NAT 1:1 nebo veřejná IP adresa

[darebacik]

Vedel by mi niekto vysvetlit aky je rozdiel medzi normalnou verejnou IP a verejnou IP cez NAT 1:1 ?
Ako zistim, ci mam routovanu IP, alebo NAT 1:1.
Niekde som cital, ze ked ISP prideli zakaznikovy routovanu verejnu IP, tak na to minie 4 IP adresy

[Reklama]

[Filip Jirsák]

Když máte veřejnou IPv4 adresu, má ji přidělenu přímo vnější rozhraní vašeho routeru. Takže po drátě (nebo vzduchem) k tomu routeru doputuje paket, který má jako adresu cíle uvedenou přímo tu veřejnou adresu. Pokud máte NAT 1:1, vnější rozhraní vašeho routeru má nějakou IP adresu z privátních rozsahů a někde u poskytovatele je NAT, který příchozí pakety s tou „vaší“ veřejnou IP adresou změní – adresu cíle nastaví na tu privátní adresu vašeho routeru (a u odchozích paketů zase opačně).

Rozdíl je tedy v tom, že u NATu musí nějaké zařízení měnit procházející pakety, a musí vědět, jak je má změnit. U standardních hlaviček IP paketů to není problém, ale pokud by se ta IP adresa vyskytovala i někde uvnitř komunikace a NAT té komunikaci nerozuměl, IP adresu nenahradí – a nejspíš něco nebude fungovat. Rozdíl je také v tom, že když se nepoužije NAT, router (a aplikace na něm) znají tu veřejnou IP adresu, zatímco když se použije NAT, znají jenom tu privátní a nevědí, že z internetu je ten router dostupný pod jinou IP adresou.

Jak je to ve vašem případě zjistíte tak, že se podíváte,jakou IP adresu má nastavené vnější (WAN) rozhraní vašeho routeru.

Čtyři IP adresy by byly potřeba, pokud byste chtěl tu IP adresu routovat jako celou síť (adresa sítě – nepoužívá se, adresa brány, vaše adresa a broadcast adresa). Technicky pro to přidělení veřejné IPv4 adresy stačí ta jedna adresa (může být routovaná přes jinou síť), konkrétně ale závisí na tom, jak je možné váš router nakonfigurovat.

[mhi]

Technicky pro to přidělení veřejné IPv4 adresy stačí ta jedna adresa (může být routovaná přes jinou síť).

Jak by se to v Linuxu konkretne nastavilo bez FW/NATu ? Tedy tak abych na rozhrani mel skutecne tu jednu IP. Naroutovat nekde po ceste jednu IP (maska 255.255.255.255) asi nebude takovy orisek, jako zajistit aby Linux odesilal pres gateway z privatniho rozsahu jako zdroj tu verejnou IP a nehodil tam adresu spojovaci site.

[Filip Jirsák]

Jak by se to v Linuxu konkretne nastavilo bez FW/NATu ? Tedy tak abych na rozhrani mel skutecne tu jednu IP. Naroutovat nekde po ceste jednu IP (maska 255.255.255.255) asi nebude takovy orisek, jako zajistit aby Linux odesilal pres gateway z privatniho rozsahu jako zdroj tu verejnou IP a nehodil tam adresu spojovaci site.

