Co je NAT firewall a jak funguje?
V oblasti počítačových sítí znamená NAT N síť A šaty T ranslation. Jednoduše řečeno, NAT umožňuje mnoha zařízením v privátní síti sdílet jedno brána na internet. Na druhou stranu všechna tato zařízení budou mít stejné veřejnou IP adresu —to brány — a jedinečné soukromé IP adresy . Tyto brány se běžně vyskytují na wifi routerech a některých službách VPN. Například všechna zařízení připojená k wifi routeru s podporou NAT mají různé soukromé IP adresy, ale sdílejí veřejnou IP adresu routeru.
SKOK ROVNĚ NA: Nejlepší VPN s NAT Firewally
Když navštívíte webovou stránku, vaše zařízení odešle požadavek směrovači a identifikuje se svou soukromou IP adresou. Směrovač poté požadavek přeloží a předá jej serveru webové stránky se svou veřejnou IP adresou, přičemž si poznamená původní soukromou adresu. Server odpoví směrovači kopií webové stránky, kterou pak váš směrovač předá vašemu zařízení prostřednictvím soukromé IP adresy.
A firewall je vrstva ochrany, která zabraňuje nežádoucí komunikaci mezi zařízeními v síti, jako je internet.
A NAT firewall funguje tak, že internetový provoz umožňuje procházet bránou pouze v případě, že si to zařízení v privátní síti vyžádalo. Jakékoli nevyžádané požadavky nebo datové pakety jsou zahozeny, což brání komunikaci s potenciálně nebezpečnými zařízeními na internetu. Pokud příchozí internetový provoz nemá soukromou IP adresu, kterou by bylo možné přesměrovat za bránu, firewall NAT ví, že je provoz nevyžádaný a měl by být zahozen.
Počítače a servery na internetu vidí pouze veřejnou IP adresu routeru a žádnou ze soukromých IP adres konkrétních zařízení, jako jsou telefony, notebooky, chytré televizory, zařízení pro internet věcí a herní konzole. Toto je také známé jako IP maskování .
Jak zjistit, zda jsem za firewallem NAT
Nejste si jisti, zda váš wifi router má povolený NAT firewall? Zkuste připojit dvě zařízení ke stejné síti Wi-Fi, například notebook a smartphone.
Nyní na každém z nich spusťte vyhledávání Google „jaká je moje IP?“
Pokud vidíte stejnou IP adresu pro obě zařízení, pravděpodobně jste za firewallem NAT. Vaše zařízení mají různé soukromé (místní) IP adresy, ale stejnou veřejnou IP adresu.
U VPN může být obtížnější určit, zda se používá NAT firewall, ale obvykle to můžete zjistit někde v dokumentaci vašeho poskytovatele VPN. Můžete mít možnost povolit nebo zakázat bránu firewall NAT v nastavení aplikace VPN nebo si ji zakoupit jako volitelný doplněk.
NAT firewally a VPN
VPN, neboli virtuální privátní síť, šifruje internetový provoz zařízení a směruje jej přes zprostředkující server na místo, které si uživatel zvolí. Protože veškerý internetový provoz je „tunelován“ prostřednictvím VPN, než se dostane na internet, firewall NAT na vašem wifi routeru nedokáže rozlišit mezi požadovaným a nevyžádaným provozem. Protože vše přichází zašifrováno ze serveru VPN, vypadá to všechno stejně, takže firewall NAT vašeho routeru je zbytečný.
Z tohoto důvodu mnoho sítí VPN implementuje firewally NAT. Místo toho, aby váš wifi router odfiltroval nežádoucí provoz, udělá to server VPN. Někdy jsou brány firewall NAT volitelným příslušenstvím a někdy jsou ve výchozím nastavení zabudovány do sítí VPN.
Ne každý souhlasí s tím, že firewally NAT a VPN jsou dobrou kombinací.
Poskytovatelé VPN obvykle spadají do jednoho ze dvou táborů: ti, kteří používají firewally NAT, a ti, kteří používají firewally PAT. To poslední vysvětlíme níže.
VPN, která používá firewall NAT, přiděluje každému uživateli jedinečnou soukromou IP adresu. Rozšiřuje všechny výhody NAT firewallu wifi routeru, jak je uvedeno výše, na vaše připojení VPN.
Nevýhodou je, že i když jste chráněni před nechtěnou komunikací, poskytovatel VPN nebo třetí strana může vaše zařízení snadněji sledovat.
