NAT
Aktivitas
Network Address Translation (NAT) adalah sebuah router yang menggantikan fasilitas sumber dan (atau) alamat IP tujuan dari paket IP karena melewati jalur router. Hal ini paling sering digunakan untuk mengaktifkan beberapa host di jaringan pribadi untuk mengakses internet dengan menggunakan satu alamat IP publik.
Spesifikasi
Paket yang diperlukan: sistem
Lisensi yang diperlukan: level1 (jumlah terbatas pada aturan 1), Level3
Standar dan teknologi: IP, RFC1631, RFC2663
Penggunaan hardware: increase with the count of rules
NAT ada 2 jenis yaitu:
1. Sumber(source) NAT atau srcnat. Jenis NAT dilakukan pada paket yang berasal dari natted jaringan. Router A NAT akan mengganti sumber alamat IP dari sebuah paket dengan alamat IP baru publik karena perjalanan melalui router. A setiap operasi diterapkan ke paket balasan dalam arah lainnya.
2. Tujuan(destination) NAT atau dstnat. Jenis ini dilakukan pada paket yang ditujukan ke natted jaringan. Hal ini umumnya digunakan untuk membuat host di jaringan pribadi untuk dapat diakses dari Internet. router A NAT melakukan dstnat menggantikan alamat IP tujuan dari sebuah paket IP karena perjalanan melalui router terhadap jaringan pribadi.
NAT Drawbacks(menarik mundur)
Host di balik NAT- enabled router tidak benar end-to-end connectivity. Ada beberapa protokol internet mungkin tidak bekerja dengan skenario NAT. Pelayanan yang membutuhkan inisiasi dari koneksi TCP dari dalam atau luar jaringan status protokol seperti UDP, dapat terganggu. Terlebih lagi, beberapa protokol yang tetap bertentangan dengan NAT,
Redirect dan Masquerade
Redirect dan masquerade adalah bentuk khusus tujuan NAT dan sumber NAT, masing-masing. Redirect adalah diutamakan dengan ke tujuan NAT biasa dengan cara yang sama seperti yang masquerade diutamakan ke sumber masquerade NAT adalah bentuk khusus sumber NAT tanpa perlu menentukan ke alamat - alamat keluar antarmuka yang digunakan secara otomatis. Yang sama adalah redirect - ia adalah satu bentuk tujuan NAT ke mana-alamat yang tidak digunakan - masuk antarmuka digunakan sebagai ganti alamat. Perlu diketahui bahwa to-port adalah makna penuh untuk redirect aturan – ini adalah port layanan pada router yag akan menangani permintaannya (contoh:webproxy)
Ketika paketnya adalah dst-natted (tidak perduli - action=nat atau action=redirect), dst alamat berubah. Informasi tentang terjemahan alamat (termasuk alamat asli dst) disimpan dalam tabel router internal. Transparan proxy web bekerja pada router (bila permintaan mendapatkan web redirect ke port proxy pada router) dapat mengakses informasi ini dari table internal dan mendapatkan alamat web server dari alamat IP header (dst karena alamat IP dari paket yang sebelumnya adalah alamat web server telah berubah ke alamat server proxy). Mulai dari HTTP/1.1 ada khusus di header permintaan HTTP yang berisi alamat web server, jadi server proxy dapat menggunakannya, dst, bukan alamat IP paket, jika tidak ada semacam header (HTTP versi lama pada klien), proxy server dapat tidak menentukan alamat web server dan karena itu tidak dapat bekerja.
Ini berarti, adalah mustahil untuk benar transparan reditrect dari lalu lintas HTTP ke beberapa router lainnya box transparan-proxy. Hanya dengan cara yang benar adalah dengan menambahkan transparan proxy di router itu sendiri, dan konfigurasikan agar Anda "real" proxy adalah orang parent-proxy. Dalam situasi ini Anda "real" proxy tidak harus transparan lagi, sebagai proxy pada router akan transparan dan akan meneruskan permintaan proxy-style (menurut standar; permintaan ini mencakup semua informasi yang diperlukan tentang web server) to "real" proxy.
