Fruitsekta.ru

Мир ПК
316 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Нужно ли включать nat в роутере

Функция NAT в роутере – что это такое простыми словами

Доброго времени суток, уважаемые гости. Сегодня поговорим о NAT: что это в роутере за функция, можно ли обойтись без нее, обязательно ли нужно включать и как открыть NAT своего роутера.

p, blockquote 1,0,0,0,0 —>

Об адресации в локальной сети

Компьютер может подключаться к глобальной паутине несколькими способами. Если это выполняется напрямую, он получает собственный динамический или статистический IP адрес, по которому его можно всегда найти.

p, blockquote 2,0,0,0,0 —>

При подключении с помощью модема, собственный внешний IP адрес получает только модем (как вариант, маршрутизатор со встроенным модемом), все прочие девайсы уже являются участниками собственной локальной сети и получают адресацию внутри нее.

p, blockquote 3,0,0,0,0 —>

Роутер берет на себя функцию распределения исходящего и входящего трафика между шлюзом и клиентами интернета. Из-за нестыковки сетевых адресов, возможны некоторые глюки:

p, blockquote 4,0,1,0,0 —>

  • Некорректно работают торрент-загрузчики и прочий софт для пилинговых сетей;
  • Не всегда удается подключиться к серверу онлайн игры, особенно если он пиратский;
  • Не проходят запросы извне к серверу внутри локальной сети.

Эти недостатки можно устранить при правильной настройке на маршрутизаторе.

p, blockquote 5,0,0,0,0 —>

Что такое режим NAT

Если совсем простыми словами, то НАТ – это интерпретация внутренних сетевых адресов локалки во внешние адреса интернета. Независимо от модели, стоимости и используемого протокола подключения эта функция присутствует абсолютно во всех роутерах.

p, blockquote 6,0,0,0,0 —>

Разница может быть только в наличии или отсутствии дополнительной опции nat loopback (обратная петля), когда пакет из локальной сети, приходящий на внешний порт маршрутизатора, считается пришедшим извне, поэтому обрабатывается согласно установленным брандмауэром или антивирусной программой сценариям.Как правило, нет необходимости отдельно включить NAT при настройке маршрутизатора: функция активна по умолчанию.

p, blockquote 7,0,0,0,0 —>

Более того, часто отключить аппаратный NAT невозможно: производитель убирает эту опцию в качестве «защиты от дурака», дабы слишком любопытный пользователь, который любит поиграть с настройками, не особо в них разбираясь, вообще не остался без интернета.

p, blockquote 8,0,0,0,0 —>

По умолчанию маршрутизатор находится в nat окружении, запрещая извне обращаться к девайсу внутри локалки: весь трафик проходит только через него.

Как определить, находится ли компьютер за NAT

Проверить, скрыт ли компьютер с помощью режима NAT или транслирует в сеть свой реальный IP, можно с помощью простого способа.

p, blockquote 10,0,0,0,0 —>

Выполняется он аналогично в любой версии Виндовс – запустить командную строку (нажать кнопку «Пуск» и в строке «Выполнить» ввести команду cmd). В открывшемся интерфейсе следует вручную ввести команду ipconfig. На экран выведутся такие данные:

p, blockquote 11,0,0,0,0 —>

  • IP – реальный адрес, присвоенный компьютеру;
  • Subnet mask – маска подсети;
  • Gateway – адрес шлюза.

Согласно принятой спецификации, исключительно внутри локалки всегда используются следующие диапазоны:

p, blockquote 12,0,0,0,0 —>

  • 1.0.0.0 – 10.255.255.255;
  • 2.Х.0.0 – 172.Х.255.255 (Х в диапазоне от 16 до 32);
  • 168.0.0.0 – 192.168.255.255;
  • 254.0.0. – 169.254.255.255.

