به خاطر داشته باشید یک کامپیوتر رومیزی داخلی به هنگام دسترسی به وب سایت می تواند 32 ارتباط همزمان باز کند. Dynamic NAT مخصوصا برای کلانیت های رومیزی(Desktop) که از پروتکل DHCP استفاده می کنند مفید است. از آنجا که به هنگام بوت شدن سیستم، DHCP همان IP قبلی را تضمین نمی کند لذا Static NAT نمی تواند با آن کار کند. کامپیوترهایی که از Dynamic NAT استفاده می کنند قابل دسترسی از خارج نیستند چون مدیریت نگاشت پورت به سیستم توسط فایروال انجام می شود و این نگاشت بطور منظم تغییر می کند.

شکل 2  ,Dynamic NAT ترجمه آدرس شبکه از نوع پویا