mboost-dp1

Forskellen på NAT og Firewall funktion i router?


Gå til bund
Gravatar #1 - supra2800
13. aug. 2008 09:26
Jeg er ved at opsætte en ny Sitecom 300N wireless router, og vil gerne have den sat op så jeg kan bruge "Back to my Mac", det er nemlig lidt picky mht. NAT og den slags, den skriver at routeren skal understøtte enten NAT-PMP eller UPNP. UPNP har jeg slået til og NAT har jeg også slået til. Men det er ikke altid nok at de ting er slået til har jeg fundet ud af (på kontoret har vi f.eks. 2 ens wlan routere med samme opsætning men forskellige ISP'ere, her virker det kun på den ene ISP).

Anyway - Sitecom routeren skriver følgende om hhv. NAT og Firewall:

NAT:
Network Address Translation (NAT) allows multiple users to access the Internet through a single Public IP Address or multiple Public IP Addresses. NAT provides Firewall protection from hacker attacks and has the flexibility to allow you to map Private IP Addresses to Public IP Addresses for key services such as Web or FTP.


Firewall:
The Broadband router provides extensive firewall protection by restricting connection parameters, thus limiting the risk of a hacker attack, and defending against a wide array of common attacks. However, for applications that require unrestricted access to the Internet, you can configure a specific client/server as a Demilitarized Zone (DMZ).

----------------

Jeg hænger mig i den her: "NAT provides Firewall protection from hacker attacks" - hvis NAT tilbyder firewall beskyttelse, så er der vel ingen grund til OGSÅ at enable selve firewall funktionen og bare risikere at endnu flere ting (programmer/services) på Mac'en og PS3 vil få problemer med at komme igennem.
Gravatar #2 - conFen
13. aug. 2008 10:02
NAT er ikke det samme som en firewall.

Det grundlæggende princip bag NAT er at du skal kunne forwarde en lokal inderside IP adresse, til en given lokal yderside IP.

Lad os sige din "server" har IP 192.168.1.10/24 og du har en range af yderside adresser, 10.10.10.10 - 10.10.10.20.

Du vil så gerne kunne tilgå serveren på en bestemt IP adresse, uden at skulle til at gætte dig frem, så du laver en NAT'ning fra 192.168.1.10 -> 10.10.10.10.

Fremover vil du så kunne tilgå serveren fra din yderside, 10.10.10.10 - Hvis selvfølgelig din firewall/ACL'er og server tillader det.

Sidder du til gengæld kun med en yderside adresse, foreligger muligheden for at bruge PAT, som i stedet for IP adresser, bruger port numre. Så når du ved at SSH kører på port 22, så tillader du at på din ydersides port 22, er der adgang ind til din server.

Fx. - ip nat inside source static tcp 192.168.1.10 22 10.10.10.10 22

Wiki-link til NAT
Wiki-link til PAT

UPnP er en protokol der dynamisk tillader dine Peer-to-peer applikationer at tilgå netværk, uden at skulle konfigurere NAT/PAT til den givne computer/enhed. Jeg ville anbefale at konfigurere NAT/PAT i stedet for at stole på at UPnP klarer arbejdet.

Wiki-link til UPnP

Til selve din problemstilling vil jeg som sagt anbefale dig at køre PAT til den givne PC og port og se om det ikke skulle løse problerme.
Gravatar #3 - sKIDROw
13. aug. 2008 10:05
Mange har det med at blande NAT og firewall begreberne sammen.

NAT handler KUN om, hvilke porte på den eksterne IP, som skal dirigeres til hvilken computer. Er der ikke lavet nogen opsætning, vil du kun modtage pakker retur, som relaterer til din egen aktivitet. Alt andet ryger "i jordspydet".

En firewall er langt mere sofistikeret end det... ;)

Sikkerhedsmæssigt er ukonfigureret NAT, dog et ganske fint udgangspunkt.

Jeg kan IKKE anbefale at køre med UPNP slået til!.
Sikkerheden i UPNP er ikke eksisterende. Så tillader du dine egne appsm at justere dine åbne porte, så kan alt på dit LAN åbne efter behov.

Producenter som anbefaler UPNP til almindelige folk, burde virkelig omskæres ved roden... :(

Manuel opsætning af dit behov, tager nok lidt længere. Men det er langt mere sikkert i længden.
Gravatar #4 - supra2800
13. aug. 2008 10:24
Jeg kan IKKE anbefale at køre med UPNP slået til!.
Sikkerheden i UPNP er ikke eksisterende. Så tillader du dine egne appsm at justere dine åbne porte, så kan alt på dit LAN åbne efter behov.

Det gør jo ikke så meget med Mac'en, jeg ved hvilke programmer jeg installerer og der er ikke noget trojan tam tam som kommer ind ved et uheld gennem internet explorer o.l. :) Desuden vil jeg gerne have det er nemt at spille osv via PS3, og det synes jeg tit er (eller har været) et problem uden UPNP.


Jeg troede ærlig talt at NAT også havde en vis form for automatik indbygget, men jeg kan da godt se at det ingen fidus har at enable NAT hvis man ikke konfigurerer det. Hvis man disabler NAT og samtidig har disabled firewall, er den så piv åben? Eller, mere åben end hvis man enabler NAT ukonfigureret?

Apple skriver jo det helst skal være NAT-PMP eller UPNP, NAT PMP er noget NAT Port Mapping Protocol så vidt jeg husker, ved ikke om det er anderledes (eller mere "automatisk") end almindelig NAT.

Det sjove er at det virkede fint nok med en gammel MSI router, som bare generelt kørte dårligt, når jeg slog SPI (firewall) fra på den og havde UPNP enabled. På den nye Sitecom her, vil den ikke give hul igennem - men må lige prøve at sætte det op via NAT.
Gravatar #5 - fidomuh
13. aug. 2008 10:47
#2

Sjovt, jeg har altid set PAT som vaerende en ganske standard del af NAT.

Altsaa, at der kun er NAT - ikke noget PAT. :)

#4

Hvis du ikke laver NAT, saa kan din router ikke vide hvad der skal ind paa dit LAN og hvorhen.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login