NAT چیست و چه مواقعی باید از NAT استفاده کنیم؟
ما در چند جلسه قبل در رابطه با NAT صحبت کردیم و انواع NAT را تقریبا به شما معرفی کردیم؛ اما در این جلسه، می خواهیم مقداری اطلاعات بیشتر به شما بدهیم و در واقع انواع NAT را با هم دیگر مقایسه کنیم.
آنچه در این مقاله می خوانید:
توضیحات اولیه
خب ابتدا تصویری کلی از NAT به شما می گوییم و بعد انواع NAT را بررسی می کنیم. همچنین ما در دوره ی رایگان شبکه یعنی دوره ی نتورک پلاس هم در رابطه با NAT صحبت کردیم؛ در واقع یکی از بخش ها، دقیقاً مرتبط با همین موضوع است و انواع NAT را به شما گفتیم. این بخش به گونه ای، مرور دوره ی نتورک پلاس هم هست و البته در این جلسه، ما یک سری مطالب جدید هم می خواهیم به شما بگوییم که قطعاً به شما کمک می کنند.
خب دوستان ما به طور کلی، دو نوع NAT داریم: یکی Src NAT و یکی هم Dst NAT. مفهوم NAT چیست؟ مخفف Network Address Translation است که در واقع آی پی ها را با هم دیگر ترنسلیت می کند؛ یعنی جا به جا کرده و تغییر می دهد. کاری که NAT برای ما انجام می دهد، این است که در تمام روترها ما NAT را داریم و در واقع یکی از مهم ترین کارهایی است که یک روتر انجام می دهد.
پس NAT، IP Addressها را با هم دیگر جا به جا می کند یا بهتر است بگوییم ترنسلیت می کند. حالا موضوعی که وجود دارد، این است که فرق Src NAT و Dst NAT در چیست؟ ما یک جلسه را به Src NAT و یک جلسه را هم به Dst NAT اختصاص دادیم و در آن ها، بیشتر برایتان توضیح می دهیم.
این جا اگر بخواهیم به صورت اولیه به شما بگوییم، روی Src NAT، آی پی سورسمان یا آی پی کلاینتی که در حال درخواست دادن است، ترنسلیت می شود؛ اما در Dst NAT، آی پی دستینیشنمان یعنی آی پی مقصدمان ترنسلیت می شود. فرقشان با هم دیگر در این است.
پس روی Src NAT، آی پی سورس یا مبدا ما تغییر می کند و Src NAT معمولا زمانی استفاده می شود که می خواهیم شبکه ی LAN را به شبکه ی WAN دسترسی بدهیم که حالا در ادامه بیشتر برایتان توضیح می دهیم.
Src NAT
موضوعی که وجود دارد این است که اگر شما در رابطه با NAT سرچ کنید یا مقاله های زیادی را در اینترنت ببینید، بیشتر آن ها سه NAT را به شما معرفی کرده اند؛ مثلا گفته اند: Static NAT، Dynamic NAT و PAT که ما در نتورک پلاس هم در موردش صحبت کردیم و این جا هم به صورت خیلی کوتاه در مورد آن صحبت می کنیم.
ببینید دوستان ما سه نوع نت در بحث Src NAT داریم که در تصویر با شماره گذاری ۱ تا ۳ مشخص کردیم که به این شکل هستند:
۱- Static NAT
۲- Dynamic NAT
۳- PAT
چون در مورد این سه مورد در دوره ی نتورک پلاس صحبت کردیم، دیگر این جا وقت شما را زیاد نمی گیریم و خیلی سریع به شما می گوییم. Static NAT صرفاً یک آی پی LAN به یک آی پی WAN یا پابلیک تبدیل می شود، Dynamic یک آی پی LAN می تواند به تعدادی از آی پی های پابلیک ترنسلیت بشود؛ چون ای پی پابلیک آن هر بار تغییر پیدا می کند،
ما به این عملیات Dynamic می گوییم یا تعدادی از آی پی های LAN می توانند به تعدادی از آی پی های پابلیک وصل بشوند و تغییر پیدا کنند؛ اما در حالت Static، یک آی پی LAN یا پرایویت به یک آی پی پابلیک ترنسلیت می شود و ما باید به تعداد کلاینت هایی که در شبکه داریم، آی پی پابلیک هم داشته باشیم و این دو یعنی Static و Dynamic دیگر اصلا استفاده نمی شوند؛ البته در برخی موارد کاربرد دارند در ASPها؛ ولی در شبکه هایی که ما در روترها راه اندازی می کنیم، دیگر اصلا این دو مورد استفاده نمی شوند و آن ها را به طور کلی کنار می گذاریم و می آییم در رابطه با PAT صحبت می کنیم.