Alternativní metodou je přiřadit stejnou veřejnou IP adresu všem uživatelům VPN připojeným ke stejnému serveru, bez jedinečných privátních IP adres. To přidává významnou vrstvu anonymity, protože online aktivitu nelze vysledovat zpět k jednotlivé osobě nebo zařízení podle IP adresy.
ExpressVPN je jeden poskytovatel, který argumentuje proti firewallům NAT. Společnost říká, že místo NAT firewallu používá politiku blokování portů:
„Servery ExpressVPN si pamatují všechny požadavky a vysílají je z různých portů na serveru. Uživatel obdrží odpověď od ExpressVPN, ale ostatní porty zůstanou zavřené. Uzavření portů chrání uživatele stejně jako firewall.“
Překlad adresy portu
Mnoho systémů označovaných jako firewally NAT jsou ve skutečnosti firewally PAT. PAT znamená P umístění A šaty T ranslation. Podobně jako NAT umožňuje síťové bráně s jednou IP adresou reprezentovat mnoho počítačů. Rozdíl je v tom, že každému zařízení je místo privátní IP adresy přiděleno číslo portu.
Když síťová brána obdrží odchozí adresu z počítače v síti, nahradí zpáteční adresu počítače svou vlastní internetovou adresou a na konec připojí číslo portu. Brána poté provede záznam do své překladové tabulky, takže ví, že číslo portu, které použila, představuje konkrétní počítač v síti.
Tento systém je velmi populární, protože snižuje počet internetových IP adres, které společnost musí vlastnit. Je to také velmi dobrý systém pro použití služeb VPN, protože veškerý provoz opouštějící bránu VPN bude mít stejnou návratovou adresu. Vzhledem k tomu, že mnoho služeb VPN má stovky zákazníků připojených ke stejnému místu ve stejnou dobu, není možné zjistit, od kterého předplatitele každý požadavek přišel.
NAT firewally a torrenting
Protože brány firewall NAT zabraňují tomu, aby se nevyžádaný provoz dostal na zařízení koncových uživatelů, mohou způsobit potíže při torrentování. Zatímco jste za jedním, nemusíte být schopni nahrávat (seed) soubory pro ostatní uživatele torrentu ke stažení. Naopak se vám může stát, že se nebudete moci připojit k tolika peerům, od kterých si můžete stáhnout (pijavice) soubory. NAT firewall vás může odříznout od významné části uživatelů v torrentovém roji. Totéž platí pro firewally PAT.
To však neznamená, že torrentování je nemožné s firewallem NAT. Většina NAT firewallů v dnešní době není tak přísná, aby výrazně ovlivnila výkon stahování nebo nahrávání. Ve veřejných prostředích, jako jsou hotely nebo školy, můžete najít přísnější brány firewall, ale většina domácích směrovačů a služeb VPN neomezuje torrentování tímto způsobem.
Pokud vám firewall NAT ve vaší místní síti brání v torrentování, můžete jej obejít pomocí VPN. Připomeňme, že protože veškerý příchozí provoz prochází přes VPN a je šifrován, váš místní firewall NAT nedokáže rozlišit mezi vyžádaným a nevyžádaným provozem. I když má VPN svůj vlastní NAT firewall, bude pravděpodobně méně přísný než ten ve vaší privátní síti.
Několik sítí VPN vám umožňuje nastavit přesměrování portů, abyste při torrentování obcházeli omezení brány firewall NAT, ale je důležité si uvědomit, že to ohrožuje zabezpečení. Otevření portů vás zanechá zranitelnější vůči útokům, a protože používáte speciální port, váš internetový provoz lze snáze odlišit od ostatních uživatelů VPN. To vám usnadní sledování.
Přesměrování portů je také běžnou funkcí na torrentových klientech, jako je uTorrent, ale platí stejná rizika.
Nejlepší VPN s firewallem NAT: IPVanish
Dostupné aplikace:
- PC
- Mac
- IOS
- Android
- Linux
Webová stránka:www.IPVanish.com
Záruka vrácení peněz:30 DNÍ
VšechnoIPVanishservery používají firewally NAT, aby uživatelům umožnily sdílet jejich veřejné IP adresy. Aplikace vám dokonce umožňují přepínat IP adresy v časovaných intervalech. Vzhledem k bráně firewall NAT nemůžete při připojení k vašemu zařízení předávat porty. Pro některé je to užitečné bezpečnostní opatření. Pro ostatní je to překážka. IPVanish říká, že většina uživatelů neportuje dopředu a nebude ovlivněna.
