Pokud tomu celkem dobře rozumíte, nechápu, proč se ptáte na tak samozřejmé a banální věci. A proč do toho motáte veřejné adresy a privátní adresy nebo WAN a LAN, když NAT funguje pořád stejně, bez ohledu na typ adresy nebo rozhraní.
Tym zdrojovym (prip. maskarodou) NATom povolujeme internet do LAN siete (aby mali pocitace v LAN internet (aby sa k nim pakety dostali)).
Ne, nepovolujete tím internet do LAN sítě. SNATem přepisujete zdrojovou IP adresu odchozích paketů a cílovou IP adresu souvisejících příchozích paketů. SNAT se opravdu často používá v případě, kdy mám vnitřní síť s adresami, které nejsou ve vnější síti routovatelné, proto je router pomocí SNATu přepíše na routovatelné adresy. Ale nazývat to „povolím internet do sítě“ může uživatel, který o sítích vůbec nic neví, ne někdo, kdo o sobě chce tvrdit, že tomu docela dobře rozumí.
Cielovym NATom zase dovolujeme aby pakety mohly naviazovat aj spojenie z vonka na PC, ktore su za NATom (samozrejme ak pominiem stavovy firewall, ktory si uchovava stav odchodzich spojeni (je jasne, ze ak s poza NATu nieco niekde zaslem, tak ocakavam aj odpoved)).
DNAT zase jen přepisuje adresy v paketech, tentokrát přepisuje cílovou adresu v příchozích paketech a zdrojovou v souvisejících odchozích. Jeden z důvodů, proč se DNAT používá, je opravdu „protunelování“ provozu z vnější sítě do vnitřní sítě, která z té vnější sítě není routovatelná. Stavový firewall bych do toho netahal, pokud komunikaci zakážete na nestavovém firewallu, nebude procházet také. A pravda není ani to, že když pošlete něco z vnější sítě, očekáváte odpověď – např. když pošlete Wake on LAN paket, očekáváte, že se cílový počítač probudí, ale žádnou odpověď nedostanete.
Cize v kratkosti cielovy NAT preklada LAN IP adresu na urcitom porte na WAN IP adresu na urcitom porte.
Vůbec ne. Jednak NAT nemusí překládat ani mezi LAN a WAN – LAN a WAN jsou jen pomůcky, jak si označit sítě v situaci, kdy máte evidentně jednu místní síť která je přes router připojená do internetu. Ale můžete mít mnohem složitější topologie sítí, těch privátních sítí může být víc a mohou tvořit různé hierarchie.
A dále NAT (SNAT i DNAT) mohou zachovávat porty, mohou je měnit staticky (např. příchozí provoz na port 80 přesměrovat na port 8080) a mohou porty měnit dynamicky. Dynamická změna je typická u maškarády – pokud se dvě zařízení za SNATem rozhodnou navázat TCP/IP spojení na stejný server a stejný port (typicky jdou dva uživatelé na stejný web), a obě zařízení zvolí stejný zdrojový port, musí maškaráda alespoň jeden zdrojový port změnit. Kdyby to neudělala, budou mít obě spojení po průchodu SNATem stejnou čtveřici IP adres (zdrojové a cílové) a portů (zdrojového a cílového) – což ale nejde, protože tahle čtveřice jednoznačně identifikuje spojení, a cílový server by si myslel, že všechny pakety patří k jednomu spojení. Stejně tak by ten SNAT nedokázal u odpovědi určit, kterému z těch dvou zařízení je určená.
Ked ma zakaznik NAT 1:1 (pracujme s tymi IP adresami, ktore som dal ako priklad vyssie) tak si na svojom routery (NATe) preklada IP 192.168.0.111 na IP 10.10.10.10 (na urcitych portoch) a hotovo o nic viac sa nestara.
Dalsi preklad sa uz robi u ISP z 10.10.10.10 na nejaku verejnu IP.
Pravděpodobně myslíte případ, kdy ISP poskytuje zákazníkovi veřejnou IP adresu pomocí NATu 1:1. Protože podle toho vašeho popisu má zákazník NAT na svém routeru – dostává od ISP jen jednu IP adresu, takže zákazník na svém routeru dělá maškarádu, a pokud chce komunikaci z té jedné přidělené IP adresy posílat dál do své sítě, používá i DNAT.
A uz sa nechytajme za slovicka
Kdybyste tomu celkem dobře rozuměl, jak píšete, tak byste to bez přemýšlení psal správně. Ty mlhavé popisy jsou ale známkou toho, že tomu zas až tak dobře nerozumíte. Pokud tomu chcete porozumět, musí vám to někdo popsat dostatečně přesně.
Ale podla mna ISP neusetri ziadne verejne IP.
Zoberme si, ze ISP ma 10 zakaznikov a 10 volnych verejnych IPv4 adries. Tak kazdemu prideli jednu IPv4 aj ked ju zakaznik nepotrebuje a dokonca niektrory ani netusi co to IP adresa je.
Ak ma ISP vsetkych 10 zakaznikov technicky zdatnych a kazdy zakaznik striktne trva na verejnej IP adrese, tak kazdemu ju prideli a tiez to urobi bez NAT 1:1.
Podla mna by na verejnych IPv4 adresach usetril vtedy, ked by mal k dispozicii 10 verejnych IPv4 adries a zakaznikov by mal 20. Kazdy by chcel ale verejnu IPv4.
Verejnu IPv4 adresu by nedal nikomu, ale na ziadost by im otvaral porty ake by si zelali.
Prip by niektorym adresy pridelil a ostatnym by len otvaral porty. Tomu by sa uz dalo povedat NAT 1:1 (akurat tie porty by si zakaznici otvarali sami).
Je to tak ?
ISP ušetří veřejné IP adresy jednoduše tím, že jenom menšina zákazníků chce veřejnou IP adresu.
„Otevřením portu“ předpokládám myslíte to, že ISP přesměruje komunikaci protokolem TCP/IP nebo UDP na jedné konkrétní veřejné IP adrese a portu na IP adresu zákazníka. Ale různé porty nebo protokoly na jedné IP adrese může směrovat na různé zákazníky. Ano, tím ISP ušetří ještě víc veřejných adres, ale využití je omezené, protože ty porty určuje ISP. Pokud si takhle někdo bude chtít domů natáhnout VPN, jeden port určený ISP mu bude stačit. Ale pokud takhle někdo bude chtít provozovat třeba webový nebo poštovní server, byť třeba jen pro známé, bude chtít přesně porty 80 a 443 nebo port 25. A pokud takoví zákazníci budou dva, musí ISP stejně použít dvě IP adresy. Naštěstí snad ale nouze o IPv4 není tak velká, že by ISP běžně dělali jen přesměrování portů – a než nastane, bude už doufám dost rozšířené IPv6.