Если адрес компьютера попадает в один из этих диапазонов, то это означает, что устройство находится в локальной сети за НАТом. Самый распространенный пример – адрес 192.168.1.Х – именно такой диапазон используется для роутера и подсети большинством производителей.

p, blockquote 13,0,0,1,0 —>

Где найти в настройках маршрутизатора

Относительно того, нужно ли включать эту опцию дополнительно, то могу сказать что в большинстве моделей маршрутизаторов вай-фай она активирована по умолчанию. Проверить или настроить самостоятельно это можно, перейдя в браузере на страницу настроек роутера – как правило, для этого нужно ввести его сетевой адрес.

p, blockquote 14,0,0,0,0 —>

Нужная функция находится во вкладке Network в разделе Routing. Если она включена, то статус будет отображаться как Enable.

p, blockquote 15,0,0,0,0 —>

Также для вас будут полезны статьи «UPNP – что такое в роутере» и «Устройство роутера». Буду благодарен всем, кто поделится этой публикаций в социальных сетях. Еще увидимся!

p, blockquote 16,0,0,0,0 —>

p, blockquote 17,0,0,0,0 —> p, blockquote 18,0,0,0,1 —>

Что такое NAT на роутере?

Компьютер подключается к глобальной сети несколькими способами. Это может быть прямое подключение, в этом случае имеется внешний IP адрес (динамический или статический), который виден из интернета. Или же подключение может осуществляться через маршрутизатор. При таком подключении внешний адрес имеет только роутер, а все подключенные к нему пользователи являются клиентами другой сети. Роутер берет на себя распределение входящего и исходящего трафика между клиентами и интернетом. Возникает ряд проблем при подключении через маршрутизатор:

  • перестают работать торрент-клиенты;
  • нет возможности подключиться к игровому онлайн серверу;
  • нет обращений к серверу внутренней сети из вне ни по одному протоколу и ни на один порт.

Решить проблему помогает правильная настройка маршрутизатора, а именно сервиса NAT на нем. Для того, чтобы понять, как настроить NAT на роутере, необходимом узнать, что такое трансляция адресов и для чего это используется.

NAT: общие определения

NAT (network address translation) или трансляция сетевых адресов — это процесс перевода внутренних или локальных адресов во внешние. NAT используется абсолютно всеми маршрутизаторами независимо от их конфигурации, назначения и стоимости. По умолчанию роутер запрещает напрямую обращаться к любому устройству, находящимися внутри сети. Он блокирует доступ на любые порты для входящих соединений поступающие из интернета.

Но NAT и Firewall это суть разные понятия. Firewall просто запрещает доступ к ресурсу по определенному TCP или UDP порту, может устанавливаться на локальной машине для ограничения доступа только к ней или же на сервере для фильтрации трафика по всей локальной сети. Перед NAT задача стоит более развернуто. Сервис запрещает или разрешает доступ внутри сети по конкретному IP адресу или диапазону адресов. Таким образом клиент, который обращается к ресурсу не видит действительного IP адреса ресурса. NAT переводит внутренний IP в адрес, который будет виден из интернета.

Чтобы проверить находится ли компьютер за NAT или транслирует в интернет реальный адрес можно следующим образом:

  • в Windows нужно нажать «Пуск — Выполнить — cmd» и прописать ipconfig и нажать «Ввод»;
  • в Linux и MacOS в терминале выполняется ifconfig.
Читать еще:  Как соединить 2 компьютера по wifi

Вывод команды показывает следующие данные:

  • IP — реальный, действительный адрес компьютера;
  • Subnet mask — маска подсети;
  • Gateway — адрес шлюза маршрутизатора.

Как теперь разобрать является ли адрес локальным или же напрямую «смотрит» в интернет. Согласно спецификации, существует четыре диапазона адресов, которые ни при каких обстоятельствах не используются в интернете, а являются исключительно локальными:

  1. 0.0.0 — 10.255.255.255
  2. Х.0.0 — 172.Х.255.255, где Х в диапазоне от 16 до 31.
  3. 168.0.0 — 192.168.255.255
  4. 254.0.0 — 169.254.255.255

В том случае, когда адрес машины попадает в один из этих диапазонов, следует считать, что компьютер находится в локальной сети или «за» NAT. Можно также дополнительно использовать специальные службы, которых есть множество в интернете для определения реального IP адреса. Теперь стало понятнее находится ли компьютер за NAT в роутере что это за сервис, и за то он отвечает.

