作者wst2080 ()
看板Network
标题Re: [问答] 一题NAT问题
时间Sat Dec 4 08:46:07 2010
※ 引述《SmallBeeWayn (喵喵叫的蜜蜂猫)》之铭言:
: 要我选的话,我会答以上皆是
: 真硬要选,我会选C
: 不过若要硬ㄠ,以上皆非也是可行(因为都不纯然是NAT)
: ※ 引述《whiteshirts (MJIB)》之铭言:
: : 关於NAT(Network address translation),以下叙述何者错误?
: : A. 利用有限IP位址让多台电脑连线至Internet
: 若叙述改为「利用单一IP为只让多台电脑连线至Internet」
: 那就很明确的是NAT,但本题叙述是「有限」(大於等於一)
: 只要大於一,就是属於连线负载平衡的领域,虽然说实作还是会用到NAT技术
NAT有三种 当中的一篇回文我有提到 "不只是让一个IP连线到Internet"
NAT是提供封包的IP Header进行置换的行为(在iptables亦称伪装)
所以可以有多个Public IP来对Pravite IP区域进行NAT的服务
这个选项的意思并不是指内部提供外部服务;而是提供内部连线到外部的Internet当中..
所以这个部分是无庸置疑的~ NAT发展的初衷就是要解决IPv4数量不足的原因!!!
题外话:
若用NAT达成NLB的机制,不是不行,只不过会有一些问题~~~
像是内部某一些机器服务终止的时候而并没有及时发现来修改NAT的Rules的话
那麽NAT是无法主动及时发现,自主地去修改NAT Rules的规则....
会导致NAT会转址到该台服务终止的机器时,会发生无法对外提供服务的问题!!!
而或许内部的Web Server资料不同步的时候,也会造成连线资料忽新忽旧的问题!
NAT并不是很好的NLB的一个解决方案!!!
: : B. 让网路外部无法看到区域网路内部的真实IP以提升安全性
: NAT确实会造成这样的结果,但这不是NAT的目的
: 虽然说可以防御列举式的攻击,但是因为不透明
: 导致内部电脑发生问题时比较难查证(因为查不到到底是哪台电脑对外发出攻击)
: 而且对於针对性的攻击也无效
: 总体上来说,对於「提升安全性」这点其实是存疑的
存疑的部分应该是在於内部对外的攻击或者内部对内部的攻击~
不过这里的意思是说从外部对内的攻击...
(很多NAT设备的规则都是WAN往LAN都是Deny的状态)
题外话:
若真的要查证内部的攻击其实不难~ 只要环境规划的好,建置的好...
弄个IDS 就可以捞到内外的一堆资讯 以及 所谓攻击的log
: : C. 行动电脑的IP位址管理
: 虽说NAT服务都会包裹DHCP,但并不代表NAT非得提供DHCP不可
: 光有NAT是不能进行IP位址管理的,NAT只是一个附带IP:PORT转换的路由器而已
: 但话又说回来,内外的IP:PORT对应表是放在NAT上的
: 所以如果要进行位址管制,确实也需要NAT的协助
这个我就不多说了,在另外一篇我有讲到我的想法!
: : D. 让多台网页伺服器使用各自的虚拟IP,既可以让多台伺服器同时上线,
: 这算是NAT的一种应用,也就是让一个外部IP:PORT对应到多个内部IP:PORT
: 不过一个客户端IP只能由一个内部IP来服务,这又进入负载平衡的领域
NAT不仅提供 IP:Port 的转换技术(PAT) 亦提供 Public IP 与 Private IP的置换
而NAT的技术并不是很好的NLB的解决方案(先前提过)
所以在这边就不考虑这个延伸出来的功能(毕竟NAT技术是因应IPv4的不足所逐渐发展)
至於相关的回答 我想另外一篇我所回应的都回答了 欢迎大家一起讨论
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 122.116.248.253
2F:推 whiteshirts:我觉得你应该有CCIE的实力了 @@ 12/05 00:27
3F:→ infosec:楼上把CCIE想太简单了一点 12/05 01:19
4F:→ whiteshirts:或许吧 但那只是我的想法 12/05 01:36