Що таке NAT брандмауер та як він працює?
У галузі комп’ютерних мереж NAT розшифровується Nробота Аддресс Тпереслідування. Найпростіше, NAT дозволяє багатьом пристроям в приватній мережі ділитися одним шлюз до Інтернету. У свою чергу, всі ці пристрої матимуть однакові публічна IP-адреса—Це шлюз — і унікальний приватні IP-адреси. Ці шлюзи зазвичай зустрічаються на Wi-Fi роутерах та деяких службах VPN. Наприклад, усі пристрої, підключені до NAT-маршрутизатора з підтримкою NAT, мають різні приватні IP-адреси, але мають загальну IP-адресу маршрутизатора..
Стрибайте прямо: Найкращі VPN з NAT брандмауерами
Коли ви відвідуєте веб-сайт, ваш пристрій надсилає запит на маршрутизатор, ідентифікуючи себе з його приватною IP-адресою. Потім маршрутизатор переводить запит і пересилає його на сервер веб-сайту з його відкритою IP-адресою, публікуючи примітку про вихідну приватну адресу. Сервер відповідає на маршрутизатор з копією веб-сайту, який ваш маршрутизатор потім пересилає на ваш пристрій через приватну IP-адресу.
А брандмауер це рівень захисту, який запобігає небажаному спілкуванню між пристроями в мережі, наприклад, Інтернетом.
А NAT брандмауер працює, лише дозволяючи інтернет-трафіку проходити через шлюз, якщо пристрій із приватної мережі цього вимагав. Будь-які непотрібні запити чи пакети даних відкидаються, що перешкоджає спілкуванню з потенційно небезпечними пристроями в Інтернеті. Якщо вхідний інтернет-трафік не має приватної IP-адреси для переадресації за межі шлюзу, брандмауер NAT знає, що трафік не вимагається, і його слід відкинути..
Комп’ютери та сервери в Інтернеті можуть бачити лише загальнодоступну IP-адресу маршрутизатора та жодну приватну IP-адресу конкретних пристроїв, наприклад телефонів, ноутбуків, смарт-телевізорів, пристроїв Інтернет-речей та ігрових консолей. Це також відоме як ІР маскування.
Як сказати, чи я за NAT брандмауером
Не впевнені, чи у вашому маршрутизаторі wifi ввімкнено брандмауер NAT? Спробуйте підключити два пристрої до тієї ж мережі Wi-Fi, як ноутбук та смартфон.
Тепер на кожному з них запустіть пошук Google щодо “що таке моя IP-адреса?”
Якщо ви бачите однакову IP-адресу для обох пристроїв, ви, мабуть, позаду брандмауера NAT. Ваші пристрої мають різні приватні (локальні) IP-адреси, але однакові загальнодоступні IP-адреси.
У VPN може бути складніше визначити, чи використовується брандмауер NAT, але зазвичай це можна дізнатися десь у документації провайдера VPN. У вас може бути можливість увімкнути або вимкнути NAT-брандмауер у налаштуваннях додатка VPN або придбати його як додатковий додатковий.
NAT брандмауери та VPN
VPN або віртуальна приватна мережа шифрує інтернет-трафік пристрою та спрямовує його через посередницький сервер у місце, яке вибирає користувач. Оскільки весь інтернет-трафік “тунельований” через VPN, перш ніж вийти до Інтернету, брандмауер NAT на вашому маршрутизаторі wifi не може розрізняти запитуваний і непотрібний трафік. Оскільки все зашифроване з сервера VPN, все виглядає так само, що робить брандмауер NAT брандмауера маршрутизатора.
З цієї причини багато VPN реалізують брандмауери NAT. Замість вашого маршрутизатора wifi фільтрує небажаний трафік, VPN-сервер робить це замість цього. Іноді NAT брандмауери є додатковим додатком, а іноді вони вбудовані у VPN за замовчуванням.
Не всі згодні з тим, що NAT брандмауери та VPN – це гарне поєднання.
Провайдери VPN зазвичай потрапляють в один з двох таборів: той, який використовує брандмауері NAT, і той, який використовує брандмауері PAT. Ми пояснимо останнє далі.
VPN, що використовує NAT-брандмауер, призначає кожному користувачеві унікальну приватну IP-адресу. Він розширює всі переваги NAT-брандмауера Wi-Fi, як обговорювалося вище, на ваше VPN-з’єднання.
Мінус полягає в тому, що, хоча ви захищені від небажаного спілкування, ваш пристрій може бути легше відслідковуватися постачальником VPN або третьою стороною.
