Vlákno názorů k článku Proč není NAT totéž co firewall od km - Dobry den, ako funguje NAT? Priklad: Poslem poziadavku na...
-
km (neregistrovaný)Dobry den, ako funguje NAT?
Priklad: Poslem poziadavku na 89.250.252.18 port 80 (www) NAT ju prelozi napr. na 89.250.252.18 port 16794. Ako je zabezpecene aby web server, ktory by mal predsa pocuvat na porte 80 tutu poiadavku zachytil a odpovedal na nu? Alebo web server pocuva na celom rozsahu protov? -
smal (neregistrovaný)NAT je primarne urceny na to, ze vychozi pozadavek pochazi z pocitace uvnitr site, ne venku.
To, co popisujete, se resi forwardovanim portu -- router na adrese 89.250.252.18 ma nastavene pravidlo, ze pozadavky na port 80 ma forwardovat na stroj 192.168.1.1 (napr.) a odpovedi od stroje 192.168.1.1 ma za nej posilat puvodci http requestu.
Vy kdyz posilate pozadavek na 89.250.252.18 (jako www klient) uz nevite, ze je to router za kterym se skryva interni sit.
Nevyhodou tohoto pristupu je ze jeden port muzete forwardovat jen na jednu vnitrni adresu, tj. nemuzete mit ve vnitrni siti 2 verejne pristupne www servery na stejnem portu. Nevim, jestli dnesni routery nemaji reseni, ktere by to umoznovalo nejak obejit, napr. prirazeni spravne vnitrni IP podle obsahu http requestu (URL?)... -
Na co by potřeboval někdo rozumný mít 2 různé servery na různých vnitřních počítačích schovaných za natem? Pro většinu aplikací si bohatě vystačíte s virtual hostingem - jde jenom o jméno, posílá se na jeden stroj. V podstatě by asi šlo forwardovat jeden port nastřídačku, mám pocit že něco takového iptables umí. Jenom mě nenapadá, k čemu je to dobré.
Pro ty, co opravdu potřebují víc serverů existují load balancery na úrovni IP, snad i s možností práce s URL. Ale obvykle to asi nebude realizované přes NAT na nějaké interní adresy. Prostě máte víc IP veřejných a pro každou odkazujete na jiný stroj (otázka je, proč nedát veřejnou rovnou tomu WWW serveru, že?).