To jsou tři různé dotazy :-) Typicky na tom rozhraní nebude jen jedna IP adresa, budou tam minimálně dvě – jedna z privátního rozsahu, ze kterého daný ISP přiděluje IP adresy všem. Pak druhá „navíc“ – ta veřejná IP adresa. Ale pokud byste chtěl mít na rozhraní skutečně jenom tu jednu veřejnou IP adresu, mělo by fungovat nastavit pro routu na bránu příznak onlink – podle něj jádro pozná, že i když adresa dalšího uzlu (nexthop) rozsahem nepatří do místní sítě, je přímo dostupná na daném síťovém rozhraní a jádro ji má normálně přes ARP přeložit. Pokud byste na tom rozhraní měl dva rozsahy, bude asi brána normálně součástí sítě toho privátního rozsahu a není tedy potřeba řešit nic zvláštního.
Další věc je, že pro tu veřejnou IP adresu musíte mít opravdu uvedenou jenom tu IP adresu na rozhraní, nebude k ní žádná routa sítě.
Třetí věc je to, aby odchozí pakety měly nastavenou veřejnou IP adresu i v případě, kdy na rozhraní bude ještě ta IP adresa z privátního rozsahu. Pomocí parametru src u příkazu ip route (když budete definovat bránu) můžete určit, která IP adresa se má použít jako zdrojová, pokud to neurčí aplikace.
Takže u toho typického případu, kdy budete mít na WAN „standardní“ privátní rozsah a navíc tu veřejnou IP adresu přidáte na rozhraní tu veřejnou IP adresu (bez routy), dál přidáte tu privátní IP adresu a její routu a nastavíte výchozí bránu, která bude mít nexthop z té privátní sítě a jako src bude mít veřejnou IP adresu.

[darebacik]

Když máte veřejnou IPv4 adresu, má ji přidělenu přímo vnější rozhraní vašeho routeru. Takže po drátě (nebo vzduchem) k tomu routeru doputuje paket, který má jako adresu cíle uvedenou přímo tu veřejnou adresu. Pokud máte NAT 1:1, vnější rozhraní vašeho routeru má nějakou IP adresu z privátních rozsahů a někde u poskytovatele je NAT, který příchozí pakety s tou „vaší“ veřejnou IP adresou změní – adresu cíle nastaví na tu privátní adresu vašeho routeru (a u odchozích paketů zase opačně).

Rozdíl je tedy v tom, že u NATu musí nějaké zařízení měnit procházející pakety, a musí vědět, jak je má změnit. U standardních hlaviček IP paketů to není problém, ale pokud by se ta IP adresa vyskytovala i někde uvnitř komunikace a NAT té komunikaci nerozuměl, IP adresu nenahradí – a nejspíš něco nebude fungovat. Rozdíl je také v tom, že když se nepoužije NAT, router (a aplikace na něm) znají tu veřejnou IP adresu, zatímco když se použije NAT, znají jenom tu privátní a nevědí, že z internetu je ten router dostupný pod jinou IP adresou.

Jak je to ve vašem případě zjistíte tak, že se podíváte,jakou IP adresu má nastavené vnější (WAN) rozhraní vašeho routeru.

Čtyři IP adresy by byly potřeba, pokud byste chtěl tu IP adresu routovat jako celou síť (adresa sítě – nepoužívá se, adresa brány, vaše adresa a broadcast adresa). Technicky pro to přidělení veřejné IPv4 adresy stačí ta jedna adresa (může být routovaná přes jinou síť), konkrétně ale závisí na tom, jak je možné váš router nakonfigurovat.

Ja mam verejnu IP. Znamy, moze od poskytovatela dostat verejnu IP zdarma, ale je to NAT 1:1.
To znamena, ze na svojom modeme/routery bude mat na WAN strane nejaku privatnu od poskytovatela a NATovat bude poskytovatel?
Ako si potom namapuje (otvori) konkretny port do internetu ?
Povedzme ze od poskytovatela dostane na wan 10.10.10.10
LAN bude mat napr. 192.168.0.0/24.
Cize urobi klasicky NAT z nejakej LAN ip na WAN IP (10.10.10.10)?

Kedze ja mam verejnu, tak NAT robim klasicky napr. pre https

Kód: [Vybrat]

add action=dst-nat chain=dstnat dst-port=443 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.111 to-ports=443

[Reklama]

[Filip Jirsák]

To znamena, ze na svojom modeme/routery bude mat na WAN strane nejaku privatnu od poskytovatela a NATovat bude poskytovatel?

Ano.

Ako si potom namapuje (otvori) konkretny port do internetu ?

