এনএটি / পোর্ট ফরওয়ার্ডিং / টিসিপি / আইপি কীভাবে কাজ করে?

আমি সম্প্রতি এনএটি কীভাবে কাজ করে শিরোনামে একটি নিবন্ধ পড়েছিলাম । কিছু জিনিস এখনও আমার কাছে অস্পষ্ট রয়ে গেছে। কেউ যদি ব্যাখ্যা করতে পারে তবে আমি কৃতজ্ঞ হব।

ডায়নামিকনাট সম্পর্কিত নিবন্ধের অংশটির নীচে যা সবচেয়ে বিভ্রান্তিকর:

স্টাব ডোমেনের একটি কম্পিউটার নেটওয়ার্কের বাইরের কোনও কম্পিউটারের সাথে সংযুক্ত হওয়ার চেষ্টা করে, যেমন একটি ওয়েব সার্ভার।

রাউটারটি স্টাব ডোমেনে কম্পিউটার থেকে প্যাকেটটি গ্রহণ করে। রাউটার কম্পিউটারের অ-রাউটেবল আইপি ঠিকানাটিকে একটি ঠিকানা অনুবাদ টেবিলে সংরক্ষণ করে। রাউটারটি প্রাপ্য কম্পিউটারের অ-রাউটেবল আইপি অ্যাড্রেসটিকে অনন্য আইপি অ্যাড্রেসের বাইরে থাকা প্রথম উপলব্ধ আইপি ঠিকানার সাথে প্রতিস্থাপন করে। অনুবাদ টেবিলটিতে এখন কম্পিউটারের অ-রাউটেবল আইপি ঠিকানার একটি ম্যাপিং রয়েছে যা অনন্য আইপি অ্যাড্রেসের একটিতে মিলেছে।

গন্তব্য কম্পিউটার থেকে যখন কোনও প্যাকেট ফিরে আসে, রাউটারটি প্যাকেটের গন্তব্য ঠিকানাটি পরীক্ষা করে। এটি প্যাকেটটি স্টাব ডোমেনের কোন কম্পিউটারের অন্তর্গত তা দেখতে অ্যাড্রেস অনুবাদ টেবিলটি দেখায়।

1) NAT কীভাবে জানতে পারে যে গন্তব্য কম্পিউটারে প্যাকেটটি "ফিরে আসে"?

2) ল্যানের অন্যান্য কম্পিউটারগুলি যদি একই সার্ভারের সাথে সংযুক্ত থাকে? নাট কীভাবে জানতে পারে কোন প্যাকেটটি "ফিরে আসতে হবে" কোথায়?

3) প্যাকেট শিরোনাম পরিবর্তনটি কোনও ইন্টারনেট আক্রমণ চালানোর অনুমতি দেয়, যেখানে "সোর্স আইপি" আক্রান্তের আইপি দ্বারা প্রতিস্থাপন করা হয়েছে, এবং উত্তর প্রদানকারীটি অবাঞ্ছিত প্যাকেটগুলি দিয়ে ক্ষতিগ্রস্থদের প্লাবন করবে?

আমার ধারণা একাধিক আক্রমণকারীদের জড়িত থাকা দরকার ...

4) স্ট্যাটিকনাটটি কি সমস্ত বন্দরটির পোর্ট ফরওয়ার্ডিংয়ের সমতুল্য?

NAT (নেটওয়ার্ক অ্যাড্রেস ট্রান্সলেশন) এবং পিএটি (পোর্ট অ্যাড্রেস ট্রান্সলেশন) এর মধ্যে একটি সাধারণ ভুল ধারণা রয়েছে যা আমরা আমাদের ঘরের রাউটারগুলিতে প্রায়শই ব্যবহার করি।

NAT
ধরে নেওয়া যাক আমাদের নীচের টপোলজি সহ একটি নেটওয়ার্ক আছে:

ব্যক্তিগত_ নেটওয়ার্ক <-------> রাউটার <-------> The_Internet tern

ইন্টারফেস রাউটার যে সাথে সংযুক্ত করা হয় Private_Network হয়েছে একটি প্রাইভেট IP ঠিকানা যে এক অনন্য নয়, অর্থাত The_Internet । অন্যদিকে, ক্ষেত্রে ন্যাট , রাউটার রয়েছে একাধিক সংযুক্ত ইন্টারফেসগুলি The_Internet । প্রতিটি ইন্টারফেসের The_Internet এ একটি অনন্য আইপি ঠিকানা রয়েছে । এখন আসুন অনুমান Host_A এবং Host_B হয় Private_Network এবং তারা উভয় অ্যাক্সেস করতে চান Website_X মধ্যে The_Internet একই সময়ে। আইপি এবং হোস্ট_এ এর বন্দরএর প্যাকেটটি হ'ল:

উত্স আইপি: Host_A এর ব্যক্তিগত আইপি
উত্স পোর্ট: একটি পোর্ট Host_A
: লক্ষ্যস্থান আইপি Website_X এর সর্বজনীন / অনন্য আইপি
গন্তব্য পোর্ট: একটি পোর্ট যেখানে Website_X এর সার্ভারে শুনছে