PAT مشابه عملیات NAT را انجام می دهد و بهتر است بگوییم که مشابه عملیات Src NAT را انجام می دهد با این تفاوت که با استفاده از پورت دسترسی ایجاد می کند. ما اکنون تصویری را می کشیم که این موضوع برایتان شفاف تر شود.
مثلا دایره در تصویر، روترمان است و ما قرار است که در این جا یک شبکه ی LAN و یک شبکه ی WAN داشته باشیم. خب سمت راست شبکه ی Privateمان است و سمت چپ شبکه ی Public ما است و می توانیم به آن، شبکه ی WAN هم بگوییم و در قسمت وسط هم روترمان وجود دارد. معمولا شبکه های LAN، شبکه های نسبتا کوچکی هستند؛ اما شبکه های WAN، شبکه های بسیار بزرگی محسوب می شوند؛ مانند اینترنت که بزرگ ترین شبکه است.
ما در روش Static به هر یک از کلاینت ها یک آی پی پابلیک را اختصاص می دهیم تا بتوانند به اینترنت وصل شوند و الان دیگر این کار را انجام نمی دهیم؛ چرا؟ چون روش منطقی ای نیست که ما به تعداد کلاینت ها، آی پی پابلیک بگیریم.
ما به عنوان مثال یک آی پی پابلیکی را داریم. فرض کنید یک آی پی پابلیک گرفتیم؛ ۴۶.۱۰۰.۲۰.۵۰. این آی پی پابلیک ما است. یک پورت را به آن اختصاص می دهیم و هر کلاینتی که بخواهد به اینترنت دسترسی پیدا کند، یک پورت را به آن کلاینت اختصاص داده و به اینترنت دسترسی می دهیم. پس با یک آی پی پابلیک، ما می توانیم، تعداد بی نهایت کلاینت را به اینترنت دسترسی بدهیم. این کار توسط یک NAT Table انجام می شود.
وقتی که ما می خواهیم به عنوان کلاینت به اینترنت دسترسی پیدا کنیم، روتر آی پی پابلیک را بر می دارد و یک پورت به آن اختصاص می دهد و به ما می دهد و می گوید حالا شما با این آی پی پابلیک به اینترنت وصل شوید؛ یعنی در واقع در حال ترنسلیت کردن آی پی پرایویت به یک آی پی پابلیک با یک پورت اختصاصی یا خاص است که در این درخواست این پورت خاص را به ما می دهد؛ البته باز هم عوض می شود و به این حالت، PAT می گوییم؛ یعنی ترنسلیت در حال انجام شدن روی پورت است.
پس در روش PAT، ترنسلیت روی پورت انجام می شود و به هر یک از کلاینت ها، یک پورت اختصاص می دهد و بعد به اینترنت وصلشان می کند. در واقع آی پی سورس کلاینت ها در حال NAT شدن به آی پی پابلیک؛ پس آی پی پرایویت یا آی پی کلاینت ها در حال NAT شدن یا ترنسلیت شدن به آی پی پابلیک است و به این عملیات، عملیات Src NAT می گویند؛ یعنی ما در این شکل Src NAT را به شما گفتیم که چه اتفاقی در حال رخ دادن است.
آی پی کلاینت ها مثلا بدین شکل است: ۲۴/۱۹۲.۱۶۸.۱.۰، یعنی این رنج شبکه ی داخلی ما باشد. وقتی که ما بخواهیم به دنیای پابلیک وصل شویم با این آی پی LAN یا پرایویت که نمی توانیم به پابلیک وصل شویم و اصلا قابل درک و فهم نیست. آی پی LAN یا پرایویت ما، فقط مخصوص همین شبکه ی داخلی مان است.