Nenamapuje si ho nijak, to dělá ISP. Otevře ten port tak, že normálně otevře port na té IP adrese, na kterou ISP NATuje. Když tam bude chtít mít třeba HTTPS server na portu 443, prostě ho nechá naslouchat na adrese 10.10.10.10 na portu 443. Když přijde paket navazující spojení na veřejnou IP adresu a port 443, NAT ISP přeloží tu IP adresu na 10.10.10.10 a pošle ji na ten router.
Pokud by nechtěl mít ten server přímo na routeru, ale někde ve své síti, kterou má ještě za NATem toho routeru, bude postupovat stejně – udělá si NAT z 10.10.10.10:443 na tu adresu a port ve své síti. Tedy tak jak to popisujete – nevím, co je to za zápis kódu, ale plus mínus to odpovídá parametrům příkazu iptables a bylo by to tak správně.

[darebacik]

To je zapis z mikrotik.
To znamena, ze pre klienta, ktory ma IP cez NAT 1:1 a v sieti poskytovatela ma voci internetu privatnu adresu (napr. ako som uz spomenul 10.10.10..10), tak sa k nej sprava ako keby bola verejna ?
Aky ma potom vyznam NAT 1:1. Akurat, ked ma za routerom stroj, ktory chce vystrcit na nejakom porte do internetu, taksa to musi 2x prekladat.
Dalej som cital, ze NAT 1:1 setri verejne IPv4. Neviem si predstavit ako ich setri, ked stejne ju klientvy prideli, akurat ju musi zNATovat.
Ma z NAT 1:1 ISP nejake vyhody ?

[Filip Jirsák]

To znamena, ze pre klienta, ktory ma IP cez NAT 1:1 a v sieti poskytovatela ma voci internetu privatnu adresu (napr. ako som uz spomenul 10.10.10..10), tak sa k nej sprava ako keby bola verejna ?

Nevím, co tím myslíte. Internet vznikl s tou myšlenkou, že každé zařízení v internetu bude moci komunikovat s kterýmkoli jiným zařízením. Proto ta zařízení mají unikátní IP adresy. Pak ale začal být nedostatek IPv4 adres a začal se používat NAT, kdy máte jedno zařízení, které je normálně dostupné z internetu, a to pomocí překladu adres zprostředkovává komunikaci i zařízením, která jsou k němu připojená, ale která nemají unikátní IPv4 adresy a nejsou tedy z internetu přímo dostupná. Těm normálním IPv4 adresám používaným v internetu se dnes říká „veřejné IP adresy“, a rozsahům adres, které jsou vyčleněné pro použití v privátních sítích, nejsou tedy dostupné z internetu a mohou (a jsou) být duplicitní se říká „privátní/soukromé IP adresy“.

Aky ma potom vyznam NAT 1:1.

Myslíte proč ISP zpřístupňuje cílovému uživateli veřejnou IPv4 adresu prostřednictvím NAT 1:1? Protože to funguje s libovolným zařízením na straně cílového uživatele. Může to být sebehloupější router, ale nastavit přes DHCP IPv4 adresu, masku sítě a bránu bude umět. S tím nastavováním jedné routované veřejné IPv4 adresy byste u nějakých krabiček za 50 Kč asi nepochodil, a vyplýtvat kvůli takové hloupé krabičce 4 veřejné IPv4 adresy se ISp asi nechce.

Akurat, ked ma za routerom stroj, ktory chce vystrcit na nejakom porte do internetu, taksa to musi 2x prekladat.

To ale nijak nesouvisí s NATem 1:1, ale s tím, že vám ISP poskytne jenom jednu adresu ze své sítě a vy si tak musíte řešit NAT na svém routeru pro svou síť. Normální by bylo, že vám ISP poskytne tolik adres, kolik potřebujete – zvlášť když používá privátní adresy, kterých může použít, kolik chce.

Dalej som cital, ze NAT 1:1 setri verejne IPv4. Neviem si predstavit ako ich setri, ked stejne ju klientvy prideli, akurat ju musi zNATovat.

