NAT
Milan Krčmář
milan.krcmar na seznam.cz
Středa Leden 21 14:10:15 CET 2004
Nechtel jsem tu znova NAT otevirat, ale prinutili jste me :-)
Ten dlouhatanskej clanek nebyl urcen pro obhajobu zakazu NATu, bylo to
vice technicke povidani o tomto problemu a kLfREE tam bylo zminovano pro
nazornost. Pokud jsem na zacatku tohoto diskusniho vlakna odkazoval na
debaty o NATu, mel jsem na mysli drivejsi valky na toto tema, vedene
nekdy v lete, nikoliv ten nedavny dlouhatansky prispevek.
Sdruzeni nemuze dostat pro kazdeho uzivatele verejnou IP adresu, a tak
styk s Internetem musi resit NATem. Router door tedy natuje o 106 :-).
Je na nem rozbehnuta podpora pro ruzne vymozenosti typu aktivni FTP a
pod. Nektere vymozenosti jsou jednodussi a umi je skoro kazdy SOHO NAT
router (tim pojmenovanim myslim takovou tu krabicku, kterou si koupite
za cenu 1000-2000 Kc), nektere jsou velmi komplikovane.
Pokusim se uvest argumenty obou stran, tj. jak sdruzeni, ktere NAT
zakazuje, tak novych uzivatelu, kterym se to casto nelibi.
Co se novym uzivatelum na zakazu nelibi:
----------------------------------------
Mnoho novych uzivatelu nesouhlasi se zakazem NATu. Chteji mit pripojeno
doma vice pocitacu, proto by si radi poridili hardwarove AP jako
bezdratoveho klienta a k tomu nejaky SOHO router. Vetsina nejlevnejsich
SOHO routeru ale ma NAT a tento NAT nejde nijak vypnout. Museli by tedy
pouzit nejaky jiny router.
Duvody pro zakaz:
-----------------
Duvody jsou dva, jeden technicky, jeden administrativni. Vetsina z vas
poklada za podstatny ten administrativni: zakazem NATu zabranime
klientum schovavat na NAT dalsi pocitace, ktere oficialne nesmeji byt
pripojeny (nacerno pripojeny soused a pod.).
1000
Technicky duvod se tu
probiral nekolikrat: NAT je tezky zasah do hierarchie sitovych protokolu
a jeho nasazenim vznika spousta problemu atd.
Pokud neuznavate ten technicky duvod, je i ten administrativni
samostatne dostatecne padny pro zakaz. S principy, na kterych kLfREE
funguje, si proste nelze dovolit dalsi cerne uzivatele...
A par mych osobnich nazoru:
---------------------------
Ja osobne ale za dulezitejsi opravdu povazuji ten technicky problem.
Pokud povolime NAT a uzivatel investuje penize do levnejsiho SOHO
routeru a nekdy v budoucnosti nastane problem, ze nejaka sluzba pres nej
nefunguje, bude potrebovat jiny router. Jednou z tech sluzeb bude
urcite internetova telefonie, ale uz dnes provozujeme sluzby, ktere ne
kazdy SOHO router umi NATovat, krome trivialniho oboustranneho FTP
jmenuji treba IRC DCC prenosy a sitove hry. Mame velmi mnoho prace s
vlastnim pripojovanim uzivatelu, tak se ostatnich problemu bojime, v
pripade NATu se jich snazime vyvarovat predem.
Srovnavam to analogii k bezdratovym zarizenim. Po postaveni neveho APcka
se v zacatcich lze pripojit bez problemu v blizkosti treba USB klientem
s malou vestavenou antenkou. Pokud si novy uzivatel koupi takove
zarizeni a casem narust uviatelu AP v okoli vzroste, casto klesne
kvalita pripojeni pod unosnou mez. Uz nekolik uzivatelu muselo tento
problem resit vyhozenim USB klienta a koupi anteny a zatizeni s vyvodem na
externi antenu. Trochu si vycitam, ze jsem do provozniho radu nedostal
take zakaz zarizeni s vestavenou antenou... :-)
Jeste k tomu hlavnimu routeru. Router door skutecne pouziva NAT pro
pripojeni vetsiny z vas na internetu, tam se NATu nevyhneme. Ty minule
prispevky tedy uvadely argument, ze kdyz uz si problem NATu vytvarime na
dooru, tak uz se to nezhorsi pridanim dalsiho NATu u clena. Tady si
uvedomte, ze kLfREE neni pouze zprostredkovatel Internetu. Hodne
sitovych sluzeb bezi uvnitr kLfREE a mezi nimi a Vami NAT neni. Dale
pokud udrzime jen tento jediny NAT, tak pripadne problemy s nim muze
vyresit pro toto jedine misto, tezko bychom neco podobneho zvladli u
jednotlivych uzivatelu doma.
Co se nefunkcnosti ICMP na nekterych AP: zakaz filtrovani ICMP je v
provoznim radu napsat s jistou davkou opatrnosti, podle me takove
zarizeni tento zakaz neporusuje. U nekterych zarizeni je problem
rozbehnout ICMP na bezdratove i ethernet strane, ale i u nekterych
problematickych se to po jistem snazeni muze pomoci. Rozdhodne Vas
nebude nikdo stihat za to, ze klient-AP jde pingnout jen z jedne strany.
Milan
Další informace o konferenci Kladno