NAT для прокси

[Virt]

Хочу понять в чем же смысл технологии NAT. Определение как бы понятно - трансляция сетевых адресов, связь между внешним и внутренним интерфейсами, выход в инет юзеров локалки через один внешний ip-адрес сервера и т.д. Но как же тогда работает прокси без NAT; в чем отличие, как представляются адреса в прокси с NAT и без него?

[Гость alex080758]

Хочу понять в чем же смысл технологии NAT

ты ответил сам себе в следующем предложении

трансляция сетевых адресов, связь между внешним и внутренним интерфейсами, выход в инет юзеров локалки через один внешний ip-адрес

Но как же тогда работает прокси без NAT;

работает как прокси; т.е. это две совершенно независимые технологии, которые существуют независимо друг от друга; но существуют гибридные решения, вроде User Gate последних версий, тот же User Gate до 3 версии не имел NAT'a и спокойно себе работал, как прокси сервер. (Как кухонный комбайн: факт его существования совершенно не обозначает, что кофеварка и мясорубка не могут существовать друг без друга)

в чем отличие

отличие, только в реализации...(бензиновый двигатель и дизель; оба двигатели и предназначены для одних и тех же целей) NAT - реализован на уровне драйвера, а прокси - на уровне приложения; теоретически NAT, как раз по этой причине, должен работать быстрее и стабильнее. Неудобство прокси еще и в том, что необходимо настраивать ПО на клиентских машинах, т.е. в настройках программ, которые должны иметь выход в Инет, явным образом должен быть прописан адрес прокси - сервера, а когда их много (этих самых машин), то это весьма трудоемкий процесс. С NAT программы на клиентских машинах работают как и при прямом подключении к Интернет, т.е. дополнительных настроек не требуют.

[Virt]

alex080758: спасибо за разъяснение, теперь понятнее. Но все же хочу рассказать, чем обоснован мой вопрос, почему я не особо доволен технологией NAT и почему считал ее бесполезной.

Ставил я себе прокси, чтобы предоставить доступ в инет другому пользователю локалки. Начал я с UserGate 4.0 - ставится элементарно, все четко и быстро работает; но вот что при включенном и настроенном NAT, что без него - абсолютно никакой разницы не мог заметить.

С NAT программы на клиентских машинах работают как и при прямом подключении к Интернет, т.е. дополнительных настроек не требуют.

Когда NAT в чистом виде (ну, например, простая шара xp на инетовское подключение), тогда еще может быть; но я в теме специально уточнил, имея ввиду NAT в составе прокси - и как в этом случае клиенту не указывать какой комп предоставляет доступ в инет - не понимаю :) (ведь клиент должен подключиться к конкретному компу в большой сети, авторизоваться на нем; установить сеанс, трафик в котором будет подсчитываться; другие клиенты не должны иметь доступ к подключению и даже желательно, чтобы они не видели, что есть такой ресурс и т.д.). Если я не прав - поправьте меня.

После UserGate хотел переключиться на Traffic Inspector. Прочитав документацию очень он мне понравился. И все бы ничего, если бы он не был основан опять на этом же NAT - причем на NAT винды, который непонятно почему требует, чтобы комп имел ip 192.168.0.1. Что за странное обязательство? UserGate такого не требовал. IP конечно у меня не первый, раньше был статический, теперь динамический по dhcp. Так что поставить не могу.

Поэтому NAT мне кажется каким то ненужным для прокси, а иногда даже ограничивающим возможность использования этого прокси на разных машинах.

[Loader]

Разложим по полочкам. Преимущество NAT - нет необходимости в перенастройке клиентов при смене сервера, как и вообще в какой либо их настройке

Прокси же прописывается жестко на каждом из компов прописывается его IP и порт. Плюсы прокси - больше возможностей для фильтрации, и ведения логов (кто сколько и где налазил)

Есть программы в которых присутствует и то и другое например wingate

Поэтому ставь такую прогу и делай как тебе удобнее

[Virt]

А NAT всегда ставится только на машину с ip 192.168.0.1 ??

[Гость alex080758]

IP конечно у меня не первый, раньше был статический, теперь динамический по dhcp.

а вот отсюда поподробнее... похоже твоя машина является клиентом какой - то локальной сети, расскажи топологию этой сети, а еще лучше нарисуй... и толково объясни, что ты строишь и что, по твоей задумке должно получится на выходе. У меня сложилось впечатление, что где - то у вас стоит сервер, твоя машина рядовой клиент этой сети, а ты хочешь выпустить в Инет, какого - то клиента, которому этот доступ по какой - то причине не предоставлен... или я ошибаюсь? В любом случае, если хочешь конкретные ответы, опиши что есть и что надо.