Keterangan Properti
action (accept | add-dst-to-address-list | add-src-to-address-list | dst-nat | jump | log | masquerade |
netmap | passthrough | redirect | return | same | src-nat; default: accept) - untuk melakukan tindakan jika paket sesuai dengan aturan
* accept - menerima paket. Tidak ada tindakan yang diambil, yaitu paket yang lulus dan tidak lagi melalui aturan-aturan yang diterapkan
* add-dst-to-address-list - menambahkan tujuan dari sebuah alamat IP paket ke alamat yang ditentukan daftar oleh daftar alamat-parameter
* add-src-to-address-list - menambahkan sumber alamat IP dari sebuah paket ke alamat yang ditentukan oleh daftar daftar alamat-parameter
* dst-nat - menggantikan alamat tujuan dari sebuah paket ke IP ditentukan oleh nilai-nilai to-address dan parameter ke-port
* jump - melompat ke rantai yang ditentukan oleh nilai yang melompat-sasaran parameter
* log - masing-masing sesuai dengan tindakan ini akan menambah sebuah pesan masuk ke sistem
* masquerade - menggantikan sumber alamat IP secara otomatis ke salah satu paket ditentukan oleh fasilitas routing alamat IP
* netmap - membuat statis 1:1 pemetaan sekumpulan alamat IP yang lain. Sering digunakan untuk mendistribusikan publik host ke alamat IP pribadi pada jaringan
* passthrough - mengabaikan aturan ini pergi ke yang berikutnya atau berlanjut ke rules yg berada dibawahnya
* redirect - tujuan menggantikan alamat IP dari sebuah paket ke salah satu router lokal alamat
* return - melewati kontrol kembali ke tempat dari rantai melompat terjadi
* same - memberikan tertentu klien yang sama sumber / tujuan dari alamat IP yang disediakan untuk berbagai masing-masing sambungan. Hal ini paling sering digunakan untuk layanan yang mengharapkan klien alamat yang sama untuk beberapa sambungan dari klien yang sama
* src-nat - menggantikan sumber alamat IP dari sebuah paket ke ditentukan oleh nilai-nilai ke-alamat dan parameter ke-port
addres-list (name) - menetapkan nama untuk mengumpulkan daftar alamat alamat IP dari aturan yang action = add-dst-to-address-list atau action = add-src-to-address-list tindakan. Daftar alamat inikemudian digunakan untuk paket yang cocok
address-list-timeout (time; standar: 00:00:00) - interval waktu setelah alamat yang akandihapus dari daftar alamat-alamat yang ditentukan oleh daftar parameter. Digunakan bersama-sama dengan tambah-dst-to-address-list-src atau menambahkan ke daftar alamat-tindakan
00:00:00 - meninggalkan alamat di daftar alamat selamanya
chain (dstnat | srcnatname) - menentukan rantai untuk meletakkan aturan tertentu ke dalam. Karena lalu lintas yang berbeda dimasukan melalui berbagai rantai, selalu berhati-hati dalam memilih yang tepat untuk rantai baru aturan. Jika input tidak sesuai dengan nama yang sudah ditetapkan rantai, rantai baru akan dibuat
• dstnat - aturan yang ditempatkan di rantai ini diterapkan sebelum routing. Aturan-aturan yang menggantikan tujuan alamat IP paket harus ditempatkan di sana
• srcnat - aturan yang ditempatkan di rantai ini akan diterapkan setelah routing. Aturan-aturan yang menggantikan sumber alamat IP paket harus ditempatkan di sana,
comment (teks) - Berikan komentar untuk memerintah. Komentar dapat digunakan untuk mengidentifikasi bentuk peraturan skrip
connection-byte (integerinteger) - sesuai paket yang diberikan hanya jika jumlah byte telah ditransfer melalui sambungan tertentu
* 0 - berarti infinity, exempli Gratia: sambungan-byte = 2000000-0 berarti jika sesuai aturan lebih dari 2MB yang ditransfer melalui sambungan relevan
connection-limit (integernetmask) - membatasi jumlah koneksi per alamat atau alamat blok (cocok jika ditentukan jumlah sambungan telah ditetapkan)