No dalo by se říct, že NAT 1:1 šetří veřejné IPv4 adresy tím, že ISP nedává veřejnou IPv4 adresu každému, ale jenom tomu, kdo si o ní řekne (případně ji zaplatí).

Ma z NAT 1:1 ISP nejake vyhody ?

Díky NATu může ISP připojit víc klientů, i když nemá dost veřejných IPv4 adres. Díky NATu 1:1 pak může zpřístupnit veřejnou IPv4 adresu tomu, kdo o ni požádá, a zároveň nemusí ISP řešit, jak moc hloupý router zákazník má.

[darebacik]

Uz sa do toho dost zamotavame a nechcem to zamotat este viac.

Ako si potom namapuje (otvori) konkretny port do internetu ?

Nenamapuje si ho nijak, to dělá ISP. Otevře ten port tak, že normálně otevře port na té IP adrese, na kterou ISP NATuje. Když tam bude chtít mít třeba HTTPS server na portu 443, prostě ho nechá naslouchat na adrese 10.10.10.10 na portu 443. Když přijde paket navazující spojení na veřejnou IP adresu a port 443, NAT ISP přeloží tu IP adresu na 10.10.10.10 a pošle ji na ten router.
Pokud by nechtěl mít ten server přímo na routeru, ale někde ve své síti, kterou má ještě za NATem toho routeru, bude postupovat stejně – udělá si NAT z 10.10.10.10:443 na tu adresu a port ve své síti. Tedy tak jak to popisujete – nevím, co je to za zápis kódu, ale plus mínus to odpovídá parametrům příkazu iptables a bylo by to tak správně.

Uvadzas, ze NAT ISP ju prelozi (cize je tam NAT).
Na routery vacsinou nemas web server, takze ty musis u seba robit dalsi NAT z 10.10.10.10 na 192.168.1.x (cize je to druhy NAT)
Ano ak potrebujes spristupnit nieco na routery, tak nerobis NAT, ale vo vacsine pripadov robis NAT, lebo spristupnujes zariadnia za routerom.

To znamena, ze pre klienta, ktory ma IP cez NAT 1:1 a v sieti poskytovatela ma voci internetu privatnu adresu (napr. ako som uz spomenul 10.10.10..10), tak sa k nej sprava ako keby bola verejna ?

Nevím, co tím myslíte. Internet vznikl s tou myšlenkou, že každé zařízení v internetu bude moci komunikovat s kterýmkoli jiným zařízením. Proto ta zařízení mají unikátní IP adresy. Pak ale začal být nedostatek IPv4 adres a začal se používat NAT, kdy máte jedno zařízení, které je normálně dostupné z internetu, a to pomocí překladu adres zprostředkovává komunikaci i zařízením, která jsou k němu připojená, ale která nemají unikátní IPv4 adresy a nejsou tedy z internetu přímo dostupná. Těm normálním IPv4 adresám používaným v internetu se dnes říká „veřejné IP adresy“, a rozsahům adres, které jsou vyčleněné pro použití v privátních sítích, nejsou tedy dostupné z internetu a mohou (a jsou) být duplicitní se říká „privátní/soukromé IP adresy“.

Myslel som to tak ako som to napisal. Ja mam od poskytovatela verejnu IPv4 a nat robim takto

Kód: [Vybrat]

add action=dst-nat chain=dstnat dst-port=443 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.111 to-ports=443Ked by som mal NAT 1:1 tak NAT robim tak isto. Akurat ja robim NAT na pppoe (kde mam verejnu IPv4).
Ten co ma NAT 1:1 tak to robi tak isto

Kód: [Vybrat]

add action=dst-nat chain=dstnat dst-port=443 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.111 to-ports=443akurat na pppoe bude mat tu 10.10.10.10 (pokial teda bude mat pppoe (ak nie tak tam bude mat interface s IP adresou 10.10.10.10).
Cize myslel som to tak, ze ked ja mam na svojom pppoe interface verejnu a ten co ma NAT 1:1 ma na svojom interface neverejnu, tak to jeho NAT pravidlo bude totozne s mojim.
Z toho vypliva, ze on sa k svojej IP 10.10.10.10 sprava z pohladu nastavenia NATu ako ku verejnej IP.