Проблемы NAT и возможности решения

С момента появления NAT сразу же стали проявляться проблемы. Невозможно было получить доступ по отдельному протоколу или в работе отдельных программ. Данные проблемы так и не удалось полностью устранить, получилось только найти некоторые варианты решения только с использованием трансляции адресов, но ни один вариант решения не является правильным с точки зрения спецификаций администрирования.

В качестве примера можно рассмотреть протокол передачи файлов (FTP), который был саммым распространенным к появлению NAT. Для файловых серверов (FTP) ключевым является реальный IP адрес компьютера, который посылает запрос на доступ. Здесь преобразование адресов не работает, потому что запрос на сервер отправляется с IP, невидимого из интернета. Нет возможности создать сессию клиент-сервер для загрузки файлов. Обойти проблему помогает использование FTP в пассивном режиме. В этом режиме используется другой набор команд, и работа ведется через специальный прокси-сервер, который дополнительно открывает другой порт для соединения и передает его программе клиенту. Проблемой такого решения является то, что необходимо использовать сторонние FTP клиенты.

Полностью избавиться от проблемы доступа получилось только с появлением SOCKS (Socket Secure) протокола. Этот протокол позволяет обмениваться данными через прокси-сервер в «прозрачном» режиме. То есть сервер не будет знать, что происходит подмена адресов с локальных на глобальные и наоборот. Изобретение SOCKS позволило избавиться от ряда проблем и упростить работу администрирования сети:

  • создает на сервере службу, слушающую входящие запросы, что позволяет обслуживать многосвязные протоколы наподобие FTP;
  • нет необходимости использовать и обслуживать службу DNS внутри локальной сети. Теперь такая задача возложена на кэширующие прокси;
  • дополнительные способы авторизации позволяют с большей эффективностью проводить отслеживание и фильтрацию пакетов. Средствами NAT можно фильтровать запросы только по адресам.

Использование NAT и SOCKS не всегда оправдано с точки зрения сетевого администрирования. Иногда более целесообразным является использование специализированных прокси, которых существуете множество для любого протокола передачи данных.

Настройка NAT на компьютере

Все современные операционные системы имеют уже встроенный NAT. В Windows эта функция реализована с 1999 года с появлением Windows XP. Управление NAT осуществляется непосредственно через свойства сетевого подключения. Чтобы настроить службу нужно сделать следующее:

  • Через меню «Пуск» запустить программу «Панель управления».
  • Найти иконку «Сетевые подключения» и запустить ее.
  • В новом окне кликнуть правой кнопкой мыши на активном сетевом подключении и выбрать в выпадающем списке «Свойства».
  • Перейти на вкладку «Дополнительно».
  • Установить галочки напротив «Разрешить другим пользователям сети использовать подключение к интернету данного компьютера».
  • Подтвердить изменение кнопкой «Ок».

Если при выведется сообщение что невозможно запустить службу общего доступа, нужно убедиться, что запущена служба DHCP-клиент. При необходимости можно установить запуск службы принудительно, а не по запросу автоматически.

Настройка NAT на маршрутизаторе

Что такое NAT в роутере, целесообразность его использования и проблемы, которые он может создать было описано выше, теперь можно перейти непосредственно к реализации задачи. Настройка службы на роутере зависит от его модели, используемой прошивки и других параметров. Но достаточно понять механизм, чтобы не возникало сложностей и вопросов по настройке отдельного устройства. Для настройки выполняются следующие действия (в качестве примера настройки выполняются на роутере Zyxel на прошивке v1):

  • В браузере зайти на страницу настроек роутера.
  • Перейти в меню «Network — Routing» на вкладку «Policy routing».

