Что такое брандмауэр NAT и как он работает?

В области компьютерных сетей NAT выступает за Network ddress Translation. Проще говоря, NAT позволяет многим устройствам в частной сети совместно использовать один шлюз в интернет. В свою очередь, все эти устройства будут иметь одинаковые общедоступный IP-адрес– что из ворот – и уникальный частные IP-адреса. Эти шлюзы обычно встречаются на маршрутизаторах Wi-Fi и некоторых службах VPN. Например, все устройства, подключенные к маршрутизатору Wi-Fi с поддержкой NAT, имеют разные частные IP-адреса, но имеют общий публичный IP-адрес маршрутизатора..

Прыжок прямо в: Лучшие VPN с брандмауэрами NAT

Когда вы посещаете веб-сайт, ваше устройство отправляет запрос на маршрутизатор, идентифицируя себя с помощью своего частного IP-адреса. Затем маршрутизатор транслирует запрос и перенаправляет его на сервер веб-сайта со своим общедоступным IP-адресом, записывая исходный частный адрес. Сервер отвечает маршрутизатору с копией веб-сайта, который ваш маршрутизатор затем перенаправляет на ваше устройство через частный IP-адрес.

межсетевой экран это уровень защиты, который предотвращает нежелательную связь между устройствами в сети, такими как Интернет.

Брандмауэр NAT работает только через интернет-трафик, проходящий через шлюз, если устройство в частной сети запросило его. Любые незапрошенные запросы или пакеты данных отбрасываются, предотвращая связь с потенциально опасными устройствами в Интернете. Если входящий интернет-трафик не имеет частного IP-адреса для пересылки за пределы шлюза, брандмауэр NAT знает, что трафик не запрошен и должен быть отброшен.

Компьютеры и серверы в Интернете могут видеть только общедоступный IP-адрес маршрутизатора и ни один из частных IP-адресов определенных устройств, таких как телефоны, ноутбуки, смарт-телевизоры, устройства Интернета вещей и игровые приставки. Это также известно как IP маскарад.

Как определить, что я за межсетевым экраном NAT?

Не уверены, что на вашем роутере Wi-Fi включен брандмауэр NAT? Попробуйте подключить два устройства к одной сети Wi-Fi, например, ноутбук и смартфон.

Теперь на каждом из них запустите в Google поиск «какой у меня IP?»

Если вы видите один и тот же IP-адрес для обоих устройств, вы, вероятно, находитесь за брандмауэром NAT. Ваши устройства имеют разные частные (локальные) IP-адреса, но один и тот же публичный IP-адрес.

В VPN может быть сложнее определить, используется ли межсетевой экран NAT, но обычно вы можете узнать это где-нибудь в документации вашего провайдера VPN. У вас может быть возможность включить или отключить брандмауэр NAT в настройках вашего VPN-приложения или приобрести его в качестве дополнительного оборудования..

Брандмауэры NAT и VPN

VPN или виртуальная частная сеть шифрует интернет-трафик устройства и направляет его через промежуточный сервер в местоположение по выбору пользователя. Поскольку весь интернет-трафик «туннелируется» через VPN до того, как он попадает в Интернет, брандмауэр NAT на маршрутизаторе Wi-Fi не может различить запрашиваемый и незапрошенный трафик. Поскольку все идет в зашифрованном виде с VPN-сервера, все выглядит одинаково, делая брандмауэр NAT вашего маршрутизатора бесполезным.

По этой причине многие VPN используют межсетевые экраны NAT. Вместо того, чтобы ваш маршрутизатор Wi-Fi отфильтровывал нежелательный трафик, сервер VPN делает это вместо этого. Иногда межсетевые экраны NAT являются дополнительным дополнением, а иногда они встроены в VPN по умолчанию..

Не все согласны с тем, что межсетевые экраны NAT и VPN являются хорошим сочетанием.

Провайдеры VPN обычно попадают в один из двух лагерей: те, которые используют брандмауэры NAT, и те, которые используют брандмауэры PAT.. Мы объясним последний ниже.

VPN, использующая межсетевой экран NAT, назначает каждому пользователю уникальный частный IP-адрес. Это расширяет все преимущества межсетевого экрана NAT маршрутизатора Wi-Fi, как обсуждалось выше, для вашего VPN-подключения.