[Filip Jirsák]

Uvadzas, ze NAT ISP ju prelozi (cize je tam NAT).

Ptal jste se na situaci, kdy ISP používá NAT 1:1 pro veřejné IP adresy. Když má ISP dostatek IP adres, žádný NAT samozřejmě být nemusí a ani nebude, ISP nemá důvod komplikovat si život.

Na routery vacsinou nemas web server, takze ty musis u seba robit dalsi NAT z 10.10.10.10 na 192.168.1.x (cize je to druhy NAT)
Ano ak potrebujes spristupnit nieco na routery, tak nerobis NAT, ale vo vacsine pripadov robis NAT, lebo spristupnujes zariadnia za routerom.

Nikoli. Zpřístupnit zařízení v interní síti do internetu je zákalní vlastností internetových protokolů a žádný NAT k tomu potřeba není. NAT je potřeba jenom tehdy, když máte méně IP adres než je zařízení, kterým IP adresu potřebujete přidělit. teprve když nastane tenhle případ, použijete NAT, pomocí kterého schováte víc zařízení za jednu IP adresu.

Z toho vypliva, ze on sa k svojej IP 10.10.10.10 sprava z pohladu nastavenia NATu ako ku verejnej IP.

NAT je překlad síťových adres, překládají se z jednoho rozsahu do jiného. Jestli je nějaká adresa z veřejného rozsahu nebo z privátního rozsahu je úplně jedno. Je to prostě pravidlo, které říká  např.: „Když je v hlavičce příchozí paketu cílová adresa 192.168.1.1, přepiš ji na 192.168.10.3.“ Nic jiného v tom z pohledu administrace není (z pohledu implementace se musí ošetřit, aby se správně přepisovaly všechny pakety, které k sobě patří – když je NAT 1:N nebo M:N, mohou se měnit i čísla portů, a implementace NATu si musí pamatovat, která kombinace IP adres a portů na jedné straně odpovídá které kombinaci na druhé straně).

[darebacik]

dik za rozpisanie problematiky, ja vsak tomu rozumiem celkom dobre, len som nevedel ako sa implementuje verejna IP adresa zakaznikovy cez NAT 1:1.
Uz v tvojom prvom prispevku si uviedol

Kód: [Vybrat]

Internet <--->ISP-NAT_1:1<--->wan_zakaznicky_router_privatna_napr_10.10.10.10.<->lan_ina_privatna_192.168.0.0/24<--->server_192.168.0.111
Ano dobre si napisal, ze za NATom sa moze skryvat dalsia privatna siet (a tak sa usetri spustu verejnych IPv4). NAT je source (zdrojovy) a destination (cielovy). Tym zdrojovym (prip. maskarodou) NATom povolujeme internet do LAN siete (aby mali pocitace v LAN internet (aby sa k nim pakety dostali)).
Cielovym NATom zase dovolujeme aby pakety mohly naviazovat aj spojenie z vonka na PC, ktore su za NATom (samozrejme ak pominiem stavovy firewall, ktory si uchovava stav odchodzich  spojeni (je jasne, ze ak s poza NATu nieco niekde zaslem, tak ocakavam aj odpoved)).

Cize v kratkosti cielovy NAT preklada LAN IP adresu na urcitom porte na WAN IP adresu na urcitom porte.

Ked ma zakaznik NAT 1:1 (pracujme s tymi IP adresami, ktore som dal ako priklad vyssie) tak si na svojom routery (NATe) preklada IP 192.168.0.111 na IP 10.10.10.10 (na urcitych portoch) a hotovo o nic viac sa nestara.
Dalsi preklad sa uz robi u ISP z 10.10.10.10 na nejaku verejnu IP.