Альтернативний спосіб – призначити однакову загальнодоступну IP-адресу всім користувачам VPN, підключеним до одного сервера, без унікальних приватних IP-адрес. Це додає значного рівня анонімності, оскільки активність в Інтернеті не може бути відстежена до окремої людини чи пристрою за IP-адресою.
ExpressVPN – один з постачальників, який сперечається проти брандмауерів NAT. Компанія каже, що використовує політику блокування портів замість NAT брандмауера:
“Сервери ExpressVPN запам’ятовують усі запити та транслюють їх з різних портів на сервері. Користувач отримує відповідь від ExpressVPN, але інші порти залишаються закритими. Утримання закритих портів захищає користувачів, як брандмауер ».
Переклад адреси порту
Багато систем, що називаються NAT брандмауерами, насправді є брандмауерами PAT. PAT означає Порт Аддресс Тпереслідування. Подібно до NAT, він дозволяє мережевому шлюзу з однією IP-адресою представляти багато комп’ютерів. Різниця полягає в тому, що кожному пристрою присвоюється номер порту замість приватної IP-адреси.
Коли мережевий шлюз отримує вихідну адресу від комп’ютера в мережі, він замінює зворотну адресу комп’ютера власною сумісною з Інтернетом адресою і в кінці присвоює номер порту. Потім шлюз робить запис у своїй таблиці перекладу, щоб він знав, що номер порту, який він використовував, являє собою певний комп’ютер у мережі.
Ця система дуже популярна, оскільки скорочує кількість IP-адрес в Інтернеті, якими повинна володіти компанія. Це також дуже хороша система для використання VPN-служб, оскільки весь трафік, що залишає шлюз VPN, матиме однакову зворотну адресу. Оскільки у багатьох службах VPN сотні клієнтів одночасно підключені до одного місця, неможливо відкрутити, від якого абонента кожен запит надходить..
NAT брандмауери та торрент
Оскільки брандмауэры NAT забороняють небажаному трафіку діставатись до пристроїв кінцевих користувачів, вони можуть спричинити проблеми під час торрентінгу. Перебуваючи позаду одного, ви, можливо, не зможете завантажити (насінні) файли для завантаження іншими користувачами торентів. І навпаки, ви не зможете підключитися до такої кількості однолітків, з яких ви можете завантажувати (п’явки) файли. NAT-брандмауер може відрізати вас від значної частини користувачів в рої торента. Те саме стосується брандмауерів PAT.
Однак, це не означає, що торрент торгів неможливо за допомогою брандмауера NAT. Більшість брандмауерів NAT сьогодні не настільки суворі, що значно впливають на ефективність завантаження чи завантаження. Ви можете знайти більш жорсткі брандмауери в громадських налаштуваннях, таких як готелі чи школи, але більшість домашніх маршрутизаторів та VPN-сервісів не обмежують торрент-розряди таким чином.
Якщо брандмауер NAT у вашій локальній мережі перешкоджає торентінгу, ви можете використовувати VPN, щоб обійти його. Нагадаємо, що оскільки весь вхідний трафік проходить через VPN та зашифровується, ваш локальний брандмауер NAT не може розрізняти запитуваний і непотрібний трафік. Навіть якщо VPN має власний брандмауер NAT, він, ймовірно, буде менш суворим, ніж той, що знаходиться у вашій приватній мережі.
Кілька VPN дозволяють налаштувати переадресацію портів, щоб обходити обмеження брандмауера NAT під час торрентінгу, але важливо зауважити, що це загрожує безпеці. Відкриваючи порти, ви вразливіші до атаки, і оскільки ви використовуєте спеціальний порт, ваш інтернет-трафік легше відрізнити від інших користувачів VPN. Це полегшує відстеження.
Переадресація портів також є загальною ознакою для торент-клієнтів, таких як uTorrent, але застосовуються ті самі ризики.
Найкращий VPN з NAT брандмауером: IPVanish
Доступні програми:
- ПК
- Мак
- IOS
- Android
- Linux
Веб-сайт: www.IPVanish.com
Гарантія повернення грошей: 7 ДНІВ
Усі IPVanish сервери використовують брандмауери NAT, щоб дозволити користувачам ділитися його загальнодоступними IP-адресами. Програми навіть дозволяють перемикати IP-адреси з тимчасовими інтервалами. Через брандмауер NAT ви не можете перенести прямий доступ до свого пристрою під час підключення. Для деяких це корисна запобіжна безпека. Для інших це перешкода. IPVanish говорить, що більшість користувачів не здійснюють порту вперед, і це не вплине.