но вот что при включенном и настроенном NAT, что без него - абсолютно никакой разницы не мог заметить.

похоже, что ты с ним и не встретился... что бы это работало на машине должно быть два интерфеса, трансляция адресов всегда осуществляется на внешнем интерфейсе. И не заметить его просто невозможно. Незаметен он может быть только для клиентов. Они подсоединяют сетевой кабель к компьютеру, в настройках пишут получать IP автоматически и всё, все программы работают, имеют выход в Интернет. Без NAT или прокси они просто не смогут выйти в Интернет, а ты говоришь - не заметно.

Начал я с UserGate 4.0

в этой версии, по - умолчанию, через нат идет только почта (POP и SMTP), остальное добавляется вручную, а HTTP и FTP, как и в предъидущих версиях идут через прокси, возможно по-этому ты и не заметил разницы. Возьми UserGate 2.8 (там нет ната) попробуй его, может быть это то что тебе нужно.

я не особо доволен технологией NAT

Возможно, если бы ты строил сеть машин на 100 и больше, то был бы более доволен, есть же куча других продуктов, которые не используют NAT. Хорошо же, когда можно выбрать то, что тебе больше подходит или, хотя бы, нравится.

А NAT всегда ставится только на машину с ip 192.168.0.1 ??

Как это во встроенных виндовых средствах не знаю, возможно всегда. А так можно ставить абсолютно любые значения IP, ему (NAT) абсолютно параллельно.

[Гость alex080758]

Ознакомься еще вот с этим продуктом, хотя бы почитай мануал, там очень подробно, возможно NAT станет для тебя понятнее.

[Virt]

Объясняю что я хочу сделать.

Я рядовой клиент локалки (ip 192.168.0.55 mask 255.255.255.0). Имею два канала выхода в инет: один по нашей локалке, другой по модему (dial-up). При выходе по модему я получаю внешний ip 84.53.206.121 (например).

Моя первая задача - предоставить доступ к dial-up инету такому же клиенту в локальной сети как и я (его ip 192.168.0.66 mask 255.255.255.0).

Вторая задача наоборот - предоставить другому пользователю дозваивающемуся ко мне по модему (входящее подключение) доступ к моему инету по локалке. В этом случае при соединении по модемам я получаю ip 192.168.5.1, дозванивающемуся даю 192.168.5.2 (наша маска 255.255.255.0).

Вот для решения этих задач я и ставлю прокси, но как использовать в этом случае NAT не пойму.

[Virt]

А так можно ставить абсолютно любые значения IP, ему (NAT) абсолютно параллельно.

А если NAT все равно на какой ip ставить, а на клиенте не надо делать настроек и указывать где же NAT стоит...

Преимущество NAT - нет необходимости в перенастройке клиентов при смене сервера, как и вообще в какой либо их настройке

, то к какому же компу будет обращаться клиент, если допустим в сети NAT стоит на двух машинах ?? (Любой же может поставить у себя тот же UserGate или WinGate c NAT)

[Гость alex080758]

Давай попробуем на примере UserGate, хотя у меня его нет под рукой, буду по памяти, так что извини, если какие детали упущу из виду.

Моя первая задача - предоставить доступ к dial-up инету такому же клиенту в локальной сети как и я (его ip 192.168.0.66 mask 255.255.255.0).

Назначаешь пользователя в UserGate - допустим: Вася. Указываешь способ авторизации: допустим: по IP адресу, прописываешь - 192.168.0.66, дополнительно можно в авторизации указать что бы учитывал и МАС адрес для пущей безопасности, ну что бы этих Васей не наплодилось... Если Вася будет только лазать по страничкам и еще, может быть, что то скачивать то достаточно ему HTTP и FTP прокси и NAT можно не включать (это относится только к UG о котором мы тут и говорим), естественно у Васи в броузере должно быть прописано: галочка - использовать прокси и адрес прокси: 192.168.0.55 и порт 8080 (ну или тот, что ты указал в настройках своего UG) для HTTP и допустим 21 порт для FTP. Все Вася подсоединен. Но возможно Вася захочет еще отправлять и получать почту с, например, mail.ru... идем на вкладочку NAT, ставим галочку - использовать, где - то, на других вкладках настройки снимаем галочку что бы активировать POP и SMTP, т.к., по - умолчанию, они отключены, соответствующие пункты станут активными, далее: идем в настройку Васиной учетной записи и в табличке что ему разрешено ставим галочки на POP и SMTP. Мы включили NAT для Васи по протоколам POP и SMTP. Если этот пресловутый Вася будет настраивать свою почтовую программу, то укажет обычные настройки для получения почты с mail.ru и будет спокойно получать свою почту, как если бы он был подключен к Интернету напрямую. Если нужно разрешить какие другие протоколы, то придется прописать их вручную. Без использования NAT придется для тех же целей организовывать почтовый шлюз и в Васином почтовом клиенте прописывать путь до шлюза и настраивать сам шлюз, либо организовывать portmapping (перенаправление), вот видишь а ты говорил, что NAT - бяка, а он тебя избавляет от лишней беготни и разных мудренных настроек. Будем считать, что предварительно с первой задачей разобрались. Где конкретно находится та или иная настройка смотри сам, повторяю, что у меня UserGate перед глазами нету.

