¿Qué es NAT estricto, moderado y abierto?

12

Las opciones de NAT en enrutadores domésticos a menudo vienen configuradas como estrictas . ¿Qué significa esto? ¿Qué hacen los moderados o abiertos ? El acceso de reenvío de puertos / DMZ funciona correctamente en estricto, ¿por qué molestarse con los otros dos?

Una mirada a través del enrutador sugiere que esto afecta al firewall . Cuando pasa una gran cantidad de tiempo protegiendo redes usando Cisco / iptables, una respuesta tan no descriptiva no es más que irritante y no deja pistas sobre el efecto que esto tiene sobre un firewall .

Por favor, ¿alguien puede arrojar algo de luz?

Metalshark
fuente
Algunas marcas \ modelos serían útiles, la pregunta parece más dirigida al mercado de superusuarios. ¿Está planeando usar estos para algún propósito comercial, parece más probable que sea una pregunta de tipo superusuario?
Helvick
1
Lo siento, pero creo que estos términos son los más utilizados por un sistema de juegos de consumo, y no son utilizados comúnmente por los administradores del sistema. Tal vez debería preguntarle a Microsoft qué significa exactamente en sus términos tontos. support.microsoft.com/kb/908880
Zoredache
Un NetGEAR WNDR3700 en este caso actual, pero los Drayteks (utilizados por bastantes oficinas de SoHo y showroom) también tienen la misma opción. Solo me gustaría saber qué hace cada opción, que muchos necesitan investigarse cuando surgen problemas. Este en particular parece cada vez más común en todos los modelos. Aunque si se pregunta mejor en SuperUser, intentaré allí en su lugar.
Metalshark

Respuestas:

31

Primero es importante saber cómo funciona la traducción de direcciones de red (NAT). Establece una conexión a un servidor en Internet. En realidad, envía paquetes a su enrutador, saliendo de su computadora en algún puerto elegido al azar:

Your computer        Router
+------------+     +-----------+
|            |     |           |
| port 31746 o====>o           |
|            |     |           |
+------------+     +-----------+

Su enrutador, a su vez, establece una conexión con el servidor con el que desea hablar. Habla de su propio puerto elegido al azar:

                     Router            www.google.com
                   +-----------+     +----------------+
                   |           |     |                |
                   | port 21283o====>o port 80        |
                   |           |     |                |
                   +-----------+     +----------------+

Cuando el servidor web de Google le devuelve información, en realidad la está enviando de vuelta a su enrutador (ya que su enrutador es el tipo realmente en Internet):

                     Router            www.google.com
                   +-----------+     +----------------+
                   |           |     |                |
                   | port 21283o<====o port 80        |
                   |           |     |                |
                   +-----------+     +----------------+

Un paquete llega a su enrutador, en el puerto 21283de www.google.com. ¿Qué debe hacer el enrutador con él?

En este caso, el enrutador ha mantenido un registro de usted y del tráfico que envió www.google.com:80desde el puerto 21283en su nombre. Entonces el enrutador retransmitirá el paquete a su computadora:

Your computer        Router
+------------+     +-----------+
|            |     |           |
| port 31746 o<====o           |
|            |     |           |
+------------+     +-----------+

NAT abierto

En NAT abierto , cualquier máquina en Internet puede enviar tráfico al puerto de su enrutador 21283, y el paquete le será enviado de vuelta:

Your computer        Router            
+------------+     +-----------+     {www.google.com:80
|            |     |           |     {www.google.com:443
| port 31746 o<====o port 21283o<===={serverfault.com:80
|            |     |           |     {fbi.gov:32188
+------------+     +-----------+     {botnet.cn:11288

NAT cerrado

Cerrado nat es más restrictivo. No permitirá que entre nada a menos que provenga de la dirección original y el puerto con el que desea hablar, es decir, el www.googlepuerto 80:

Your computer        Router            
+------------+     +-----------+     {www.google.com:80
|            |     |           |     | (rejected) www.google.com:443
| port 31746 o<====o port 21283o<====+ (rejected) serverfault.com:80
|            |     |           |       (rejected) fbi.gov:32188
+------------+     +-----------+       (rejected) botnet.cn:11288

NAT moderado

NAT moderado es una mezcla, donde su enrutador aceptará cualquier tráfico desde cualquier puerto , pero solo desde el mismo host :

Your computer        Router            
+------------+     +-----------+     
|            |     |           |     {www.google.com:80
| port 31746 o<====o port 21283o<===={www.google.com:443
|            |     |           |       (rejected) serverfault.com:80
+------------+     +-----------+       (rejected) fbi.gov:32188
                                       (rejected) botnet.cn:11288

Ese es un conjunto de definiciones. El otro es:

  • Abierto: permite que las computadoras en la LAN utilicen UPNP para abrir puertos
  • Moderado: se han creado algunos puertos hacia adelante y están funcionando
  • Cerrado: no existe reenvío de puerto estático

Pero la terminología es realmente nebulosa.

Ver también

Ian Boyd
fuente
1
Buena explicación. Ese es solo un tipo de NAT y se llama PAT (Port Address Translation)
J.Money
"solo del mismo host", ¿solo del mismo host que qué ?
BT
@BT "solo del mismo host que what " - como el host con el que estamos hablando. (por ejemplo, google.com)
Ian Boyd