Окрім NAT брандмауера, IPVanish – це якісний VPN із суворими стандартами безпеки та політикою без журналів. Ви можете одночасно підключити до 10 пристроїв, що вдвічі більше, ніж пропонує більшість VPN. IPVanish робить додатки для Windows, MacOS, iOS, Android та Amazon Fire TV.
НАЙКРАЩИЙ VPN З NAT ПОЖАРОЮ: Незважаючи на блокування переадресації портів, IPVanish був побудований з нуля, маючи на увазі торрент: швидкий та приватний. Він постачається з 7-денною гарантією повернення грошей.
Прочитайте наш повний огляд IPVanish.
Заняття: ВипрВПН
Доступні програми:
- ПК
- Мак
- IOS
- Android
- Linux
Веб-сайт: www.VyprVPN.com
Гарантія повернення грошей: 30 ДЕНЬ
ВипрВПН пропонує користувачам брандмауер NAT для захисту користувачів від хакерів, які в іншому випадку могли б дістатися до вашої системи через з’єднання, залишені вашими програмами. Крім того, ви можете вручну встановити, які порти використовуються протоколом OpenVPN. Якщо ви хочете по-справжньому налаштувати ваше VPN-з’єднання, то для вас може стати саме VyprVPN.
Компанія використовує сильне шифрування і не реєструє ідентифікаційну інформацію чи діяльність. Він володіє багатьма власними серверами та центрами обробки даних, які охоплюють близько 60 країн.
VyprVPN робить програми для Windows, MacOS, iOS та Android. Ви можете одночасно підключити до п’яти пристроїв.
NAT FIREWALL VPN: NAT-брандмауер VyprVPN та інші заходи безпеки працюють для забезпечення безпечного перегляду та завантаження з будь-якої точки світу. Ви можете перевірити це за допомогою 3-денної безкоштовної пробної версії.
Прочитайте наш повний огляд VyprVPN.
Кращий VPN без брандмауер NAT: ExpressVPN
Доступні програми:
- ПК
- Мак
- IOS
- Android
- Linux
Веб-сайт: www.ExpressVPN.com
Гарантія повернення грошей: 30 ДЕНЬ
ExpressVPN пропонує спільну послугу IP-адреси та додає заходи безпеки, використовуючи протокол OpenVPN з 256-бітним шифруванням AES. Обмін ключами AES захищений 4096-бітним шифруванням RSA, яке неможливо зламати.
ExpressVPN не зберігає жодних ідентифікаційних журналів, а торрент дозволяється на всіх серверах. Послуга швидка і включає доступ до тисяч серверів у 94 країнах. Він працює в Китаї і може використовуватися для розблокування багато географічно обмеженого вмісту на таких сайтах, як Netflix та Hulu.
ExpressVPN робить додатки для Windows, MacOS, iOS, Android, Linux, Amazon Fire TV та деяких маршрутизаторів Wi-Fi. Ви можете підключити до трьох пристроїв одночасно. Маршрутизатор вважається одним пристроєм незалежно від того, скільки пристроїв до нього підключено.
НАЙКРАЩИЙ VPN БЕЗ ПОЖАРУ: ExpressVPN – це преміальний VPN з надійною безпекою та деякими чудовими можливостями розблокування для завантаження. Він постачається з 30-денною гарантією повернення грошей.
Прочитайте наш повний огляд ExpressVPN.
Заняття: NordVPN
Доступні програми:
- ПК
- Мак
- IOS
- Android
- Linux
Веб-сайт: www.NordVPN.com
Гарантія повернення грошей: 30 ДЕНЬ
NordVPN використовує спільну модель IP-адреси, але в програмах доступно кілька виділених IP-адрес. Nord працює з вражаючими 5000+ серверами в більш ніж 60 країнах. Він дотримується суворої політики нульових журналів, і його програми настільки ж безпечні, наскільки вони отримують. Це також хороший вибір, якщо ви намагаєтесь розблокувати вміст, заблокований регіоном.
Для кількох серверів пропонується кілька альтернативних типів підключення. Сюди входять сервери, оптимізовані P2P, хоча торрент на будь-якому з них добре. Інші варіанти включають Tor над VPN та подвійний VPN.
NordVPN дозволяє до шести одночасних підключень і робить додатки для Windows, MacOS, iOS, Android, Linux та Amazon Fire TV.