Открывшаяся страница и будет той, которая управляет политиками доступа и маршрутизацией. Здесь необходимо включить службу, активировав переключатель в положение «Enable». Сами настройки выполняются в группе «Criteria». Выбираются параметры NAT по нескольким категориям фильтров:

  • User — трансляция по определенному пользователю.
  • Incoming — по сетевому интерфейсу.
  • Source Address — подмена адреса по адресу источника.
  • Destination Address — по адресу конечного получателя
  • Service — по конкретному порту службы.

В качестве объекта перенаправления можно выбрать следующие варианты:

  • Auto — автоматический выбор объекта назначения. По умолчанию установлен Wan интерфейс.
  • Gateway — шлюз, указанный заранее в настройках.
  • VPN Tunel — соответственно через VPN туннель.
  • Trunk — диапазон интерфейсов, настроенных на совместную работу.
  • Interface — конкретный интерфейс по выбору.

В каждом отдельно взятом роутере настройки и название пунктов меню может отличаться, но принцип построения NAT остается неизменным.

NAT — что это такое, зачем он нужен и как его использовать

На данный момент в интернете больше всего распространены IP адреса в формате четвертой версии интернет протокола — IPv4. Но данная технология позволяет создавать лишь 4.3 миллиарда айпи на всех пользователей всемирной паутины.

Хотя нам и кажется, что это много — их уже критически не хватает, надо было придумывать, что-то новое, и еще до появления IPv6 был создан механизм преобразования сетевых адресов — NAT.

Из прошлого материала вы могли узнать о сетевом шлюзе, сейчас давайте разберемся, что из себя представляет технология NAT, как она работает и зачем была в принципе придумана и внедрена.

Что такое НАТ — NAT

NAT — это специальный механизм, реализованный в сетях TCP/IP, который позволяет изменять айпи адреса пересылаемых пакетов, т.е. тех внутренних IP, которые присылаются на сетевой шлюз — в глобальные для дальнейшей отправки во внешний интернет. Также, такие пакеты называют транзитными.

Читать еще:  Соединить компьютеры по wifi

Реализуется через маршрутизатор, на программном уровне или настраивается самим провайдером. Полностью расшифровывается, как Network Address Translation и переводится на русский, как Преобразование Сетевых Адресов.

Простыми словами, работает это так. При создании сетей обычно используются частные IP вида: 10/8, 172.16/12, 192.168/16. Обмен пакетами между этими айпи внутри такой сети происходит напрямую. Но, чтобы выйти в глобальную паутину, такой IP должен быть преобразован в глобальный/публичный — именно этим и занимается NAT.

Именно НАТ позволяет вам из частной сети общаться с внешними ip адресами, за ее пределами. А между прочем, даже ваш роутер и подсоединенные к нему ПК, ноутбук, телевизор, смартфон и т.д. — это уже локальная частная сеть.

Интересно! Вот таким вот простыми способом, была решена проблема нехватки уникальных айпи IPv4 для каждого устройства. Т.е. в своей сети — свой IP, а во всемирной паутине — публичный, другой IP.

Типы NAT

1. Статический, Static NAT

Берется один IP-адрес из внутренней сети и преобразовывается во внешний/публичный и все запросы, которые будут на него посылаться извне, будут пересылаться именно на этот внутренний айпи. Т.е. для всемирной паутины он будет выглядеть полностью, как белый/публичный IP.

Используется чаще всего в корпоративных сетях, когда необходимо, чтобы какой-либо IP всегда был доступен из глобальной паутины.

Работает это так:

  1. Есть во внутренней сети айпи 172.15.4.3, он обращается ко внешнему серверу на 198.2.6.2, отправляет пакет данных вначале естественно на шлюз.
  2. Шлюз 172.15.4.1, на котором настроен NAT преобразует его в белый/внешний 198.1.12.8.
  3. По глобальном интернете пакеты передаются по этому IP-адресу и обратно приходят к нему же.
  4. На маршрутизаторе с НАТ есть указание, все пакеты данных, которые приходят на 198.1.12.8 перенаправлять на 172.15.4.3.

Вот и все. Если у вас несколько роутеров, то такую процедуру можно проделать со всеми ними.