Недостатком является то, что даже если вы защищены от нежелательной связи, ваше устройство может быть более легко отслеживается поставщиком VPN или третьей стороной..

Альтернативный метод – назначить один и тот же общедоступный IP-адрес всем пользователям VPN, подключенным к одному и тому же серверу, без уникальных частных IP-адресов. Это добавляет значительный уровень анонимности, поскольку онлайн-активность не может быть отслежена отдельным человеком или устройством по IP-адресу..

ExpressVPN – один провайдер, который спорит против брандмауэров NAT. Компания утверждает, что вместо брандмауэра NAT используется политика блокировки портов:

«Серверы ExpressVPN запоминают все запросы и транслируют их из разных портов на сервере. Пользователь получает ответ от ExpressVPN, но другие порты остаются закрытыми. Сохранение закрытых портов защищает пользователей, как и брандмауэр ».

Перевод адреса порта

Многие системы, называемые брандмауэрами NAT, на самом деле являются брандмауэрами PAT. PAT обозначает порт ddress Translation. Подобно NAT, он позволяет сетевому шлюзу с одним IP-адресом представлять множество компьютеров. Разница в том, что каждому устройству назначен номер порта вместо частного IP-адреса..

Когда сетевой шлюз получает исходящий адрес от компьютера в сети, он заменяет обратный адрес компьютера своим собственным интернет-совместимым адресом и добавляет номер порта в конце. Затем шлюз делает запись в своей таблице трансляции, чтобы он знал, что номер порта, который он использовал, представляет определенный компьютер в сети.

Эта система очень популярна, потому что она сокращает количество интернет-IP-адресов, которыми должна владеть компания. Это также очень хорошая система для использования службами VPN, поскольку весь трафик, выходящий из шлюза VPN, будет иметь одинаковый обратный адрес. Поскольку многие VPN-сервисы имеют сотни клиентов, подключенных к одному и тому же местоположению в одно и то же время, невозможно распознать, от какого абонента пришел каждый запрос.

NAT межсетевые экраны и торрент

Поскольку межсетевые экраны NAT запрещают незапрашиваемому трафику достигать устройств конечных пользователей, они могут вызвать проблемы при передаче. В то время как за одним из них вы не сможете загружать (заполнять) файлы для загрузки другими пользователями торрента. И наоборот, вы не сможете подключиться к такому количеству пиров, с которых вы можете загружать (пиявки) файлы. Брандмауэр NAT может отрезать вас от значительной части пользователей в стоке. То же самое касается брандмауэров PAT.

Однако нельзя сказать, что торрент невозможен с брандмауэром NAT. Большинство брандмауэров NAT в наши дни не настолько строги, чтобы существенно влиять на производительность загрузки или выгрузки. Возможно, вы найдете более строгие брандмауэры в общественных местах, таких как отели или школы, но большинство домашних маршрутизаторов и VPN-сервисов не ограничивают торрент таким образом..

Если брандмауэр NAT в вашей локальной сети мешает вам торрент, вы можете использовать VPN, чтобы обойти его. Напомним, что поскольку весь входящий трафик проходит через VPN и зашифрован, локальный межсетевой экран NAT не может различить запрашиваемый и незапрошенный трафик. Даже если у VPN есть собственный брандмауэр NAT, он, вероятно, будет менее строгим, чем в вашей частной сети..

Горстка VPN позволяет вам настроить переадресацию портов, чтобы обойти ограничения межсетевого экрана NAT при торрентах, но важно отметить, что это ставит под угрозу безопасность. Открытие портов делает вас более уязвимыми для атак, а поскольку вы используете специальный порт, ваш интернет-трафик легче отличить от других пользователей VPN. Это облегчает отслеживание.

Переадресация портов также распространена на торрент-клиентах, таких как uTorrent, но при этом применяются те же риски.

Лучший VPN с брандмауэром NAT: IPVanish

Доступные приложения:

• ПК
• макинтош
• IOS
• Android
• Linux

Интернет сайт: www.IPVanish.com

Гарантия возврата денег: 7 ДНЕЙ

Все IPVanish серверы используют межсетевые экраны NAT, чтобы позволить пользователям обмениваться публичными IP-адресами. Приложения даже позволяют переключать IP-адреса через определенные промежутки времени. Из-за брандмауэра NAT вы не можете перенаправить прямой доступ к вашему устройству при подключении. Для некоторых это полезная мера предосторожности. Для других это препятствие. IPVanish говорит, что большинство пользователей не переносят вперед и не будут затронуты.