connection-mark (name) - sesuai paket ditandai melalui fasilitas ngoyakkan dengan sambungan menandai
connection-type (ftp | GRE | h323 | irc | mms | PPTP | quake3 | TFTP) - sesuai dari paket-paket yang terkait sambungan berdasarkan informasi dari pelacakan koneksi penolongpun. A relevan sambungan penolong harus diaktifkan di / ip firewall service-port
conten (teks) - teks harus berisi paket agar sesuai dengan aturan
dscp (integer: 0 .. 63) –DSCP (ex-KL) IP kepala bidang nilai
dst-address (alamat IP addressnetmaskIP addressIP) - menentukan rentang alamat IP adalah paket yg diperuntukkan untuk. Perlu diketahui bahwa konsol mengkonversi memasukkan alamat / netmask nilai jaringan ke alamat yang valid,
i.e.: 1.1.1.1/24 dikonvert ke 1.1.1.0/24
dst-address-list (name) - sesuai alamat tujuan dari paket yang ditetapkan pengguna terhadap daftar alamat dst-address-type (unicast | lokal | broadcast | multicast) - sesuai tujuan alamat jenis IP paket, salah satu:
* unicast - alamat IP yang digunakan untuk satu titik ke titik lainnya transmisi. Hanya ada satu
* satu pengirim dan penerima dalam hal ini
* local - sesuai alamat yang ditugaskan ke router dari interface
* broadcast - IP paket akan dikirim dari satu titik ke semua titik dalam IP subnetwork
* multicast - jenis alamat IP yang bertanggung jawab untuk transmisi atau lebih dari satu poin ke satu set lainnya
dst-limit (integertimeintegerdst-address | dst-port | src-addresstime) - membatasi paket per detik (pps) menilai pada tujuan per IP atau per port tujuan dasar. Yang bertentangan dengan batas cocok, setiap alamat IP tujuan / tujuan pelabuhan itu sendiri batas. Pilihannya adalah sebagai berikut (dalam urutan tampilan):
* count - maksimum rata-rata harga paket, diukur dalam paket per detik (pps), kecuali jika diikuti oleh waktu opsi
* time - menentukan interval waktu yang lebih dari paket menilai diukur
* burst - jumlah paket yang cocok dengan yang di burst
* modus - yang penggolong (-s) menilai paket untuk membatasi
* expire - Interval setelah menentukan alamat IP yang direkam / port akan dihapus
dst-port (integer: 0 .. 65535integer: 0 .. 65535) - tujuan nomor port atau range
fragmen (ya | tidak) - apakah paket adalah fragmen dari sebuah paket IP. Memulai paket (i.e., pertama fragmen) tidak dihitung. Catatan yang sambungan pelacakan diaktifkan, tidak akan ada fragmen karena sistem akan secara otomatis assembles setiap paket
hotspot (multiple choice: auth | from-client | http | lokal dst | to-client) - cocok paket diterima
dari klien terhadap berbagai kondisi Hotspot. Semua nilai-nilai dapat negated
* auth - benar, jika paket yang berasal dari authenticted HotSpotclient
* from-client - benar, jika paket yang datang dari klien Hotspot
* http - benar, jika Hotspot klien mengirimkan sebuah paket ke alamat dan port sebelumnya terdeteksi sebagai server proxy (proxy teknik Universal) atau jika tujuan port 80 dan transparan proxying diaktifkan bagi klien
* local-dst - benar, jika paket memiliki tujuan lokal alamat IP
* to-client - benar, jika paket yang akan dikirim ke klien
ICMP-option (integerinteger) - cocok ICMP Jenis: Kode bidang
in-bridge-port (name) - interface sebenarnya paket telah dimasukkan melalui router (jika Bridged, ini kekayaan sesuai dengan sebenarnya jembatan pelabuhan, sedangkan di-interface jembatan itu sendiri)
in-interface (nama) - antarmuka paket yang telah dimasukkan melalui router (jika antarmuka adalah Bridged, maka akan muncul paket yang akan datang dari jembatan antarmuka sendiri)
ingress-priority (integer: 0 .. 63) - masuk (diterima) prioritas paket, jika diatur (0 lainnya).