2. Динамический, Dynamic NAT

Если вы имеете определенное количество белых/внешних IP, например, ваш поставщик интернета предоставил вам сеть 199.49.101.0/28 — с 16 айпи. Надеюсь помните, что первый и конечный адреса всегда заняты, подробнее в статье про IPv4. Еще два мы возьмем для оборудования на функционирование маршрутизации. И остается их 12, которые можно применять для NAT и пускать посредством них свои устройства.

Тут все практически также, как и со статичным НАТ, также 1 внутренний айпи привязан к 1 внешнему, но с той лишь разницей, что адреса теперь будут выдаваться динамически каждому нуждающемуся пользователю во внутренней сети, а не одному определенному узлу.

Все бы хорошо, но если, например, адресов 12, а пользователей 300? Те, кто успел, те и смогут их использовать.

3. NAT Overload

Этот вид еще имеет другие названия такие как: Many-to-One NAT, Port Address Translation (PAT) и IP Masquerading.

Как вы знаете, чаще всего провайдер выдает вам лишь один IP адрес, который может быть статическим или динамическим. Но дома может быть множество устройств с разными программами, которым необходим доступ во всемирную паутину и как определить, какое из них отправило запрос, какое приложение? Проблема эта решается использованием портов, по этой ссылке очень подробно описана эта тема.

Важно! Надеюсь вы помните, что порт пишется сразу после айпи через двоеточие, например: 176.57.209.9:443. И такая связка называется — сокет.

Как это будет выглядеть, когда NAT подменяет один IP на другой? Так, например, с двух устройств с внутренними адресами 173.52.6.7 и 173.52.4.5, которые должны заменяться на: 198.50.100.9 и 198.50.100.11 будет выполнен запрос на какой-либо сервер в интернете — это будет смотреться так:

  • Устройство 1 — отправитель: IP — 173.52.6.7, порт: 21784; получатель: IP — 192.16.5.3, порт: 80
  • Устройство 2 — отправитель: IP — 173.52.4.5, порт: 32714; получатель: IP — 192.16.5.3, порт: 80

Что происходит дальше? NAT берет IP-пакет первого узла, вынимает его TCP сегмент, при этом узнавая порт. У этого айпи внешний адрес 198.50.100.9 — на него он меняется при выходе в глобальный интернет. Далее происходит выбор порта, к примеру, 11837 и все данные уровня приложений упаковываются в новый TCP сегмент. Порт адресата естественно остается — 80, а вот того, кто отправляет заменяется с 21784 на 11837. TCP сегмент вставляется в новый IP-пакет со сменой самого адреса на 198.50.100.9. Такая же процедура происходит и со вторым хостом только отбирается следующий незанятый PORT.

Теперь данные отправляемые в интернет будут выглядеть так:

  • Устройство 1 — отправитель: IP — 198.50.100.9, порт: 11837; получатель: IP — 192.16.5.3, порт: 80
  • Устройство 2 — отправитель: IP — 198.50.100.11, порт: 27289; получатель: IP — 192.16.5.3, порт: 80

В NAT-таблицу записываются значения отправителя и получателя:

  • Локальный сокет отправителя 1: 173.52.6.7:21784; сокет получателя: 192.16.5.3:80
  • Глобальный сокет отправителя 1: 198.50.100.9:11837; сокет получателя: 192.16.5.3:80
  • Локальный сокет отправителя 2: 173.52.4.5:32714; сокет получателя: 192.16.5.3:80
  • Локальный сокет отправителя 2: 198.50.100.11:27289; сокет получателя: 192.16.5.3:80

Когда приходит ответ от сервера происходит сопоставление данных с таблицей и пакеты данных доставляются именно тому, кто совершил запрос.

Преимущества NAT

  • Под одним внешним IPv4 адресом может сидеть в глобальной паутине множество пользователей одновременно.
  • Скрывает ваш настоящий внутренний IP в частной сети и показывает лишь внешний. Так, все устройства из вне видят только ваш общедоступный айпи.
  • В определенной степени выполняет функции файрвола, не позволяя соединениям извне достигать основного компьютера. Т.е. если на устройство с НАТ извне приходит пакет, который не ожидался — то он категорически не будет допущен.
  • Роутер с поддержкой НАТ может быть настроен сразу с несколькими внешними/белыми IP, это еще называется — пул НАТ.