এবং হোস্ট_বি থেকে আগত প্যাকেটের জন্য একইভাবে ।
যদি সোর্স আইপি অপরিবর্তিত রেখে দেওয়া হয়, তবে Website_X এমন কোনও আইপি ঠিকানার উত্তর দেবে যা ব্যক্তিগত, অর্থাত্ অনন্য নয়, এবং তাই প্যাকেটটি আর কখনও ফিরে আসবে না। যে সমস্যা সমাধানের জন্য, রাউটার তাঁর অনন্য আইপি সংযুক্ত ঠিকানাগুলির মধ্যে একটিতে কিনা চেক The_Internet ব্যবহার করা হয় না। যদি এটি হয় তবে এটি নিম্নলিখিত ম্যাপিংটি করে:

হোস্ট_এর ব্যক্তিগত আইপি ======= রাউটারের_উনিক_আইপি_কে

এবং এখন প্যাকেট যে থেকে শুরু Host_A যাচ্ছে Website_X এবং এখন ইন্টারফেস ছাড়ছেন রাউটার সংযুক্ত The_Internet ফর্ম থাকবে:

উত্স আইপি: Router's_unique_IP_K
উত্স পোর্ট: একটি পোর্ট Host_A
: লক্ষ্যস্থান আইপি Website_X এর সর্বজনীন / অনন্য আইপি
গন্তব্য পোর্ট: একটি পোর্ট যেখানে Website_X এর সার্ভারে শুনছে

সুতরাং আপনি বুঝতে পারবেন যে ব্যক্তিগত আইপি থেকে পাবলিক আইপিগুলিতে ওয়ান-টু ওয়ান সমিতি রয়েছে। আরম্ভকৃত যখন একটি প্যাকেট থেকে আসে Website_X করার রাউটার , এই সমিতি পরীক্ষা করা হয় এবং গন্তব্য IP ঠিকানা ব্যক্তিগত এক ফিরে পরিবর্তিত হয়েছে এবং ডান হোস্টে সফলভাবে বিতরণ করা হয়।
আপনি দেখতে পাচ্ছেন যে, এই পদ্ধতিটি বেশ সহজ, তবে এর একটি বড় অসুবিধা রয়েছে: প্রতিটি ব্যক্তিগত হোস্টের একটি অনন্য আইপি ঠিকানা সংরক্ষণ করতে হয়, যা ব্যয়বহুল, আমরা ব্যক্তিগত নেটওয়ার্কের হোস্টের চেয়ে কম ইউনিক আইপি অ্যাড্রেস বেছে নিতে পারি select সুতরাং যদি সমস্ত ব্যক্তিগত হোস্টগুলি একই সাথে The_Internet অ্যাক্সেস করার চেষ্টা করে তবে রাউটার যে উপলব্ধ পাবলিক আইপি ঠিকানার সংখ্যার সমান সেগুলির কেবলমাত্র একটি উপসেটআছে, অ্যাক্সেস থাকবে এবং বাকিগুলি অস্বীকার করা হবে।
যাতে পাল্টাতে আমরা PAT তৈরি করেছি ।

প্যাট
প্যাট হ'ল আমাদের হোম রাউটারগুলির সিংহভাগ ব্যবহার করছে। মৌলিক সীমাবদ্ধতা যে রাউটার একটি একক অনন্য IP ঠিকানা যা দিয়ে এটি সংযোগ রয়েছে The_Internet , কিন্তু আমরা এখনও অ্যাক্সেস করতে প্রাইভেট নেটওয়ার্ক থেকে একাধিক হোস্ট অনুমতি দিতে চান The_Internet একই সময়ে।
আমরা যেভাবে এটি করি তার সাথে " NAT " যেভাবে একটি মূল পার্থক্যের সাথে এটি করে তার সাথে অনুরূপ : রাউটারের পরিবর্তে আইপি অ্যাড্রেসের একটি পুল ধারণ করে এটি পোর্ট সংখ্যার পুল ধারণ করে। আরো সঠিকভাবে, একটি প্যাকেট এ আসার রাউটার থেকে Host_A মধ্যে Private_Network পূর্বনির্দিষ্ট Website_X মধ্যেThe_Internet নিম্নলিখিত ফর্ম্যাট থাকবে:

উত্স আইপি: Host_A এর ব্যক্তিগত আইপি
উত্স পোর্ট: একটি পোর্ট Host_A
: লক্ষ্যস্থান আইপি Website_X এর সর্বজনীন / অনন্য আইপি
গন্তব্য পোর্ট: একটি পোর্ট যেখানে Website_X এর সার্ভারে শুনছে

এখন রাউটার দুটি কাজ করবে:

1. এটি সোর্স আইপিটিকে রাউটারের অনন্য পাবলিক আইপি এবং এ পরিবর্তন করবে
2. এটা একটা পুকুর থেকে একটি পোর্টের উত্স পোর্ট পরিবর্তন করতে হবে রাউটার বজায় রাখার করা হয় এবং ইতিমধ্যেই ব্যবহার করা হয় না, যেমন Port_Z

