המדריך השלם ל-NAT
NAT מאפשר לנו לחסוך בכסף כאשר אנחנו בונים רשת.
אם ברצוננו להפעיל שרת ברשת שלנו, בין אם זה FTP, אתר אינטרנט ואפילו אימיול, עלינו לדעת כיצד לשנות הגדרות NAT.
ברוכים הבאים למדריך המלא ל-NAT.
המדריך יכיל את כל המידע הנדרש כדי להבין מהו NAT.
מדריך זה גם יכיל מושגים בסיסיים נוספים הדרושים לנו להגיע להבנה מלאה יותר.
ראשי הפרקים
1. מבוא ומושגי יסוד
א. מה זה NAT? (מבוא)
ב. כתובות חוקיות ולא חוקיות
ג. פורטים
ד. DHCP
2. סוגים של NAT
א. PAT
ב. Static NAT ו-Dynamic NAT
3. אפשרויות נוספות
א. Port Forward
ב. Port trigger, DMZ ו-Port Redirect
4. תקלות
ניתן לדלג או להתחיל פשוט מההתחלה
אשמח לקבל תגובות הערות, הארות ובקשות!
רנדומלי 
ינואר 21, 2009 ב- 10:55 am |
שלום רב.
ראשית ברצוני לברך אותך,הסברים מעולים ומנוסחים היטב.
רציתי לשאול אותך שאלה :
ברשותי זוג נתבים siemens sl2-141 ,אני רוצה להגדיר אחד מהם כ Repeater/AP
כמובן הקשר בינהם יהיה אלחוטי ול AP/Repeater אני אתחבר בצורה קווית
ינואר 21, 2009 ב- 10:58 am |
אופס השאלה 🙂
ובכן האם תוכל לעזור לי להגדיר את הנתב הנל כ Repeater/AP ?
אשמח לעזרתך.
ינואר 22, 2009 ב- 12:11 am |
תודה על הפידבק!
אני לא ידע אם הגירסה של בזק תומכת באפשרות הזו. בכל אופן, ב-PDF שמצאתי באינטרנט:
יש ללחוץ כדי לגשת אל ADSL_SL2-141_User_Manual.pdf
בעמוד 96 יש הסברים לגבי ההגדרה.
מקסימום, באתר של סימנס בטח יש קושחה שאפשר להתקין ולהפעיל את האפשרות (ואז גם לאבד את האחריות 🙂 )
פברואר 3, 2009 ב- 7:08 pm |
תודה רבה אחי , הסבר מושלם
נובמבר 7, 2010 ב- 7:37 am |
תודה על המידע בעניין הרשתות
שאלה: האם ניתן לגשת למחשב שיש עליו כתובת לא חוקית , דרך remote disktop וכתובת הנתב החוקית ידועה לנו.
נובמבר 7, 2010 ב- 8:08 am |
כמובן. תעשה port forward לפורט TCP 3389
דצמבר 27, 2010 ב- 6:36 pm |
mymodemsux2. מדריכים מגניבים.
במקרה הגעתי לכאן, ומצאתי אתר מושקע וטוב אז… תודה.
בקשר לשאלה של דני(אם היא רלבנטית), מבטלים את ה NAT ואת ה DHCP, ולהתאים את כתובת הסימנס לרשת. זהו.
דצמבר 27, 2010 ב- 10:18 pm |
תודה
מרץ 20, 2011 ב- 10:42 am |
ישר כח על ההסברים הפשוטים אבל המעמיקים.
אני מנסה להקים רשת VPN. בנתב שלי (ROTAL של בזק) שבצד ה- VPN SERVER יש הגדרת PORT FORWARDING שניתן לרשום שם את כתובת IP של המחשב המרוחק וכמובן את כתובת IP של המחשב אליו ממוענת התקשורת.
אני לא מצליח להבין מה צריך לרשום בכתובת IP של המחשב המרוחק. ניסיתי את ה- PUBLIC IP של אותו מחשב ולא הצלחתי. בסוף השארתי את זה כ- ALL ואז אני מצליח להתחבר לשרת. מה צריך לעשות אם אני רוצה שרק מחשב CLIENT אחד יוכל להתחבר לשרת?