NO NAT VPN: NordVPN пропонує величезну кількість високошвидкісних серверів та ряд різних типів підключення. Він постачається з 30-денною гарантією повернення грошей.
Прочитайте наш повний огляд NordVPN.
Обмеження NAT брандмауера
Не всі комп’ютери, що стоять за NAT-брандмауером, захищені від вірусів. У наш час хакерам доводиться обманювати користувачів комп’ютерів на встановлення троянців. Ці програми надсилатимуть запити на комп’ютер хакера. Оскільки вхідне повідомлення від хакера надсилається у відповідь на запит, що виник зсередини мережі, шлюз пропустить його.
Брандмауери NAT не захищають вас від фішинг-афери, коли ви отримуєте електронний лист від свого інтернет-банку, який повідомляє вам натиснути кнопку в електронній пошті, щоб підключитися до свого облікового запису. У цьому фокусі електронна пошта не від вашого банку, а від хакера, і коли ви входите у свій рахунок, ви просто вводите свої облікові дані на підроблену сторінку, створену хакером..
Брандмауер NAT не захистить вас від атаки “посередник”, в якій хакер, який працює з підробленою точкою доступу Wi-Fi, захоплює весь ваш трафік, представляючи сервери, до яких ви хочете підключитися..
Існує ще багато недоліків у безпеці будь-якого зв’язку, від якого брандмауери NAT не можуть захистити вас. Перевага використання VPN полягає в тому, що він розгортає безліч різних процедур безпеки, включаючи шифрування та сертифікати автентифікації, щоб не допустити дозволу або шпигування.
Як працює переклад IP-адрес
Якщо всі комп’ютери в мережі повинні були підключатися безпосередньо до Інтернету, то для кожного потрібна була б глобально унікальна IP-адреса. Однак більш поширеною конфігурацією є каналізація всього інтернет-зв’язку для всіх комп’ютерів у мережі через один шлюз. У цьому випадку всі комп’ютери потребують IP-адреси, які повинні бути унікальними лише в цій мережі.
Інші приватні мережі можуть використовувати ті самі адреси, але це не має значення, оскільки ці адреси будуть унікальними у відповідних мережах. Тільки IP-адреса шлюзу повинна бути унікальною у всьому Інтернеті.
Шлюз повинен відслідковувати всі комп’ютери приватної мережі, які надсилали запити через Інтернет. Коли відповідь надходить, шлюз шукає, який комп’ютер надіслав запит у своєму Таблиця перекладу мережевих адрес щоб він знав, куди переслати відповідь.
Коли комп’ютер у мережі надсилає запит серверу в Інтернеті, мережевий шлюз підміняє приватну мережеву адресу, записану в цих комунікаціях, унікальною Інтернет-адресою. Коли сеанс закінчиться, ця приватна адреса повертається до пулу і буде призначена іншому комп’ютеру. Таким чином, інтернет-адреси приватної мережі приховані, і ніхто зовні не може бути впевнений, який саме комп’ютер у мережі надіслав запит. Шлюз знає, оскільки він має запис у своїй таблиці перекладу мережевих адрес.
В кінці з’єднання, коли призначена адреса повертається до пулу, шлюз видаляє запис NAT для цієї адреси зі своєї таблиці перекладу.
Інші переваги NAT
Спочатку NAT не використовувався як брандмауер. Було придумано зробити мережі більш портативними, щоб не кожен пристрій потребував повторної адреси, якщо мережа рухалася. Лише NAT-пристрою (наприклад, маршрутизатору) потрібна нова загальнодоступна IP-адреса, тоді як усі підключені до нього пристрої можуть продовжувати використовувати ті ж приватні IP-адреси.
NAT зараз важливий, коли йдеться про збереження глобального адресного простору. Протокол IPv4, який визначає, як спілкуються всі пристрої в Інтернеті, має обмежену кількість доступних IP-адрес. Якби кожен пристрій, який підключається до Інтернету, потребував унікальної IP-адреси, ми незабаром закінчилися. Для підключення багатьох пристроїв у приватній мережі через один NAT-шлюз використовується лише одна IPv4-адреса.
IPv6 був придуманий, щоб врешті-решт замінити IPv4 значно більшим адресним простором, але прийняття пройшло повільно, тому NAT – дуже необхідний інструмент для забезпечення роботи Інтернету.
Графічні зображення:
- “CPT-NAT” [походить від] Miles J Pool, CC BY 4.0
- Yangliy в англійських Wikibooks [Public domain], через Wikimedia Commons (1), (2)