Недостатки NAT

  • Невысокая скорость передачи данных для протоколов реального времени, например, для VoIP. Т.к. когда НАТ переделывает заголовки у каждого IPv4 адреса — происходят задержки.
  • Проблемы с идентификацией, т.к. под одним IP может находится сразу несколько человек.
  • Для пиринговых сетей нужна дополнительная настройка маршрутизации, т.к. приложению еще нужно и принимать соединения.
  • Если много пользователей с одним айпи зайдут на какой-либо сервис — это может вызывать подозрение на Do S-атаку.

В заключение

Надеюсь вам стало чуточку понятнее, что это такое. Старался написать все, как можно понятнее без заумных терминов и других определений. Надеюсь вам понравилось и до встречи на страницах данного портала.

Читать еще:  Что такое raw формат жесткого диска

В каких случаях следует использовать правила переадресации портов и межсетевого экрана?

В интернет-центрах Keenetic по умолчанию работают встроенный Межсетевой экран (Firewall) и механизм Трансляция сетевых адресов (NAT), что позволяет скрыть и защитить устройства домашней сети от пользователей Интернета и угроз извне. Обе функции являются важным элементом безопасности локальной сети.
Но при этом, следует помнить, что Трансляция сетевых адресов и Межсетевой экран — функции, предназначенные для решения принципиально разных задач.
Чтобы разобраться в каких случаях следует использовать правила переадресации портов в NAT, а в каких правила Firewall, рассмотрим сначала назначение каждой из указанных функций.

Трансляция сетевых адресов (NAT, Network Address Translation) — этот механизм позволяет использовать всем устройствам локальной сети (компьютерам, планшетам, смартфонам) единственный IP-адрес внешнего интерфейса, через который происходит подключение к Интернету или внешней сети. Самый распространенный случай: на роутер выделяется один публичный белый IP-адрес (через который и осуществляется выход во внешнюю сеть), за которым работают и получают доступ устройства домашней сети с локальными/внутренними IP-адресами (по умолчанию из подсети 192.168.1.x).
В простейшем случае при работе NAT происходит подмена в сетевых пакетах IP-адреса источника и назначения. У пакетов, приходящих из внешней сети, меняется адрес получателя, у пакетов из внутренней — отправителя. В частности, NAT изменяет IP-адрес источника (внутренний локальный/частный адрес) в сетевом пакете, принятом от устройства локальной сети, на глобальный/внешний адрес перед передачей пакета во внешнюю сеть. При получении ответа NAT преобразовывает адрес получателя (внешний адрес) обратно в локальный/внутренний адрес перед передачей его исходному внутреннему хосту сети.

По умолчанию механизм NAT настроен таким образом, чтобы предотвращать или ограничивать обращение извне (со стороны внешней сети) к устройствам локальной сети, оставляя возможность обращения из локальной сети во внешнюю. NAT позволяет скрыть внутренние сервисы компьютеров/серверов локальной сети от обращений из Интернета.

С помощью пользовательских правил переадресации портов можно определенные внутренние сервисы (например, Веб- или FTP-сервер), расположенные в локальной сети за NAT, сделать видимыми (доступными) для внешних пользователей из Интернета. Для этого нужно создать правила NAT для трансляции (иногда говорят — для «перенаправления», «проброса», «открытия») определенных портов через роутер на компьютер/сервер локальной сети (этот механизм также называют Port Forwarding). По сути, такие правила определяют трансляцию трафика из внешней сети во внутреннюю (такой тип правил NAT называют Destination NAT).

NOTE: Важно! Переадресация портов будет работать только в том случае, если интернет-центр использует белый (публичный) IP-адрес для выхода в Интернет. Дополнительную информацию вы найдете в статье «В чем отличие «белого» и «серого» IP-адреса?»