Помимо межсетевого экрана NAT, IPVanish – это качественный VPN с строгими стандартами безопасности и политикой отсутствия журналов. Вы можете подключить до 10 устройств одновременно, что вдвое больше, чем предлагает большинство VPN. IPVanish создает приложения для Windows, MacOS, iOS, Android и Amazon Fire TV.

ЛУЧШИЙ VPN С NAT FIREWALL: Несмотря на блокировку переадресации портов, IPVanish был создан с нуля с учетом торрента: быстрый и частный. Поставляется с 7-дневной гарантией возврата денег..

Прочитайте наш полный обзор IPVanish.

Второе место: ВыпрВПН

Доступные приложения:

• ПК
• макинтош
• IOS
• Android
• Linux

Интернет сайт: www.VyprVPN.com

Гарантия возврата денег: 30 ДНЕЙ

VyprVPN предлагает пользователям брандмауэр NAT для защиты пользователей от хакеров, которые могли бы получить доступ к вашей системе через соединения, оставленные открытыми вашими приложениями. Кроме того, вы можете вручную установить, какие порты используются протоколом OpenVPN. Если вы действительно хотите настроить VPN-соединение, VyprVPN может быть для вас.

Компания использует надежное шифрование и не регистрирует какую-либо идентифицирующую информацию или деятельность. Он владеет многими собственными серверами и центрами обработки данных, которые охватывают около 60 стран..

VyprVPN создает приложения для Windows, MacOS, iOS и Android. Вы можете подключить до пяти устройств одновременно.

NAT FIREWALL VPN: Брандмауэр NAT и другие меры безопасности VyprVPN позволяют безопасно просматривать и загружать файлы из любой точки мира. Вы можете проверить это с 3-дневной бесплатной пробной версией.

Прочитайте наш полный обзор VyprVPN.

Лучший VPN без брандмауэр NAT: ExpressVPN

Доступные приложения:

• ПК
• макинтош
• IOS
• Android
• Linux

Интернет сайт: www.ExpressVPN.com

Гарантия возврата денег: 30 ДНЕЙ

ExpressVPN предлагает услугу общего IP-адреса и добавляет меры безопасности, используя протокол OpenVPN с 256-битным шифрованием AES. Обмен ключами AES защищен 4096-битным RSA-шифрованием, которое невозможно взломать.

ExpressVPN не хранит идентифицирующие журналы, и торрент разрешен на всех серверах. Сервис быстрый и включает доступ к тысячам серверов в 94 странах. Он работает в Китае и может быть использован для разблокировки большого количества географически ограниченного контента на таких сайтах, как Netflix и Hulu..

ExpressVPN создает приложения для Windows, MacOS, iOS, Android, Linux, Amazon Fire TV и некоторых маршрутизаторов Wi-Fi. Вы можете подключить до трех устройств одновременно. Маршрутизатор считается одним устройством независимо от того, сколько устройств к нему подключено.

ЛУЧШИЙ VPN без БЕЗОПАСНОСТИ: ExpressVPN – это премиальный VPN с надежной безопасностью и некоторыми отличными способностями разблокировки для загрузки. Поставляется с 30-дневной гарантией возврата денег..

Прочитайте наш полный обзор ExpressVPN.

Второе место: НордВПН

Доступные приложения:

• ПК
• макинтош
• IOS
• Android
• Linux

Интернет сайт: www.NordVPN.com

Гарантия возврата денег: 30 ДНЕЙ

NordVPN использует модель общего IP-адреса, но в приложениях доступно несколько выделенных IP-адресов. Nord обслуживает более 5000 серверов в более чем 60 странах. Он придерживается строгой политики нулевых журналов, и его приложения настолько безопасны, насколько они получают. Это также хороший выбор, если вы пытаетесь разблокировать контент, заблокированный регионом.

Для нескольких серверов предлагается несколько альтернативных типов подключения. К ним относятся P2P-оптимизированные серверы, хотя торрент хорош для любого из них. Другие варианты включают Tor через VPN и двойной VPN.

NordVPN поддерживает до шести одновременных подключений и создает приложения для Windows, MacOS, iOS, Android, Linux и Amazon Fire TV..