A uz sa nechytajme za slovicka

[Filip Jirsák]

Pokud tomu celkem dobře rozumíte, nechápu, proč se ptáte na tak samozřejmé a banální věci. A proč do toho motáte veřejné adresy a privátní adresy nebo WAN a LAN, když NAT funguje pořád stejně, bez ohledu na typ adresy nebo rozhraní.

Tym zdrojovym (prip. maskarodou) NATom povolujeme internet do LAN siete (aby mali pocitace v LAN internet (aby sa k nim pakety dostali)).

Ne, nepovolujete tím internet do LAN sítě. SNATem přepisujete zdrojovou IP adresu odchozích paketů a cílovou IP adresu souvisejících příchozích paketů. SNAT se opravdu často používá v případě, kdy mám vnitřní síť s adresami, které nejsou ve vnější síti routovatelné, proto je router pomocí SNATu přepíše na routovatelné adresy. Ale nazývat to „povolím internet do sítě“ může uživatel, který o sítích vůbec nic neví, ne někdo, kdo o sobě chce tvrdit, že tomu docela dobře rozumí.

Cielovym NATom zase dovolujeme aby pakety mohly naviazovat aj spojenie z vonka na PC, ktore su za NATom (samozrejme ak pominiem stavovy firewall, ktory si uchovava stav odchodzich  spojeni (je jasne, ze ak s poza NATu nieco niekde zaslem, tak ocakavam aj odpoved)).

DNAT zase jen přepisuje adresy v paketech, tentokrát přepisuje cílovou adresu v příchozích paketech a zdrojovou v souvisejících odchozích. Jeden z důvodů, proč se DNAT používá, je opravdu „protunelování“ provozu z vnější sítě do vnitřní sítě, která z té vnější sítě není routovatelná. Stavový firewall bych do toho netahal, pokud komunikaci zakážete na nestavovém firewallu, nebude procházet také. A pravda není ani to, že když pošlete něco z vnější sítě, očekáváte odpověď – např. když pošlete Wake on LAN paket, očekáváte, že se cílový počítač probudí, ale žádnou odpověď nedostanete.

Cize v kratkosti cielovy NAT preklada LAN IP adresu na urcitom porte na WAN IP adresu na urcitom porte.

Vůbec ne. Jednak NAT nemusí překládat ani mezi LAN a WAN – LAN a WAN jsou jen pomůcky, jak si označit sítě v situaci, kdy máte evidentně jednu místní síť která je přes router připojená do internetu. Ale můžete mít mnohem složitější topologie sítí, těch privátních sítí může být víc a mohou tvořit různé hierarchie.
A dále NAT (SNAT i DNAT) mohou zachovávat porty, mohou je měnit staticky (např. příchozí provoz na port 80 přesměrovat na port 8080) a mohou porty měnit dynamicky. Dynamická změna je typická u maškarády – pokud se dvě zařízení za SNATem rozhodnou navázat TCP/IP spojení na stejný server a stejný port (typicky jdou dva uživatelé na stejný web), a obě zařízení zvolí stejný zdrojový port, musí maškaráda alespoň jeden zdrojový port změnit. Kdyby to neudělala, budou mít obě spojení po průchodu SNATem stejnou čtveřici IP adres (zdrojové a cílové) a portů (zdrojového a cílového) – což ale nejde, protože tahle čtveřice jednoznačně identifikuje spojení, a cílový server by si myslel, že všechny pakety patří k jednomu spojení. Stejně tak by ten SNAT nedokázal u odpovědi určit, kterému z těch dvou zařízení je určená.

Ked ma zakaznik NAT 1:1 (pracujme s tymi IP adresami, ktore som dal ako priklad vyssie) tak si na svojom routery (NATe) preklada IP 192.168.0.111 na IP 10.10.10.10 (na urcitych portoch) a hotovo o nic viac sa nestara.
Dalsi preklad sa uz robi u ISP z 10.10.10.10 na nejaku verejnu IP.

