Nevyhody NATu
Dan Lukes
dan at obluda.cz
Tue Aug 6 01:34:09 CEST 2002
Jiri Rosenmayer wrote:
> > Asi uz to tu bezelo, ale byl by nekdo od te dobroty a napsal
> > hlavni nevyhody prekladu adres proti fixnim IP. Takovy maly souhrn.
Ja bych to shrnul do jedne obecne veci - NAT likviduje IP jako
transparentni vrstvu pro prenos paketu. Kratsi tedy nez napsat co NAT
likviduje bude napsat co nat nelikviduje - v typickem pripade
nelikviduje jedoducha TCP spojeni iniciovana zevnitr prekladane site a
vetsinou take request-response (na stejny port) based UDP komunikace. Ze
specialnich pripadu se obvykle zabyva pouze FTP, ktere j eprikladem
netrivialni TCP komunikace. Vsechno ostatni NAT obvykle likviduje -
takrka jiste likviduje moznost odesilani obecnych IP dat (rekneme treba
OSPF), end-to-end zabezpeceni na paketove urovni.
>
> Nevyhodou NATu jsou omezeni sluzeb typu peer2peer, zato ma vyhodu
> v bezpecnosti, kdy celou sit schovate za nejakej stroj a zvenku se
> dobouchate pouze na ten router, do site se proste neproroutujete.
> Samotnyho by me zajimalo, jak se s timhle v budoucnu vyporada svet IPv6.
Pokud jsem stihal sledovat, pak IPv6 jakykoliv preklad vyslovne
nepodporuje. Preklad je totiz principielne neslucitelny s end-to-end
autentizaci a zabezpecenim prenosu na IP urovni, ktere je integralni a
povinnou soucasti implementace IPv6.
> Na jednu stranu bude tolik IP adres, ze NAT nebude potreba. Na druhou stranu
> se urcite najde nekdo kdo bude NAT chtit pouzivat kvuli bezpecnosti. Budou
Jelikoz preklad je prostredek pro vyreseni nedostatku adres, kteryzto
problem by na IPv6 teoreticky par mesicu nastat nemel a jako
bezpecnostni mechanismus je pouze "zneuzivan" (pro ochranu slouzi
spravne firewally, nikoli NAT - ano, nakonfigurovat NAT je jednodussi)
zda se, dale se timto nebude nikdo zabyvat.
Dan
More information about the Users-l
mailing list