מרץ 20, 2011 ב- 11:08 am |
במצב כזה אתה לא צריך NAT
ה-VPN tunnel יוצר ממשק נוסף, אליו יהיו מנותבים הכתובות של המחשבים המרוחקים
אתה צריך להגדיר מה הכתובת (הלא חוקית) של תחנת המקור (שמנסה לגשת ליעד) ואת הכתובת של היעד (גם לא חוקית)
את אותם הגדרות אתה צריך להגדיר בשני הצדדים, שים לב שתחנת היעד ותחנת המקור הפוכים בכל נתב
אם הכתובות הלא חוקיות מאחורי 2 הנתבים זהות – אני ממליץ להחליף. זה הפתרון הפשוט ביותר
מרץ 20, 2011 ב- 11:40 am |
תודה רבה על התגובה אבל אני לא מבין.
כאשר אני מנסה ליצור tunneling בין המחשב המרוחק לשרת אני צריך לפתוח פורט של PPTP בנתב של השרת, אליו מופנים המסרים, ורק לאחר אישור נפתח ערוץ VPN. אז הנתב שבצד ה- VPN SERVER מכיר בהתחלה את הכתובת החוקית של המחשב המרוחק ורק לאחר שנפתח ערוץ VPN הוא מכיר את הכתובת הלא חוקית שלו.
מה אני לא מבין נכון?
מרץ 20, 2011 ב- 11:49 am |
vpn tunnel אומר שאתה מותח כבל ישיר בין שני נתבים (או בין נתב ל-PC). הכבל הוא וירטואלי כמובן.
הכתובות החוקיות היחידות שמעורבות פה הם הכתובות של שני הנתבים. הכתובות שלהם נחוצות להקמת ה-tunnel על גבי האינטרנט
PC_A——-RTR_A—–TUNNEL——RTR_B—–PC_B
ברגע שמוקם ה-tunnel, הנתב (A) אמור לדעת שהכתובת של PC_B יושבת מאחורי RTR_B – וההפך
אני לא מכיר את האופציה המדויקת של המודם, אבל יש נתבים שמלמדים את האחרים, ויש נתבים שצריכים להגדיר להם מי בצד השני של ה-tunnel
ברגע שתעביר מידע על ה-tunnel, האינטרנט לא יידע על הכתובות הלא חוקיות שרצות בפנים.
מבחינת "האינטרנט", יש שיחה בין שני נתבים (ולא ידוע מה יש בפכנים)
מרץ 20, 2011 ב- 12:02 pm |
אז בעצם מה שאתה אומר זה שבפתיחת פורטים בנתב שבצד השרת אני צריך להגדיר את הכתובת הנכנסת ככתובת הלא-חוקית של מחשב ה- CLIENT.
אגב, מה עושים אם הכתובת הלא-חוקית שבצד השרת היא לדוגמא 10.0.0.1 והכתובת הלא-חוקית שבצד ה- CLIENT היא 192.168.1.4. איך אני גורם להיות באותה קבוצת עבודה מבלי לשנות את הכתובות?
מרץ 20, 2011 ב- 12:07 pm |
תקרא שוב את התגובות. יש עריכה.
לגבי "הכתובת הנכנסת". אני לא יודע. צריך להבין למה מתכוונים. לנתב המרוחק? לתחנה מאחורי הנתב המרוחק?
לגבי כתובות רשתות שונות מאחורי כל נתב – ככה זה צריך לעבוד. הכתובות צריכות להיות שונות.
צריך לדאוג לניתוב של הרשת המרוחקת דרך ה-tunnel.
יכול להיות שהמודם שלך עושה את זה אוטומטית, יכול להיות שאתה צריך להגדיר ניתוב סטטי.
מרץ 20, 2011 ב- 12:01 pm |
ועוד משהו (אולי זה מקור הבלבול)…
לא צריך להגדיר port forward בשביל tunnel בין הנתבים.
port forward מתבצע בד"כ בשביל שיחה בין תחנות **מאחורי** הנתבים.
למשל, אם ה-tunnel server הוא תחנה מאחורי הנתב ולא הנתב עצמו
הנתב מאזין לפורטים של PPTP (לצורך העניין) ברגע שביקשת ממנו להשתמש ב-tunnel.
אם תגדיר port forward על פורטים שהנתב מצפה לקבל מהם tunnel – תהיה לך התנגשות. במקרה הזה, שוב תלוי ביישום של הנתב, התוצאה לא צפויה.
מרץ 20, 2011 ב- 12:06 pm |
הצלחת לבלבל אותי. במדריכים השונים מציינים במפורש לבצע port forward עבור VPN (פורט 1723 ב- TCP) ואילו אתה טוען שלא צריך לבצע כלום בנתב?
מרץ 20, 2011 ב- 1:56 pm |
אם זה בין הנתבים – לא אמור להיות.
אם זה מאחורי הנתבים – תגדיר.
כל עוד אני מבין אותך נכון 🙂
מרץ 20, 2011 ב- 4:08 pm |
הבנתי. תודה רבה.