Prioritas mungkin berasal dari salah satu atau VLAN WMM prioritas
IPv4-option (any | loose-source-routing | no-record-route | no-router-alert | no-source-routing |no-timestamp | none | record-route | router-alert | strict-source-routing | timestamp) - match ipv4 header option
* any - paket cocok dengan setidaknya salah satu pilihan IPv4
* loose-source-routing - paket cocok dengan sumber loose routing pilihan. Pilihan ini digunakan untuk rute internet datagram berdasarkan informasi yang diberikan oleh sumber
* no- record-route - tidak cocok dengan paket dengan catatan rute pilihan. Pilihan ini digunakan untuk rute yang internet datagram berdasarkan informasi yang diberikan oleh sumber
* no-router-alert- tidak cocok dengan paket router mengubah pilihan
* no-source-routing - tidak cocok dengan paket sumber routing pilihan
* no- timestamp - tidak cocok dengan paket waktu opsi
* record-route - paket cocok dengan catatan rute pilihan
* router-alert - paket cocok dengan router mengubah pilihan
* strict-source-routing - paket cocok dengan ketat sumber routing pilihan
* timestamp sesuai dengan paket
jump-target (dstnat | srcnatname) - nama target untuk melompat ke rantai, jika action= jump
layer7-protokol (name) - Layer 7 menyaring nama sebagaimana ditetapkan dalam / ip firewall layer7-protokol menu. Perhatian: ini matcher kebutuhan daya tinggi computer
limit (integertimeinteger) - membatasi paket cocok untuk menilai suatu batas. Berguna untuk mengurangi jumlah dari log pesan
* count - maksimum rata-rata harga paket, diukur dalam paket per detik (pps), kecuali jika diikuti oleh waktu opsi
* time - menentukan interval waktu yang lebih dari paket menilai diukur
* burst - jumlah paket yang cocok dengan yang di burst
log-prefix (teks) - semua pesan log akan ditulis ke berisi awalan ditentukan di sini. Digunakan dalam bersama-sama dengan action =log
nth (integerinteger: 0 .. 15integer) - cocok Nth paket tertentu yang diterima oleh aturan. Satu dari 16 counter tersedia dapat digunakan untuk menghitung paket-paket
* every - cocok setiap tanggal 1 setiap paket. Misalnya, jika setiap = 1 maka setiap aturan yang cocok 2. paket
* counter - menentukan yang digunakan. A counter akan menambahkan setiap kali berisi aturan nth cocok cocok
* packet - cocok diberikan pada paket nomor. Nilai dengan jelas alasan harus antara 0 dan setiap. Jika opsi ini digunakan untuk suatu counter, maka harus ada sekurang-kurangnya setiap 1 peraturan dengan opsi ini, yang meliputi semua nilai antara 0 dan setiap inclusively.
out-bridge-port (name) - antarmuka yang sebenarnya adalah paket meninggalkan router melalui (jika Bridged, ini kekayaan sesuai dengan sebenarnya jembatan pelabuhan, sementara out-interface - jembatan itu sendiri)
out-interface (name) - interface adalah paket meninggalkan router melalui (jika antarmuka adalah Bridged, maka paket akan muncul untuk meninggalkan jembatan melalui antarmuka sendiri)
paket-mark (teks) - sesuai paket ditandai melalui fasilitas ngoyakkan dengan paket tandai paket-size (integer: 0 .. 65535integer: 0 .. 65535) - sesuai paket yang ditentukan atau ukuran berbagai ukuran dalam byte
* min - menetapkan batas yang lebih rendah dari berbagai ukuran atau berdasarkan nilai
* max - menetapkan batas atas dari berbagai ukuran
port (port) - jika ada yang cocok (sumber atau tujuan) port ditentukan sesuai dengan daftar port atau port rentang (dicatat bahwa protokol harus masih dapat dipilih, seperti biasa untuk src dan dst-port-port matchers) Protocol (ddp | EGP | encap | ggp | GRE | hmp | ICMP | idrp-cmtp | igmp | ipencap | ipip | ipsec-ah | ipsec-esp | iso-tp4 | ospf | pup | rdp | rspf | st | tcp | udp | vmtp | xns-IDP | xtpinteger) - cocok protokol IP tertentu ditentukan oleh protokol nama atau nomor. Anda harus menetapkan pengaturan ini jika Anda ingin menentukan port