Pravděpodobně myslíte případ, kdy ISP poskytuje zákazníkovi veřejnou IP adresu pomocí NATu 1:1. Protože podle toho vašeho popisu má zákazník NAT na svém routeru – dostává od ISP jen jednu IP adresu, takže zákazník na svém routeru dělá maškarádu, a pokud chce komunikaci z té jedné přidělené IP adresy posílat dál do své sítě, používá i DNAT.

A uz sa nechytajme za slovicka

Kdybyste tomu celkem dobře rozuměl, jak píšete, tak byste to bez přemýšlení psal správně. Ty mlhavé popisy jsou ale známkou toho, že tomu zas až tak dobře nerozumíte. Pokud tomu chcete porozumět, musí vám to někdo popsat dostatečně přesně.

Ale podla mna ISP neusetri ziadne verejne IP.
Zoberme si, ze ISP ma 10 zakaznikov a 10 volnych verejnych IPv4 adries. Tak kazdemu prideli jednu IPv4 aj ked ju zakaznik nepotrebuje a dokonca niektrory ani netusi co to IP adresa je.
Ak ma ISP vsetkych 10 zakaznikov technicky zdatnych a kazdy zakaznik striktne trva na verejnej IP adrese, tak kazdemu ju prideli a tiez to urobi bez NAT 1:1.
Podla mna by na verejnych IPv4 adresach usetril vtedy, ked by mal k dispozicii 10 verejnych IPv4 adries a zakaznikov by mal 20. Kazdy by chcel ale verejnu IPv4.
Verejnu IPv4 adresu by nedal nikomu, ale na ziadost by im otvaral porty ake by si zelali.
Prip by niektorym adresy pridelil a ostatnym by len otvaral porty. Tomu by sa uz dalo povedat NAT 1:1 (akurat tie porty by si zakaznici otvarali sami).
Je to tak ?

ISP ušetří veřejné IP adresy jednoduše tím, že jenom menšina zákazníků chce veřejnou IP adresu.

„Otevřením portu“ předpokládám myslíte to, že ISP přesměruje komunikaci protokolem TCP/IP nebo UDP na jedné konkrétní veřejné IP adrese a portu na IP adresu zákazníka. Ale různé porty nebo protokoly na jedné IP adrese může směrovat na různé zákazníky. Ano, tím ISP ušetří ještě víc veřejných adres, ale využití je omezené, protože ty porty určuje ISP. Pokud si takhle někdo bude chtít domů natáhnout VPN, jeden port určený ISP mu bude stačit. Ale pokud takhle někdo bude chtít provozovat třeba webový nebo poštovní server, byť třeba jen pro známé, bude chtít přesně porty 80 a 443 nebo port 25. A pokud takoví zákazníci budou dva, musí ISP stejně použít dvě IP adresy. Naštěstí snad ale nouze o IPv4 není tak velká, že by ISP běžně dělali jen přesměrování portů – a než nastane, bude už doufám dost rozšířené IPv6.

[darebacik]

Ne, nepovolujete tím internet do LAN sítě. SNATem přepisujete zdrojovou IP adresu odchozích paketů a cílovou IP adresu souvisejících příchozích paketů. SNAT se opravdu často používá v případě, kdy mám vnitřní síť s adresami, které nejsou ve vnější síti routovatelné, proto je router pomocí SNATu přepíše na routovatelné adresy. Ale nazývat to „povolím internet do sítě“ může uživatel, který o sítích vůbec nic neví, ne někdo, kdo o sobě chce tvrdit, že tomu docela dobře rozumí.