Приведем примеры, в каких случаях следует использовать переадресацию портов:

  • Предоставить доступ из Интернета на сетевое хранилище (NAS), к IP-камере или серверу (WWW, FTP и др.) локальной сети;
  • Предоставить доступ из Интернета на компьютер домашней сети, используя специальные службы для удаленного подключения рабочих столов. Например, с помощью Remote Desktop (из состава ОС Windows) или через программы Radmin, VNC и др;
  • Выполнить подмену номера порта («маппинг») для обращения на другой порт. Например, перевести удаленное управление роутером из Интернета на другой порт (в случае, если ваш провайдер блокирует стандартный порт 80 и вы хотите использовать для доступа к веб-конфигуратору порт 8080);
  • Открытие портов для торрента, игровых консолей, и других приложений, которые используют входящий трафик из внешней сети для работы каких-то функций.

NOTE: Важно! В интернет-центрах Keenetic настраивать дополнительно к правилу переадресации портов разрешающее правило в настройках межсетевого экрана НЕ НУЖНО. Достаточно создать только правило переадресации портов в NAT.

При использовании некоторых служб интернет-центра (например, VPN-сервер PPTP, VPN-сервер L2TP/IPsec, FTP-сервер, служба UPnP) автоматически включаются правила переадресации портов для трансляции адресов из внутренней сети во внешнюю. Данные правила не отображаются в веб-конфигураторе роутера.

Межсетевой экран (Firewall, сетевой экран) — предназначен для защиты устройств локальной сети от атак извне. В общем случае, сетевой экран действует на трафик уже после трансляции адресов и маршрутизации, и осуществляет контроль и фильтрацию трафика, в соответствии с заданными правилами на основе IP-адресов. Прежде всего межсетевой экран предназначен для обеспечения безопасности и разграничения доступа. По умолчанию встроенный сетевой экран интернет-центра разрешает устанавливать соединение из домашних интерфейсов (LAN) сети в публичные (WAN), и запрещает в обратную сторону. Пользовательскими настройками (правилами) можно изменять параметры безопасности: разрешать или, наоборот, запрещать доступ к конкретным хостам или сервисам сети (путем блокирования портов или протоколов). Фактически правила Firewall осуществляют проверку — пропустить (разрешить) сетевой пакет или отбросить (запретить).

Приведем примеры, в каких случаях следует использовать правила межсетевого экрана:

  • Разрешить доступ в Интернет только определенным компьютерам локальной сети, а для всех остальных заблокировать доступ, и наоборот — заблокировать доступ в Интернет только для определенных компьютеров локальной сети, а всем остальным разрешить доступ;
  • Заблокировать доступ к определенным веб-сайтам из локальной сети;
  • Разрешить определенным компьютерам локальной сети доступ только к какому-то одному указанному веб-сайту (или нескольким сайтам);
  • Разрешить доступ из локальной сети в Интернет только по определенным протоколам (сервисам, службам);
  • Блокировать (запретить) передачу трафика по определенным портам или протоколам;
  • Заблокировать доступ с определенных IP-адресов к интернет-центру со стороны Интернета или внешней сети;
  • Разрешить удаленное управление интернет-центром из Интернета только с определенных IP-адресов.

NOTE: Важно! В Keenetic сначала выполняются правила трансляции адресов (NAT), а затем правила межсетевого экрана (Firewall).

TIP: Примечание: Некоторые интернет-провайдеры не позволяют клиентам своей сети запускать и использовать серверные приложения (такие как веб-сервер WWW, FTP-сервер, VPN-сервер PPTP или почтовый сервер). Интернет-провайдер может блокировать пользовательский трафик по стандартным протоколам и портам (например, 21/FTP, 80/HTTP, 25/SMTP и другим портам) или периодически делать проверку сети на наличие в ней активных серверов (при обнаружении возможна последующая блокировка доступа или даже приостановление действия вашего договора). За дополнительной информацией по использованию серверных служб и блокировки определенного трафика, обращайтесь к своему интернет-провайдеру.

Пользователи, считающие этот материал полезным: 22 из 23

Ссылка на основную публикацию
Adblock
detector
×
×