PSD (integertimeintegerinteger) - berupaya untuk mendeteksi dan UDP TCP scans. Hal ini disarankan untuk menetapkan
menurunkan berat ke pelabuhan dengan angka tinggi untuk mengurangi frekuensi palsu positif, seperti dari pasif mode FTP transfer
* WeightThreshold - total berat terbaru TCP / UDP paket dengan tujuan pelabuhan
* yang berasal dari host yang sama untuk diperlakukan sebagai port scan urutan
* DelayThreshold - menunda untuk paket dengan tujuan yang berbeda yang datang dari pelabuhan yang sama
* tuan rumah harus dirawat sebaik mungkin port scan subsequence
* LowPortWeight - berat yang paket dengan privilege (<= 1024) tujuan pelabuhan
* HighPortWeight - berat paket dengan non-priviliged tujuan pelabuhan
random (integer) - sesuai dengan paket yang diberikan secara acak propability
routing-mark (name) - sesuai paket ditandai dengan merusak fasilitas routing mark
same-not-by-dst (yes | no) - untuk menentukan apakah account atau tidak untuk mencapai tujuan IP alamat yang baru ketika memilih sumber alamat IP untuk paket cocok dengan aturan oleh ation= sama
src-address (alamat IP addressnetmaskIP addressIP) - menentukan rentang alamat IP adalah paket berasal dari. Perlu diketahui bahwa konsol mengkonversi memasukkan alamat / netmask nilai yang valid untuk jaringan alamat, yaitu: 1.1.1.1/24 dikonvert ke 1.1.1.0/24
src-address-list (nama) - sesuai alamat sumber dari paket terhadap pengguna ditetapkan daftar alamat
src-address-type (unicast | lokal | broadcast | multicast) - sesuai jenis sumber alamat IP
paket, salah satu:
* unicast - alamat IP yang digunakan untuk satu titik ke titik lainnya transmisi. Hanya ada satu
* satu pengirim dan penerima dalam hal ini
* local - sesuai alamat yang ditugaskan ke router dari interface
* broadcast - IP paket akan dikirim dari satu titik ke semua titik dalam IP subnetwork
* multicast - jenis alamat IP yang bertanggung jawab untuk transmisi atau lebih dari satu poin ke satu set lainnya Registred lainnya merek dagang dan merek dagang yang disebutkan di sini adalah properti dari masing-masing pemilik.
* src-mac-address (MAC address) - sumber alamat MAC src-port (integer: 0 .. 65535integer: 0 .. 65535) - Nomor port sumber atau jangkauan
* tcp-MSS (integer: 0 .. 65.535) - TCP MSS sesuai nilai IP paket
* time (timetime sat | Jumat | thu | Rabu | Selasa | Senin | Minggu) - memungkinkan untuk membuat penyaring berdasarkan paket ' tiba waktu dan tanggal, atau untuk paket lokal yang dihasilkan, waktu dan tanggal keberangkatan
* to-address (alamat addressIP; default: 0.0.0.0) - alamat atau kisaran alamat untuk menggantikan asli alamat IP dari sebuah paket dengan
* to-port (integer: 0 .. 65535integer: 0 .. 65535) - port atau jangkauan port untuk menggantikan port asli Pengertian Bridge
Pengertian dari sebuah bridge adalah bekarja pada data link layer pada OSI. bridge adal alat yang digunakan pada suatu jaringan yang berfungsi untuk memisahkan sebuah jaringan yang luas menjadi segment yang lebih kecil. bridge membaca alamat MAC (media access control0 dari setiap paket data yang diterima yang kemudian akan mempelajari dridging table untuk memutuskan apa yang akan dikerjakan bridge selanjutnya pada paket data tersebut, apakah diteruskan atau di abaikan. jika switch menpunyai domein collision sendiri-sendiri disetiap portnya, begitu juga dengan bridge memiliki domain collision ttetepi ia juga dapat membaginya dari sebuah domain collision yang besar menjadi yang lebih kecil, dah bridge hanya akan melewatkan paket data antar segment - segment jika hanya segment itu sangat diperlukan.
Tidak ada komentar:
Posting Komentar
masukkan komentar anda disini