Fakt uz nechcem byt hnusny, ale velmi sa za slovicka chytas, ale neskutocne. Od kedy SNAT nieco prepisuje. Podla mna SNAT/DNAT preklada.
Ja som napisal ze povoluje, ty si napisal, ze prepisuje ale doslovne IP adresy PREKLADA

Viac mi uz k mojej pvodnej otazke stacilo, dik

[Filip Jirsák]

Fakt uz nechcem byt hnusny

No tak nebuďte. To, že něco nevíte, není nic špatného, žádný učený z nebe nespadl. Ale když něco chcete vědět, v dotazu napíšete něco nepřesně nebo zavádějícím způsobem, a někdo vás opraví, máte dvě možnosti – buď můžete být rád, že jste se dozvěděl něco nového, nebo se rozčilovat, že vás někdo chytá za slovíčka.

ale velmi sa za slovicka chytas, ale neskutocne.

Nikoli, jenom opravuju vaše chyby, ze kterých pak pramení to, že v tom máte zmatek.

Od kedy SNAT nieco prepisuje.

Odjakživa. NAT funguje tak, že vezme IP paket a přepíše v něm zdrojovou a/nebo cílovou IP adresu. Případně, pokud je to TCP nebo UDP paket, může také přepsat zdrojový a/nebo cílový port. A přepočítá kontrolní součty.

Podla mna SNAT/DNAT preklada.

Ano, logikou té funkce je překlad, to také značí to „T“ v té zkratce. Ale ten překlad je realizován pomocí přepisování údajů (adres případně portů) v paketu. V naší diskusi tedy můžete používat jak „překlad“ tak „přepis“, obojí je správně.

Ja som napisal ze povoluje, ty si napisal, ze prepisuje ale doslovne IP adresy PREKLADA

Tohle je slovíčkaření. Protože NAT adresy překládá i přepisuje, konkrétně je překládá přepisováním, takže oba ty výrazy jsou správné. „Povoluje“ je ale špatně, NAT nic nepovoluje.

[Ħαℓ₸℮ℵ ␏⫢ ⦚ »]

No dalo by se říct, že NAT 1:1 šetří veřejné IPv4 adresy tím, že ISP nedává veřejnou IPv4 adresu každému, ale jenom tomu, kdo si o ní řekne (případně ji zaplatí).

To ale jde udělat tím že tu veřejnou  adresu dostane přímo. Ti, kteří nechtějí veřejnou, budou za 1:N Natem.
Pak jedinou výhodu vidím v tom, že pomocí DHCP cílové zařízení "dostane" IP adresu (privátní 10.10...) na stříbrném talíři.  (místo toho, aby si sám nastavil  (v atyp. případě že na zástrčce je rovnou daný PC) na klientském PC ručně tu veřejnou IP Jakou si má nastavit pak masku a gateway? Trochu divný dotaz s tou gateway . // vpřípadě, že na zástrčce je router, nastavitk klasicky novou síť s gateway veřejné IP).

Dotaz: To není možné přes dhcp mu dát veřejnou adresu např 88.32.11.240, subnet 255.255.255.255? Tam vzniká ten problém se 4 IP adresami (v host části bity 0=adresa sítě, bity 1, nejnižší binární kombinace 4 prvky: 00=síť, 01,10=klienti, 11=broadcast), to v IP protokolu není vyjímka, že maska FF.FF.FF.FF  je vždy jeden PC a na adresu sítě a broadcast se nehraje?

Pozorování: Například já mám na routeru vnitřní IP 10.100.100.1 (dle routing table routeru, dál přiděluje 192.168.FF.FF), vnější například 47.21.222.144.. tipuji, že takto to má každý zákazník toho ISP (a né že by měli 10.100.*.*). Možná se do toho míchá PPPoE, tomu moc nerozumím.
Odbočka: jak je to udělané, když chtějí komunikovat zákazníci stejného ISP mezi sebou? Tedy když mají stejnou IP 10.100.100.1.
... Klíčová otázka je, kdy probíhá překlad na 47.21.222.144 (myslel jsem že když paket jde mimo síť operátora),  ale probíhá tam ještě nějaký další překlad (aby s sebou mohli komunikovat 2 klienta téhož ISP a aby měly jinou IP než oba 10.100.100.1)?


Poznámka : někteří nerdi říkají forwardovací tabulka