Вторая задача наоборот - предоставить другому пользователю дозваивающемуся ко мне по модему (входящее подключение) доступ к моему инету по локалке. В этом случае при соединении по модемам я получаю ip 192.168.5.1, дозванивающемуся даю 192.168.5.2 (наша маска 255.255.255.0).

Создаем еще одного пользователя: пусть будет Миша. Авторизация по логину и паролю, т.к. IP будет все время разный.

В дополнительных настройках UG указываем - использовать родительский прокси: и забиваем туда адрес прокси вашей локальной сети, если он используется, конечно. А, вообще, в этом случае надо смотреть на месте.

Я рядовой клиент локалки (ip 192.168.0.55 mask 255.255.255.0). Имею два канала выхода в инет: один по нашей локалке, другой по модему (dial-up). При выходе по модему я получаю внешний ip 84.53.206.121 (например).

Моя первая задача - предоставить доступ к dial-up инету такому же клиенту в локальной сети как и я (его ip 192.168.0.66 mask 255.255.255.0).

Моё же мнение:то, что вы творите - форменное безобразие, т.к. вы ковыряете дырки в сети и нарушаете режим безопасности, не обладая достаточными знаниями, а ваш админ, просто, разгильдяй и бывший студент троечник, если позволяет такое вытворять в сети рядовым юзерам. Вам надо дать по рукам, а админа уволить. У нормального админа у вас даже не было бы прав что то ставить на машину без его ведома, тем более прокси и NAT.

А если NAT все равно на какой ip ставить, а на клиенте не надо делать настроек и указывать где же NAT стоит...

есть такое понятие, как DHCP сервер, клиент автоматом ищет доступный сервер и получает IP, а NAT транслирует определенные указанные ему локальные адреса, к тому же есть такое понятие, как привязка по MAC - адресу.

то к какому же компу будет обращаться клиент, если допустим в сети NAT стоит на двух машинах ?? (Любой же может поставить у себя тот же UserGate или WinGate c NAT)

скорее всего к тому, который найдет первым... или, который указан явным образом...вот в том то и беда, если каждый может установить, что угодно и где угодно, таким образом можно, вообще, все запутать и вывести сеть из строя, это можно охарактеризовать одним словом - БАРДАК, у сети должен быть один хозяин, который осуществляет политику этой сети. А остальное популистские сказки, вроде большевистской: каждая кухарка может управлять государством. Несмотря на то, что я ответил в этой теме, мое отношение крайне негативное ко всему этому, и не надо злоупотреблять мягкотелостью или неопытностью вашего админа. А если уж берешься за подобную модернизацию вашей сети, то, как минимум, должен четко представлять что ты делаешь, как, зачем и к каким последствиям это может привести. Не обижайся, тут ничего личного. Но представь ситуацию, когда в автобусе каждое пассажирское место оснащено рулем и педалями управления, я бы не хотел оказаться в этом автобусе.

[Virt]

Немного о сети: речь идет о городской локальной сети, она объединяет несколько сотен компов по всему городу, пользователи - жильцы домов на своих домашних компах.

И о ресурсах: в сети существует множество серверов - это и ftp, и http, у кого то стоит сервер чата, кто-то ставит прокси, кто-то создает сервера для игр (например сервер warcraft'a) и т.д. и т.п. И конечно это все не у одного человека - админа. У него сервера отвечающие за работу сети (т.е. DNS-сервер, DHCP-сервер, WINS-сервер, шлюзы между сегментами локалки и т.д. и т.п.). Поэтому я не считаю, что это бардак, если бы у каждого был, например, ftp-сервер, или apache со своей собственной web-страницей или тот же прокси, о котором идет речь. Наоборот это хорошо. Такие сервера один другому не мешают, не навязывают и не перекрывают, а лишь предоставляют возможность пользоваться тем или иным ресурсом. (Конечно есть и официальный ftp-сервер сети и официальный веб-сайт и общий доступ в инет для локалки, но повторюсь - одно другому не вредит, а лишь расширяет возможности).

[Гость alex080758]

Я же не знал, просто думал, что речь идет о локальной сети предприятия...