abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 16:00 | Pozvánky

Spolek OpenAlt zve příznivce otevřených řešení a přístupu na 163. brněnský sraz, který proběhne v pátek 26. dubna od 18:00 v indické restauraci Everest na adrese Veveří 61.

Ladislav Hagara | Komentářů: 0
dnes 15:33 | IT novinky

Všem dívkám v ICT vše nejlepší k dnešnímu Mezinárodnímu dni dívek v ICT (Wikipedie, Girls in ICT Day, YouTube).

Ladislav Hagara | Komentářů: 2
dnes 12:22 | Nová verze

Byla vydána verze 1.12 systému pro správu a verzování zdrojových kódů Apache Subversion (Wikipedie). Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 1
dnes 12:11 | Zajímavý článek

Mozilla zveřejnila každoroční Internet Health Report, který popisuje aktuální společenská témata související s využíváním Internetu. Tentokrát se dotýkají mj. etiky algoritmů strojového učení, cílené reklamy a „chytrých měst“.

Fluttershy, yay! | Komentářů: 1
dnes 08:44 | Nová verze

Webová aplikace pro správu repozitářů v gitu Gitea vyšla v nové verzi 1.8.0. Nově poskytuje OAuth 2.0, umožňuje archivaci repozitářů, skrývání organizací jako interních či soukromých, zamykání konverzací a mnoho dílčích změn.

Fluttershy, yay! | Komentářů: 5
včera 19:33 | Nová verze

Bylo vydáno OpenBSD 6.5. Opět bez oficiální písně. Nejnovější OpenBSD přináší například OpenSMTPD 6.5.0, LibreSSL 2.9.1 nebo OpenSSH 8.0.

Ladislav Hagara | Komentářů: 1
včera 11:33 | Zajímavý článek

Na oficiálním blogu Raspberry Pi byla představena kniha An Introduction to C & GUI Programming. Kniha je ke stažení zdarma (pdf). Papírovou verzi lze koupit za 10 liber.

Ladislav Hagara | Komentářů: 14
včera 10:33 | Nová verze

Byla vydána nová verze 4.0.0 otevřeného emulátoru procesorů a virtualizačního nástroje QEMU (Wikipedie). Přispělo 220 vývojářů. Provedeno bylo více než 3 100 commitů. Přehled úprav a nových vlastností v seznamu změn.

Ladislav Hagara | Komentářů: 0
včera 10:00 | Nová verze

Google Chrome 74 byl prohlášen za stabilní (YouTube). Nejnovější stabilní verze 74.0.3729.108 tohoto webového prohlížeče přináší řadu oprav a vylepšení. Vylepšeny byly také nástroje pro vývojáře (YouTube). Opraveno bylo 39 bezpečnostních chyb.

Ladislav Hagara | Komentářů: 0
23.4. 21:44 | Nová verze

Po roce vývoje od vydání verze 1.14.0 byla vydána nová stabilní verze 1.16.0 dle Netcraftu aktuálně nejpoužívanějšího webového serveru a reverzní proxy nginx (Wikipedie). Nová verze přináší řadu novinek. Podrobný přehled v souboru CHANGES-1.16.

Ladislav Hagara | Komentářů: 0
Používáte headset pro virtuální realitu?
 (1%)
 (3%)
 (2%)
 (18%)
 (1%)
 (74%)
Celkem 238 hlasů
 Komentářů: 12, poslední 18.4. 01:19
Rozcestník
Nástroje

NAT-T

NAT-T (eventuelně NAT-Traversal ) je zkratka pro Network Address Translation Traversal. NAT je technologie, která slouží ke sdílení jedné veřejné IP adresy skupinou počítačů ve vnitřní síti s neveřejným IP rozsahem. Více zde NAT. Klasický NAT neumožňuje provozovat klienty protokolu IPSec ( Internet Protocol SECurity ) na počítačích ve vnitřní síti. Protokol IPSec slouží k ochraně (utajení a integrita) dat přenášených po IP sítích ( typicky po internetu ). Proč nefunguje IPSec přes klasický NAT ? Tři důvody : změna ip hlavičky, tcp/udp checksum, čisla tcp/udp portů IPSec nejen že šifruje přenášená data (utajení), ale zaroveň zajištuje integritu dat a autencitu (pravost) odesilatele (klienta). Tedy zajištuje, že se data "po cestě" nezmění a že se baví s tím správným klientem a né někým, kdo použije klientovu ip adresu. Problém s klasickým NATem je tedy následující - ten funguje tak, že mění hlavičky paketů: Mění ip adresy počítačů z vnitřní sítě na svoji vlastní adresu (veřejnou). IKE protokol ( Internet Key Exchange ), využívaný IPSecem, uvadí ve svých datech zdrojovou ip adresu ( tedy ip klienta ve vnitřní síti ) a tato adresa se neschoduje se zdrojovou ip adresou IKE paketu ( který ma adresu NATu ) a proto je cílovým strojem ( VPN server ) paket zahozen jako neplatný. Dalším problémem je TCP a UDP checksum ( kontrolní součet ), který slouží k ověřování paketů. Kontrolní součet je zapsán v TCP hlavičce a obsahuje ip adresu odesílajícího ( klienta ) , příjemce ( VPN server )a čísla portů pro komunikaci. S normální komunikací není problém, protože NAT aktualizuje hlavičky odchozích paketů tak, aby obsahovali jeho vlastní ip adresu a port místo adresy a portu klienta. ALe protože IPSec šifruje hlavičky pomocí ESP protokolu ( Encapsulating Security Payload ) , NAT je nemůže změnit. Což ve výsledku znamená, že kontrolní součet je špatný ( neplatný ) a cílový stroj ( VPN server ) paket zahodí. Ze stejného důvodu NAT nemůže změnit čísla portů TCP/UDP protokolů - protože jsou šifrované pomocí ESP. Jak funguje NAT-T ? Pracovní skupina IEEE zabývající se vývojem protokolu IPSec vytvořila nový standard, definovaný RFC 3947 a 3948 který se jmenuje NAT-T a je určen právě pro vyřešení problémů výše uvedených. NAT-T přidává UDP hlavičku, která obaluje (encapsulates) ESP hlavičku. ( Vlastně se nacpe mezi ESP hlavičku a vnější IP hlavičku ). Toto dáva stroji provozujícím NAT-T UDP hlavičku obsahující UDP porty, které se použijí pro adresaci klienta. ( což umožňuje multiplexovat více ipsec streamů ) NAT-T také přidá zdrojovou ip adresu ( klienta ) do NAT-OA ( Original Address ) payload. ( nevím jak správně přeložit do ČJ :) ) NAT-OA tak dává možnost cílovému stroji ( VPN server ) z těchto dat ověřit originální zdrojovou a cílovou ip adresu, čísla portů a ověřit kontrolní součet. Toto zároveň také řeší problém který vznikal tím, že IKE data ( obsahující zdrojovou adresu ) a vlastní zdrojová adresa IKE paketu paketu nebyly stejné. Toto je hodně zjednodušený popis toho jak NAT-T funguje. Pro zájemce o další ( podrobnější ) studium : RFC 3947 a RFC 3948

Dokument vytvořil: AloneInTheDark, 30.7.2006 21:10 | Zobrazeno: 3359×

Další pojmy: MUA - NAS - NAT - NAT-T - NCQ - NDA - NEPOMUK

Filtr: A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.