NO NAT VPN: NordVPN предлагает огромное количество высокоскоростных серверов и ряд различных типов соединений. Поставляется с 30-дневной гарантией возврата денег..

Прочитайте наш полный обзор NordVPN.

Ограничения брандмауэра NAT

Не все компьютеры за брандмауэром NAT защищены от вирусов. В настоящее время хакерам приходится обманывать пользователей компьютеров при установке троянов. Эти программы будут отправлять запросы на компьютер хакера. Поскольку входящее сообщение от хакера отправляется в ответ на запрос, исходящий из сети, шлюз пропустит его.

Брандмауэры NAT не защищают вас от фишинг-атак, когда вы получаете электронное письмо от интернет-банка, в котором вам предлагается нажать кнопку в сообщении электронной почты, чтобы подключиться к вашей учетной записи. В этом трюке электронное письмо приходит не от вашего банка, а от хакера, и когда вы входите в свою учетную запись, вы просто вводите свои учетные данные на поддельную страницу, созданную хакером.

Брандмауэр NAT не защитит вас от атаки «человек посередине», когда хакер, использующий поддельную точку доступа Wi-Fi, захватывает весь ваш трафик, выдавая себя за серверы, к которым вы хотите подключиться.

В любом соединении все еще есть много недостатков безопасности, от которых брандмауэры NAT не могут вас защитить. Преимущество использования VPN состоит в том, что она развертывает множество различных процедур безопасности, включая сертификаты шифрования и аутентификации, чтобы предотвратить вас от мошенничества или шпионажа..

Как работает перевод IP-адреса

Если бы все компьютеры в сети были подключены напрямую к Интернету, то каждому требовался бы глобально уникальный IP-адрес. Тем не менее, более распространенной конфигурацией является передача всей интернет-связи для всех компьютеров в сети через один шлюз. В этом сценарии всем компьютерам нужны IP-адреса, которые должны быть уникальными только в этой сети..

Другие частные сети могут использовать те же адреса, но это не имеет значения, поскольку каждый из этих адресов будет уникальным в своих соответствующих сетях. Только IP-адрес шлюза должен быть уникальным во всем Интернете..

Шлюз должен отслеживать все компьютеры в частной сети, которые отправляли запросы через Интернет. Когда приходит ответ, шлюз ищет, какой компьютер отправил запрос в своем таблица трансляции сетевых адресов чтобы он знал, куда направить ответ.

Когда компьютер в сети отправляет запрос на сервер в Интернете, сетевой шлюз заменяет адрес частной сети, записанный в этих сообщениях, на уникальный адрес в Интернете. Когда сеанс заканчивается, этот частный адрес возвращается в пул и будет назначен другому компьютеру. Таким образом, интернет-адреса в частной сети являются скрытыми, и никто снаружи не может точно знать, какой компьютер в сети отправил запрос. Шлюз знает, потому что он имеет запись в своей таблице трансляции сетевых адресов..

В конце соединения, когда назначенный адрес возвращается в пул, шлюз удаляет запись NAT для этого адреса из своей таблицы трансляции..

Другие преимущества NAT

Изначально NAT не предназначался для использования в качестве брандмауэра. Он был изобретен для того, чтобы сделать сети более переносимыми, чтобы при перемещении сети не требовалось переадресовывать каждое устройство. Только устройству NAT, например маршрутизатору, потребуется новый открытый IP-адрес, в то время как все подключенные к нему устройства могут продолжать использовать одни и те же частные IP-адреса..

NAT теперь важен, когда речь идет о сохранении глобального адресного пространства. Протокол IPv4, который определяет, как все устройства в Интернете взаимодействуют, имеет ограниченное количество доступных IP-адресов. Если бы каждому устройству, которое подключается к Интернету, требовался уникальный IP-адрес, мы скоро закончили бы. При подключении множества устройств в частной сети через один NAT-шлюз используется только один IPv4-адрес.

IPv6 был изобретен для того, чтобы в конечном итоге заменить IPv4 на гораздо большее адресное пространство, но внедрение было медленным, поэтому NAT – очень необходимый инструмент для поддержания работы Интернета..

Кредиты изображений:

• «CPT-NAT» [полученный из] Miles J Pool, CC BY 4.0
• Yangliy на английском Wikibooks [Общественное достояние], через Wikimedia Commons (1), (2)