এবং এখন প্যাকেট যে থেকে শুরু Host_A যাচ্ছে Website_X এবং এখন ইন্টারফেস ছাড়ছেন রাউটার সংযুক্ত The_Internet ফর্ম থাকবে:

উত্স আইপি: Router's_unique_IP_K
উত্স পোর্ট: Port_Z
গন্তব্যস্থান আইপি: Website_X এর সর্বজনীন / অনন্য আইপি
গন্তব্য পোর্ট: একটি পোর্ট যেখানে Website_X এর সার্ভারে শুনছে

এবং রাউটারটি নিম্নলিখিত ম্যাপিংটি রাখবে:

Host_A এর ব্যক্তিগত আইপি এবং একটি বন্দর Host_A ======= Port_Z

কেন এই কাজ করে?
এখন যখন কোনও প্যাকেট ফিরে আসে, রাউটারটি কেবল পূর্ব-উল্লিখিত ম্যাপিং অনুসারে গন্তব্য পোর্ট নম্বর এবং গন্তব্য আইপি ঠিকানা এবং গন্তব্য পোর্ট নম্বর পরিবর্তন করে এবং প্যাকেটটি সফলভাবে সরবরাহ করা হয়।

যদি আমি একই হোস্টে একাধিক অ্যাপ্লিকেশন চালনা করি?
সংজ্ঞা অনুসারে বিভিন্ন অ্যাপ্লিকেশনগুলির বিভিন্ন পোর্ট থাকবে, সুতরাং তারা রাউটার থেকে আলাদা বন্দরে ম্যাপ করবে ।

যদি একাধিক হোস্ট একই সাথে The_Internet অ্যাক্সেস করার চেষ্টা করে এবং তারা সবাই একই অ্যাপ্লিকেশন ব্যবহার করে তবে কী হবে?
বিভিন্ন হোস্টের সংজ্ঞা অনুসারে আলাদা আলাদা ব্যক্তিগত আইপি ঠিকানা থাকবে, এইভাবে তারা রাউটার থেকে আলাদা বন্দরে ম্যাপ করবে ।

পিএটি বিপজ্জনকভাবে ক্রস-লেয়ারের ধূসর জায়গায় ভারসাম্যপূর্ণ। পোর্ট নম্বরগুলি ট্রান্সপোর্ট প্রোটোকলের অংশ যখন রাউটারগুলিকে ইন্টারনেট প্রোটোকল পর্যন্ত চালনা করার অনুমতি দেওয়া হয়। প্রযুক্তিগতভাবে বলতে গেলে এমন কিছু যা প্রোটোকল দ্বারা অনুমোদিত নয়। তাই অন্তত তাত্ত্বিকভাবে সম্ভাব্য বিপদগুলি রয়েছে: বন্দর পুলটি সীমাবদ্ধ। সুতরাং যদি আমার ব্যক্তিগত নেটওয়ার্কে 1000 হোস্ট থাকে এবং প্রত্যেকে পোর্ট_পুল / 10 অ্যাপ্লিকেশন চালিয়ে যায় তবে রাউটারের ম্যাপিং টেবিলটি উপলব্ধ এন্ট্রিগুলির বাইরে চলে যাবে এবং অ্যাপ্লিকেশনগুলিতে অ্যাক্সেস অস্বীকার করা হবে।

এই উত্তরটি আমার উদ্দেশ্যযুক্ত দৈর্ঘ্যকে ছাড়িয়ে গেছে তবে আমি আশা করি এটি সহায়ক ছিল।

রাউটারটি জানে যে প্যাকেটগুলির অন্তর্ভুক্ত কারণ The router saves ... an address translation table.এটি অভ্যন্তরের বাইরে কী কী অনুবাদ অনুবাদ করেছে তা মনে রাখে। এর মতো, ভিতরে একটি ঠিকানা বাইরের ঠিকানার সমান এবং ইন্টারনেটের বাইরে গন্তব্য অপ্রাসঙ্গিক। এটি অবশ্যই কার্যত প্রতিটি এনএটি রাউটারে উপস্থিত ফায়ারওয়ালকে উপেক্ষা করে, যা সম্পূর্ণ সংযোগগুলি ট্র্যাক করে:

(inside) src:ip+port,dst:ip+port <-> (outside) src:ip+port,dst:ip+port

NAT আইপি এবং / অথবা পোর্টের যেকোন সংমিশ্রণ পরিবর্তন করতে পারে।

# 3 কোনও সম্পূর্ণ আলাদা বিষয়: স্পোফিং

# 4 "স্ট্যাটিক NAT" বা "1-থেকে -1", কেবলমাত্র একটি ঠিকানা। সুতরাং, পোর্ট (এবং এমনকি প্রোটোকল: টিসিপি, ইউডিপি, গ্রে ইত্যাদি) অপ্রাসঙ্গিক।