ببینید(قسمتی که مشکی تر کردیم یا همان مربع مشکی تر در سمت راست تصویر) شبکه ی LAN ما است و تمام کلاینت هایمان در رنج یک آی پی دارند. وقتی این کلاینت ها بخواهند به شبکه ی پابلیک یعنی به اینترنت وصل بشوند، باید آی پی آن ها عوض بشود که به این حالت NAT شدن می گوییم. حالا چون آی پی خودشان در حال عوض شدن است به آن Src NAT می گوییم؛ یعنی ما در حال انجام دادن عملیات NAT روی SRC هستیم؛ سورس کلاینت ها یعنی آی پی خودشان در حال تغییر پیدا کردن با آی پی پابلیک است. امروزه از چه روشی استفاده می شود؟ از روش PAT که نوعی از Src NAT است و روتر هم به هر یک از کلاینت ها که درخواستی داده یک پورت را اختصاص می دهد.
پس انواع Src NAT را معرفی کردیم و گفتیم که سه تا هستند و ما با PAT سر و کار داریم؛ در واقع عملیات NAT در حال انجام شدن از طریق پورت است.
Dst NAT
حالا به سراغ Dst NAT می رویم. می توان گفت که Dst NAT متفاوت است و برعکس توضیحات بالا اتفاق می افتد؛ یعنی ما روی Src NAT در حال عوض کردن آی پی سورس یا آی پی کلاینت هایمان یا همان آی پی پرایویت به آی پی پابلیک هستیم.
این که شما می خواهید بدانید که در PAT چه اتفاقی در حال رخ دادن است، این مورد کاری است که خود روتر انجام می دهد و شما همین قدر که بدانید که دسترسی به چه شکلی در حال ایجاد شدن است، کافایت می کند. PAT را خود روتر انجام می دهد. می شود گفت که الان تقریباً تمام روترها در حال استفاده کردن از همین table هستند.
حالا به سراغ Dst NAT برویم. ببینید در عملیات Dst NAT، دقیقاً برعکس این موضوع است؛ یعنی در Dst NAT در خواستی از یک کلاینت می آید که آی پی پابلیک دارد؛ چرا؟ چون در اینترنت است. فرض کنید یک موبایل در شبکه ی اینترنت برای مثال می خواهد به یکی از کلاینت های ما در داخل شبکه وصل شود؛ دقیقا برعکس Src NAT است. ما در Src NAT به یکی از کلاینت ها دسترسی می دهیم که به اینترنت وصل شود.
حالا برعکس آن، اگر یک نفر در دنیای پابلیک یا اینترنت باشد و بخواهد به یکی از کلاینت های ما وصل شود. برای مثال یک وب سرور داریم با پورت ۸۸ و ما می خواهیم از بیرون به این وب سرور ۸۸ دسترسی ایجاد کنیم. آی پی آن چند است؟ ۱۹۲.۱۶۸.۱.۲۰۰:۸۸ (پورت را با رنگ سبز مشخص کرده ایم). ما یک سروری داریم که روی پورت ۸۸ آن، یک وب سروری را راه اندازی کرده ایم.
مثلاً وقتی شما مودمی را خریداری کرده اید و می توانید به وب آن وارد شوید، آن وب همان وب سرور آن است. حالا ما سروری داریم که روی پورت ۸۸ وب داریم. حالا این درخواست از کلاینتی با آی پی پابلیک می آید و به کجاست؟ به آی پی پابلیک ما است یعنی ۴۶.۲۰.۱۰۰.۵۰ و درخواستی دارد با چه پورتی؟ با پورت ۸۸. حالا کاری که ما روی روتر می کنیم این است که ما ۴۶.۱۰۰.۲۰.۵۰:۸۸ را Dst NAT می کنیم به آی پی ۱۹۲.۱۶۸.۱.۲۰۰:۸۸. کاری که کردیم این بود.
ببینید ما یک کلاینت در اینترنت داریم و در حال ارسال درخواستی به آی پی پابلیک ما با پورت ۸۸ است و ما داریم در این قسمت عملیات Dst NAT را انجام می دهیم؛ یعنی می گیریم و آن را به آی پی ۱.۲۰۰:۸۸ می فرستیم تا بتواند به آن وب سرویس دسترسی پیدا کند. این همان عملیات Dst NAT است و موضوعی است که ما قرار است در مورد آن یعنی Dst NAT صحبت کنیم و قرار است چند سناریو را هم به صورت عملی برایتان پیاده سازی کنیم؛ فقط شرطی دارد. عملیات Dst NAT، نیاز است که شما امنیت را روی روترتان برقرار کنید.
ما در این فصل که قرار است در رابطه با NAT و Src NAT و Dst NAT صحبت کنیم، فقط و فقط می خواهیم به شما Dst NAT را معرفی کنیم و به صورت عملی پیاده سازی نمی کنیم. پس باید صبر کنید و ابتدا امنیت را حداقل به صورت اولیه یاد بگیرید و خیلی مختصر بتوانید یک امنیت اولیه را روی روترتان پیاده سازی کنید و بعد Dst NAT کنید.
