НАСТРОЙКА ПРОКСИ СЕРВЕРА

NAT (от англ. Network Address Translation — «преобразование сетевых адресов») — это механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса транзитных пакетов. Также имеет названия IP Masquerading, Network Masquerading и Native Address Translation.

Функционирование

Преобразование адресов методом NAT может производиться почти любым маршрутизирующим устройством — маршрутизатором, сервером доступа, межсетевым экраном. Суть механизма состоит в замене адреса источника (source) при прохождении пакета в одну сторону и обратной замене адреса назначения (destination) в ответном пакете. Наряду с адресами source/destination могут также заменяться номера портов source/destination.

Помимо source NAT (предоставления пользователям локальной сети с внутренними адресами доступа к сети Интернет), так же часто применяется destination NAT, когда обращения извне транслируются межсетевым экраном на сервер в локальной сети, имеющий внутренний адрес и потому недоступный извне сети непосредственно (без NAT).

Существует 3 базовых концепции трансляции адресов:

• статическая (Static Network Address Translation),
• динамическая (Dynamic Address Translation),
• маскарадная (NAPT, PAT).

Механизм NAT определён в RFC 1631, RFC 3022.

Преимущества

NAT выполняет две важных функции:

• Позволяет сэкономить IP-адреса, транслируя несколько внутренних IP-адресов в один внешний публичный IP-адрес (или в несколько, но меньшим количеством, чем внутренних).
• Позволяет предотвратить или ограничить обращение извне ко внутренним хостам, оставляя возможность обращения изнутри наружу. При инициации соединения изнутри сети создаётся трансляция. Ответные пакеты, поступающие снаружи, соответствуют созданной трансляции и поэтому пропускаются. Если для пакетов, поступающих снаружи, соответствующей трансляции не существует (а она может быть созданной при инициации соединения или статической), они не пропускаются.

Недостатки

Не все протоколы могут «преодолеть» NAT. Некоторые не в состоянии работать, если на пути между взаимодействующими хостами есть трансляция адресов.

Некоторые межсетевые экраны, осуществляющие трансляцию IP-адресов, могут исправить этот недостаток, соответствующим образом заменяя IP-адреса не только в заголовках IP, но и на более высоких уровнях (например, в командах протокола FTP).

Из-за трансляции адресов «много в один» появляются дополнительные сложности с идентификацией пользователей и необходимость хранить полные логи трансляций.

DoS со стороны узла, осуществляющего NAT — если NAT используется для подключения многих пользователей к одному и тому же сервису, это может вызвать иллюзию DoS атаки на сервис (множество успешных и неуспешных попыток). Например, избыточное количество пользователей ICQ за NAT приводит к проблеме подключения некоторых пользователей из-за превышения допустимой скорости коннектов к серверу. Частичным решением проблемы является использование пула адресов (группы адресов), для которых осуществляется трансляция.

Сложности в работе с пиринговыми сетями, в которых необходимо не только инициировать исходящие соединения, но также принимать входящие.

Настройка NAT в Windows XP Professional/Windows 2000 Professional на сервере

В Windows XP professional или Windows 2000 professional для доступа к Internet внутренней сети используется служба Internet Connection Sharing (далее ICS), или "Общий доступ к подключению Интернета". Эта служба осуществляет поддержку DNS и DHCP (поддержка DHCP происходит только для диапазона адресов 192.168.0.0/24) . Далее рассмотрим настройку сервера по шагам:

1. Зайдите в ПУСК / НАСТРОЙКА / СЕТЕВЫЕ ПОДКЛЮЧЕНИЯ / (START / SETTINGS / NETWORK CONNECTIONS) и выберите подключение настроенное на Internet. Названия Ваших подключений скорее всего отличается от тех, что на рисунке, они были переименованы для наглядности. (обратите внимание, что если подключение происходит через VPN, то и настраивать общий доступ нужно именно в нем, а не в сетевом подключении.)
   
2. Дважды кликните на подключении. Появится следующее окно (см рис.). Откройте свойства этого подключения, нажав соответствующую кнопку.
   
3. Обратите внимание, что во вкладке "Общие" есть различные компоненты. Обязательно отключите компоненты "Клиент для сетей Microsoft" и "Службу доступа к файлам и принтерам сетей Microsoft". Зайдите во вкладку "Дополнительно" (в Windows 2000 professional вкладка "Общий доступ").
   
4. Здесь и запускается служба ICS. Если у Вас Windows XP professional SP2 рекомендуется отключить Брандмауэр Windows, в Traffic Inspector для защиты есть сетевой экран (firewall) и вместе они усложнят дальнейшую настройку. Если Ваш Windows XP professional с SP1 или у Вас Windows 2000 professional то следующий шаг можете пропустить. Нажмите кнопку "Параметры".
   
5. Здесь Брандмауэр Windows отключается.
   
6. Установите галку "Разрешить другим пользователям сети использовать подключение к Интернет данного компьютера", снимите галку с "Разрешить другим пользователям сети управлять общим доступом подключения к Интернету". Жмите кнопку "ОК".
   

После чего у Вас появится окно с предупреждением о том, что внутреннему подключению будет присвоен IP адрес 192.168.0.1. Жмите "Да".

Поздравляем, Вы настроили общий доступ в Internet. У Вас должен появиться значок в виде руки на Интернет подключении.

Для опытных:

Для смены диапазона адресов сети, Вам надо поменять IP внутреннего интерфейса сервера в настройках "Протокола Интернета TCP/IP", поле "шлюз по умолчанию" оставите пустым, а DNS серверу присвойте IP внутреннего интерфейса. После смены диапазона адресов перестает работать DHCP, т.е. Вам необходимо на клиентах прописать сетевые настройки вручную. Кроме того, желательно в "Сетевых подключениях" зайти в "Дополнительно" / "Дополнительные свойства" и выставить приоритет внутреннего интерфейса первым.

Настройка клиентских машин

По умолчанию Windows присваивает внутреннему интерфейсу сервера IP адрес 192.168.0.1, поэтому настраивать клиентские машины можно в диапазоне IP адресов от 192.168.0.2 до 192.168.0.254. Рассмотрим настройку клиентской машины по шагам (Настройку клиентских машин можно произвести автоматически, для этого на клиентских машинах выставите "Получить IP адрес автоматически" и "Получить адрес DNS сервера автоматически".).

1. Зайдите в ПУСК / НАСТРОЙКА / СЕТЕВЫЕ ПОДКЛЮЧЕНИЯ / (START / SETTINGS / NETWORK CONNECTIONS) и выберите подключение настроенное на локальную сеть. Зайдите в свойства этого подключения. В появившемся окне дважды щелкните по "Протокол Интернета TCP/IP".

   

2. "IP-адрес" - это адрес клиентской машины, который лежит в диапазоне (диапазон адресов зависит от IP адреса сервера) от 192.168.0.2-192.168.0.254 т.е. любой из этих адресов может быть указан (главное чтобы они не повторялись). "Маска подсети"- это еще один идентификатор сети выставляется он автоматически. Главное, чтобы на всех машинах он был одинаковым. "Основной шлюз" и "Предпочитаемый DNS-сервер" - здесь мы указываем IP адрес внутреннего интерфейса сервера (192.168.0.1). Для остальных клиентских машин все настройки те же, меняется только собственный IP адрес.