Kromě NAT Firewallu je IPVanish kvalitní VPN s přísnými bezpečnostními standardy a zásadou bez protokolování. Můžete připojit až 10 zařízení najednou, což je dvojnásobek toho, co většina VPN nabízí. IPVanish vytváří aplikace pro Windows, MacOS, iOS, Android a Amazon Fire TV.
NEJLEPŠÍ VPN S FIREWALL NAT: Navzdory blokování přesměrování portů byl IPVanish od základů vytvořen s ohledem na torrentování: rychlé a soukromé. Dodává se se 7denní zárukou vrácení peněz.
Přečtěte si naši úplnou recenzi IPVanish.
Druhé místo: VyprVPN
Dostupné aplikace:
- PC
- Mac
- IOS
- Android
- Linux
Webová stránka:www.VyprVPN.com
Záruka vrácení peněz:30 DNÍ
VyprVPNnabízí uživatelům bránu firewall NAT k ochraně uživatelů před hackery, kteří by se jinak mohli dostat do vašeho systému prostřednictvím připojení, která vaše aplikace ponechají otevřená. Navíc můžete ručně nastavit, které porty používá protokol OpenVPN. Pokud si chcete opravdu přizpůsobit své připojení VPN, VyprVPN může být to pravé pro vás.
Společnost používá silné šifrování a nezaznamenává žádné identifikační informace ani aktivitu. Vlastní mnoho vlastních serverů a datových center, která pokrývají přibližně 60 zemí.
VyprVPN vytváří aplikace pro Windows, MacOS, iOS a Android. Můžete připojit až pět zařízení najednou.
NAT FIREWALL VPN: NAT firewall VyprVPN a další bezpečnostní opatření umožňují bezpečné procházení a stahování odkudkoli na světě. Můžete si to vyzkoušet pomocí 3denní bezplatné zkušební verze.
Přečtěte si naši úplnou recenzi VyprVPN.
Nejlepší VPN bez firewall NAT: ExpressVPN
Dostupné aplikace:
- PC
- Mac
- IOS
- Android
- Linux
Webová stránka:www.ExpressVPN.com
Záruka vrácení peněz:30 DNÍ
ExpressVPNnabízí službu sdílené IP adresy a přidává na bezpečnostních opatřeních pomocí protokolu OpenVPN s 256bitovým šifrováním AES. Výměna klíčů AES je chráněna 4096bitovým šifrováním RSA, které nelze prolomit.
ExpressVPN neukládá žádné identifikační protokoly a torrentování je povoleno na všech serverech. Služba je rychlá a zahrnuje přístup k tisícům serverů v 94 zemích. Funguje v Číně a lze jej použít k odblokování velkého množství geograficky omezeného obsahu na webech jako Netflix a Hulu.
ExpressVPN vytváří aplikace pro Windows, MacOS, iOS, Android, Linux, Amazon Fire TV a některé wifi routery. Můžete připojit až tři zařízení najednou. Router se počítá jako jedno zařízení bez ohledu na to, kolik zařízení je k němu připojeno.
NEJLEPŠÍ VPN BEZ FIREWALL: ExpressVPN je prémiová VPN s robustním zabezpečením a skvělými odblokovacími schopnostmi pro spuštění. Dodává se s 30denní zárukou vrácení peněz.
Přečtěte si naši úplnou recenzi ExpressVPN.
Druhé místo: NordVPN
Dostupné aplikace:
- PC
- Mac
- IOS
- Android
- Linux
- FireTV
Webová stránka:www.NordVPN.com
Záruka vrácení peněz:30 DNÍ
NordVPNpoužívá model sdílených IP adres, ale v aplikacích je k dispozici několik vyhrazených IP adres. Nord provozuje působivých 5 000+ serverů ve více než 60 zemích. Dodržuje přísné zásady nulových protokolů a jeho aplikace jsou tak bezpečné, jak jen mohou. To je také dobrá volba, pokud se pokoušíte odblokovat obsah uzamčený v oblasti.
Pro několik serverů je nabízeno několik alternativních typů připojení. Patří mezi ně servery optimalizované pro P2P, i když torrentování je na každém z nich v pořádku. Mezi další možnosti patří Tor over VPN a double VPN.
NordVPN umožňuje až šest současných připojení a vytváří aplikace pro Windows, MacOS, iOS, Android, Linux a Amazon Fire TV.