چرا؟ چون از طریق Dst NAT می توانید به ربات ها و هکرها دسترسی بدهید که به شبکه ی شما دسترسی پیدا کنند که این موضوع بسیار در شبکه حائز اهمیت است و شما حتما برای Dst NAT، باید قبل از آن، تدابیر امنیتی را بچینید و پیاده سازی کنید. این موضوع بسیار مهمی است که ما در همین حد اکتفا کرده و فقط Dst NAT را به شما معرفی می کنیم و نحوه ی پیاده سازی آن را نیز شاید به صورت خیلی کوتاه به شما بگوییم؛ اما بعد از امنیت به طور کامل و در غالب یک سناریو برایتان انجام می دهیم.
پس روی Dst NAT ما می توانیم یک درخواستی که به آی پی پابلیکمان با یک پورت آمده است را به یک آی پی پرایویت یا LAN با یک پورت خاص بفرستیم. حالا شاید برایتان این سوال پیش بیاید که آیا این پورت ها قابل تغییر هستند؟ بله؛ این پورت ها دست ما هستند و می توانند تغییر کنند. ما می توانیم پورت ۸۸ روی سرورمان را عوض کنیم و هر پورت دیگری را بگذاریم؛ اما معمولا برای تامین اولیه ی امنیت از پورت های معروف استفاده نمی کنیم.
مثلاً پورت وب، پورت ۸۰ است و این پورت را اصلاً نباید استفاده کنید؛ یعنی ۸۰ را نباید فوروارد کنید و اصلاً روی یک سری از ASPها محدود کرده اند یا مثلاً پورت Sip، ۵۰.۶۰ است و به هیچ عنوان ۵۰.۶۰ را نباید فوروارد کنید؛ به هیچ عنوان! چرا؟ چون اولین حدسی که ربات می زند، پورت ۵۰.۶۰ است. یا مثلاً پورت SSH، پورت Tel Net که ۲۲ یا ۲۱ است یا هر پورت دیگری که معروف است که معمولاً از ۱ تا ۱۰۰۰ یا ۱۲۰۰ هستند. این پورت ها را برای تامین امنیت، استفاده نکنید!
پس این هم در ذهنتان باشد که ما در Dst NAT، نباید از پورت های معروف استفاده کنیم. پس هر پورتی را می توانیم به پورت دیگری تغییر بدهیم. مثلاً بگوییم اگر با پورت ۹۰۰۰ بود به یک آی پی پرایوت با پورت برای مثال ۸۸ بفرست. البته ۹۰۰۰ نباید باشد؛ مثلاً بگذارید ۹۹.۸۸؛ پورتی که در واقع بی ربط باشد. این کار برای مرحله ی اول امنیت انجام می شود. یک راهکار همین است که باید پورت آن را عوض کنید. ما در بخش امنیت، این موارد را به شما معرفی می کنیم.
ما در این بخش از آموزش، می خواستیم در رابطه با تفاوت NAT و Route هم صحبت کنیم؛ اما چون حجم ویدیو زیاد می شود برای یک بخش دیگر می گذاریم و در تاپیکمان هم اضافه کردیم که کاربرد NAT را گفتیم و در جلسه ی بعدی، می خواهیم در رابطه با تفاوت Route و NAT صحبت کنیم.
پس این هم از Src NAT که گفتیم آی پی سورس ما NAT یا ترنسلیت می شود و در Dst NAT، آی پی دستینیشنمان ترنسلیت می شود و می توانیم به یک آی پی پرایویت با یک پورت خاص، آن را وصل کنیم. گفتیم که این پورت را بهتر است از پورت های معروف انتخاب نکنیم.
دوستان حالا به سراغ بخش بعد برویم که می خواهیم به صورت کاربردی NAT و Route را با هم دیگر مقایسه کنیم.
با درود فراوان خدمت استاد عزیز.
انجایی که گفتین که موقعی که داریم ip هار تغیر می دهیم nat می شود و در روتینگ میایم مسیر را مشخص میکنم منظورتان این بود که از داخل winbox میکروتیک منوی ip و Routes می زنیم
سلام
اگر درست متوجه شده باشم بله
تنظیمات route در بخش ip و routes هست