Программное обеспечение nat

Некоторые операционные системы (например, Windows 98/2000 и текущая версия Linux) содержат встроенные средства трансляции адресов. В Linux они называются IP- маскированием, в Windows 98 и 2000 Professional — ICS (Internet Connection Sharing). Программа ICS используется также для разделения соединений частной удаленной се­ти или виртуальной частной сети (Virtual Private Network — VPN). В Windows 2000 Server поддерживается более гибкая и устойчивая версия трансляции адресов — NAT. Если в операционную систему не включена поддержка трансляции адресов, то можно использовать программу NAT сторонних разработчиков, например:

• Sygate компании Sybergen Software (www.sуgate.com);

• NAT32 компании А.С.Т. Software (www.na132.com).

Другой, более сложный (и более трудный в конфигурировании) тип программ, по­зволяющих разделять сетевые соединения — прокси-серверы.

Прокси-серверы

Прокси-серверы служат не просто посредником между локальной сетью и внеш­ним миром, они обеспечивают защиту данных путем фильтрации входящих и выхо­дящих пакетов. Они же выполняют кэширование часто запрашиваемых Web-страниц.

В прокси-серверах используется метод трансляции адресов, который, однако, не обязательно отвечает спецификациям RFC 1631, определяющим NAT.

Принцип действия прокси-сереверов

Как и хост трансляции адресов, прокси-сервер принимает запросы на ресурсы In­ternet от прокси-клиентов. Получив запрос, прокси-сервер сверяет его с параметрами фильтрации, предварительно сконфигурированными администратором. Если запрос удовлетворяет требованиям фильтра, сервер ищет в своем кэше хранимые страницы Если требуемая страница есть, прокси-сервер возвращает ее клиенту. В этом случае нет необходимости передавать запрос на сервер провайдера. Если в кэше нет нужной страницы, прокси-сервер запрашивает ее у сервера провайдера, принимает ее и воз­вращает клиенту.

Как и в случае NAT, внутренние клиенты, получающие доступ к Internet посредст­вом прокси-сервера, невидимы из Internet. Вся коммуникация с внешним миром вы­полняется через прокси-сервер.

Программное обеспечение прокси-серверов

Обычно программы прокси обеспечивают более высокую производительность i безопасность данных, чем NAT. Однако их использование обходится несколько доро­же. Их также труднее установить, потому что на всех клиентских компьютерах при­ложения Internet (такие, как Web-броузеры) должны быть индивидуально сконфигурированы на взаимодействие с прокси-сервером. Практически вся необходимая ин формация автоматически передается клиентам сервером DHCP.

Во всех популярных операционных системах общедоступны многочисленны* программы прокси-серверов; некоторые из них перечислены ниже.

• Rideway компании DGL (dgl.com/rideway).

• Winproxy компании Ositis (www.wiriproxy.com/toc).

• Microsoft Proxy Server компании Microsoft (www.microsoft.com).

• Squid для UNIX компании SCO (www.sco.com).

Некоторые программы прокси выполняются только в определенных сетевых операционных системах, например Microsoft Proxy Server — только в Windows NT и Windows 2003 Server. В то же время Rideway может выполняться почти во всех настольных операционньг системах — Windows 95/98, Windows NT Workstation и Windows 2000 Professional.

Программы серверов, объединяющие свойства NAT и прокси, иногда называю' прозрачными прокси.

Маршрутизированные соединения

Еще один способ предоставления компьютерам локальной сети доступа в глобальную сеть — маршрутизированные соединения. В отличие от соединений NAT и прокси в которых индивидуальные компьютеры нуждаются в компьютере-посреднике, маршрутизированные соединения позволяют каждому компьютеру подключаться к Internet непосредственно.

Для конфигурирования маршрутизированных соединений нужно хорошо знать принципы адресации TCP/IP. Необходимо купить и конфигурировать маршрутизатор. Кроме того, каждый компьютер локальной сети, соединяемый с внешней сетью должен иметь действительный публичный IP-адрес.

Зачем нужны маршрутизированные соединения

Большим преимуществом NAT и прокси является возможность подключения не­большой локальной сети к публичной глобальной сети с использованием только од­ного действительного IP-адреса. Однако во многих случаях это не лучшее решение.

Использование трансляции адресов приводит к тому, что протоколы, не хранящие адресную информацию в IP-заголовках, в системах NAT не работают. Иногда эту проблему можно обойти, добавив редактор NAT, модифицирующий пакеты IP. Одна­ко во многих случаях (например, когда пакеты аутентифицируются и шифруются с помощью системы IP Security) трансляция адресов невозможна.

Конфигурирование маршрутизированного соединения

Для маршрутизированного соединения нужен или отдельный маршрутизатор, или программное обеспечение передачи данных по IP-адресам (в этом случае компьютер работает как маршрутизатор).

В компьютерах, использующих для коммуникации протоколы TCP/IP, нужно сконфигурировать следующие параметры:

• IP-адрес компьютера в сети, к которой он подключается;

• маску подсети, определяющую, какая часть IP-адреса идентифицирует компью­тер, а какая — сеть.

В компьютерах, участвующих в маршрутизированной сети, должен быть конфигуриро­ван также шлюз по умолчанию. Другими словами, должен быть установлен адрес маршрути­затора с двумя сетевыми соединениями: одно с локальной сетью, а другое с внешней.

Для установки маршрутизированного соединения с Internet в протоколе TCP/IP маршрутизатора конфигурируются следующие параметры: IP-адрес, маска подсети и адрес сервера DNS, предоставленный провайдером. Кроме того, статический маршрут по умолчанию должен быть сконфигурирован на использование интерфейса Internet.

Точно так же в компьютере локальной сети, подключаемом к Internet, должны быть верно настроены IP-адрес, маска подсети и адрес сервера DNS. Адрес шлюза по умолчанию должен быть установлен как IP-адрес маршрутизатора, служащего интер­фейсом локальной сети.