NAT VPN: NordVPN nabízí obrovské množství vysokorychlostních serverů a řadu různých typů připojení. Dodává se s 30denní zárukou vrácení peněz.
Přečtěte si naši úplnou recenzi NordVPN.
Omezení brány firewall NAT
Ne všechny počítače za firewallem NAT jsou imunní vůči virům. V dnešní době musí hackeři přimět uživatele počítačů k instalaci trojských koní. Tyto programy budou odesílat požadavky do počítače hackera. Protože příchozí zpráva od hackera je odeslána jako odpověď na požadavek, který pochází ze sítě, brána ji nechá projít.
Firewally NAT vás nechrání před phishingovými podvody, kdy od vaší online banky obdržíte e-mail s výzvou, abyste se připojili ke svému účtu stisknutím tlačítka v e-mailu. V tomto triku není e-mail od vaší banky, ale od hackera, a když se přihlásíte ke svému účtu, pouze zadáváte své přihlašovací údaje na falešnou stránku vytvořenou hackerem.
NAT firewall vás neochrání před útokem typu man-in-the-middle, při kterém hacker provozující falešný wifi hotspot zachycuje veškerý váš provoz tím, že se vydává za servery, ke kterým se chcete připojit.
V každém připojení je stále spousta bezpečnostních slabin, před kterými vás firewally NAT nemohou ochránit. Výhodou používání VPN je to, že nasazuje mnoho různých bezpečnostních postupů, včetně šifrovacích a ověřovacích certifikátů, které vám brání být podvedeni nebo špehování.
Jak funguje překlad IP adres
Pokud by se všechny počítače v síti připojovaly přímo k internetu, pak by každý z nich vyžadoval globálně jedinečnou IP adresu. Běžnější konfigurací je však směřovat veškerou internetovou komunikaci pro všechny počítače v síti přes jednu bránu. V tomto scénáři potřebují všechny počítače adresy IP, které musí být v dané síti jedinečné.
Jiné privátní sítě mohou používat stejné adresy, ale na tom nezáleží, protože každá z těchto adres bude v rámci svých příslušných sítí jedinečná. Pouze IP adresa brány musí být jedinečná v celém internetu.
Brána musí sledovat všechny počítače v privátní síti, které odeslaly požadavky přes internet. Když přijde odpověď, brána vyhledá, který počítač odeslal požadavek tabulka překladu síťových adres aby věděl, kam má odpověď předat.
Když počítač v síti odešle požadavek na server na internetu, síťová brána nahradí privátní síťovou adresu zapsanou v těchto komunikacích jedinečnou internetovou adresou. Po skončení relace se tato soukromá adresa vrátí do fondu a bude přiřazena jinému počítači. Internetové adresy v privátní síti jsou tedy skryté a nikdo zvenčí si nemůže být přesně jistý, který počítač v síti požadavek odeslal. Brána to ví, protože má záznam ve své tabulce překladu síťových adres.
Na konci připojení, když se přiřazená adresa vrátí do fondu, brána odstraní položku NAT pro tuto adresu ze své překladové tabulky.
Další výhody NAT
NAT nebyl původně určen k použití jako firewall. Byl vynalezen, aby byly sítě lépe přenosné, takže ne každé zařízení by muselo být znovu adresováno, pokud by se síť přesunula. Pouze zařízení NAT – jako je router – by vyžadovalo novou veřejnou IP adresu, zatímco všechna zařízení k němu připojená by mohla nadále používat stejné soukromé IP adresy.
NAT je nyní zásadní, pokud jde o zachování globálního adresního prostoru. Protokol IPv4, který určuje, jak všechna zařízení na internetu komunikují, má omezený počet dostupných IP adres. Pokud by každé zařízení, které se připojuje k internetu, vyžadovalo jedinečnou IP adresu, brzy by nám došla. Připojení mnoha zařízení v privátní síti prostřednictvím jediné brány NAT využívá pouze jednu adresu IPv4.
IPv6 byl vynalezen, aby nakonec nahradil IPv4 mnohem větším adresním prostorem, ale přijetí bylo pomalé, takže NAT je velmi nezbytným nástrojem pro udržení internetu v chodu.
Obrazové kredity:
- “ CPT-NAT ” [odvozeno z] Miles J Pool, CC BY 4.0
- anglické Wikibooks [Public domain], přes Wikimedia Commons (1) , (dva)