אני אבדוק ואעדכן.
פורים שמח.
מרץ 20, 2011 ב- 11:48 am |
בנוסף, מדוע צריך לבצע את אותן ההגדרות בנתב של המחשב המרוחק? הרי הוא מוגדר כמחשב CLIENT ורק ב- SERVER צריכים לפתוח פורטים?
מרץ 20, 2011 ב- 11:54 am |
אני לא מכיר את היישום הספציפי של הנתב.
בד"כ צריך להגדיר נתב אחד בתפקיד השרת ונתב שני בתפקיד ה-client
לפעמים צריך לציין את הכתובות של שניהם, לפעמים לא (השרת יקבל הקמה של tunnel מכל אחד)
לפעמים צרין להגדיר את סוג ההצפנה, לפעמים לא
לפעמים צריך להגדיר סיסמה ולפעמים לא
זה מאוד תלוי ביכולות של הנתב.
מאי 24, 2011 ב- 8:44 pm |
שלום,
קודם כל תודה רבה על המדריך המעולה הזה, עזר לי המון בהבנת הנושא.
לשאלתי :
במקרה שאני לא רוצה שאנשים ינסו להגדיר NAT בארגון שלי, האם בעזרת הסנפה אני יכולה לדעת האם נעשה שימוש ב-NAT? והאם מערכת ההפעלה בוחרת באופן רנדומלי לחלוטין את הפורטים שהיא משתמשת להעברת המידע, או שיש סיכוי שה-NAT משתמש בטווח מסויים של פורטים ?
תודה 🙂
מאי 24, 2011 ב- 9:19 pm |
אם אני מבין נכון, את מתארת מצב שבו מישהו שם נתב (אלחוטי למשל) ברשת הפנימית של האירגון ומחבר תחתיו תחנות שאינן מורשות.
באמצעות סניפר ניתן, באפליקציות מסוימות (SIP, HTTP למשל…) לאתר NAT. שוב, זה פתרון קשה – הוא לא תמיד מתאים וגם מצריך ידע באפליקציות השונות…
כל מערכת הפעלה בוחרת את הפורט הרנדומלי עפ"י הלוגיקה שלה. יש מ"ה צפויות יותר או צפויות פחות. גם כאן זה קשה – להכיר את ההתנהגות של כל מערכת הפעלה… זה בלתי אפשרי.
הפתרון הנפוץ היום הוא להתקין NAC
http://en.wikipedia.org/wiki/Network_Access_Control
למשל, המערכת מכירה כתובות MAC של נתבים ומתריאה שחובר ל-SW נתב אלחוטי (למשל).
למשל, המערכת מאשרת ל-SW להפעיל כראוי את הפורט רק אם התחנה שמחוברת אליו מורשית (שם, סיסמה, האנטי וירוס מעודכן וכו').
מאי 26, 2011 ב- 2:05 pm |
אין מילם.. פשוט הסבר יוצא מהכלל..
כל הכבוד
אשמח לדעת אם יש עוד כתובות להסבר מושגים בתחום האינטרנט ברמה הזו..
שוב תודה… יישר כח
אוגוסט 20, 2015 ב- 5:47 pm |
10
אפריל 22, 2016 ב- 1:27 pm |
פשוט רוצה להודות לך על ההסבר הכל כך מקצועי וכל כך ממצה. סגרת לי כל כך הרבה פינות חשובות כל כך. וגם הבנתי בשעה טובה שעל ידי NAT נכון, אני יכול סוף סוף להשתמש בכתובות שרכשתי מהספק גם לטובת יציאה על גביהן לעולם ולא רק לכניסה!!!
מעולללה
מלך
תודה!!!
אפריל 27, 2016 ב- 12:10 am |
תקשיב, מדריך מעולה!!! כתוב בצורה שגם סתומים כמוני יכולים להבין 🙂
יש לי בקשה, יש נושא מסוים שכבר שנים לא ברור לי החוקיות שלו, וזה מהירות הורדה. למה אם יש לי לדוג' מהירות 40 אני אוכל להוריד קובץ במהירות של מקסימום 4?
אשמח אם תבאר לי את הנושא (ניסיתי להבין לבד על פי מדריכים אחרים באינטרנט אבל לא הצלחתי)
תודה רבה
יוני 21, 2016 ב- 11:25 pm |
בקצרה, זה כמו ההבדל בין מטר לרגל. ציוד תקשורת מודד בביט, מערכת ההפעלה שלך מודדת בבייט.
יוני 20, 2016 ב- 10:47 pm |
הסברים מעולים!!!