1. האם הפורט ב-TCP\UDP במעבר חבילה דרך NAT הוא גם אותו פורט שה-NAT מחזיר אליו את החבילה?
אם כן, אז במידה ואני שולח חבילה בשכבה נמוכה יותר כמו ICMP שאין לה פורט האם ה-NAT "ממציא" פורט כולשהו כדי להחזיר אליו את החבילה?

2. אם אני מחובר לראוטר שמחובר לראוטר כלומר 2 ראוטרים בתור ואף אחד לא ברידג' האם זה עלול ליצור בעיה בתקשורת עם העולם החיצון?

שאלה 1:
נתחיל בבסיס:
NAT ממיר כתובות IP בעת תעבורה מידע.
PAT ממיר פורטים בית תעבורת מידע.
רכיבי תקשורת בד"כ משלבים כיום יכולת PAT\NAT.

שאתה מנסה לגשת לאתר אינטרנט (לדוגמא), אתה ניגש ב HTTP, TCP 80.
משם האתר יכול לחזור אליך בפורטים שונים.

ICMP הוא נושא שונה במקצת, כי פה אין PORT. נסה להריץ tracert/traceroute ולראות את התהליך באופן דו כיווני.

שאלה 2:
אם יש ניתוב, לא אמורה להיות בעיה לגשת מנתב אחד לאחר. אם ישנו NAT, צריך לבנות את חוקי ה NAT כך שיאפשרו לך להעביר מידע בהתאם, אבל הדבר ישים.

חתימתכם הוסרה כיוון שלא עמדה בחוקי האתר. לפרטים נוספים לחצו כאן. תוכלו לקבל עזרה להתאמת החתימה לחוקים בפורום חתימות וצלמיות.

1. זאת בדיוק הסיבה שאני שואל לגבי ICMP, כי אין לו פורט אז איך ה NAT\PAT מתמודד איתו, לא ממש הבנתי איך traceroute עוזר לי לראות מה ה-NAT עושה עם החבילה.

2. גם פה לא ממש הבנתי אותך, לפי איך שאני רואה את זה אני מחבר 2 NAT-ים, במעבר חבילה מהמחשב לרשת החיצונית החבילה שלי עוברת לNAT1 שמחליף לה כתובת ופורט ומשם לNAT2 שמחליף לה כתובת ופורט שוב ומוציא אותה לרשת, בנתיים כל אחד מהם מוסיף לו ניתוב לגבי אותה חבילה וכשתגיע תשובה הוא ידע להעביר אותה חזרה.

האם יש משהו שאני מפספס, האם יש הבדל כלשהו ממעבר חבילה דרך NAT אחד בלבד?

אתה יכול לשרשר גם 10 NAT-ים... מבחינת כל אחד מהם, הקודם בשרשרת הוא מחשב רגיל לחלוטין שמוציא תעבורה רגילה לחלוטין. כמובן שיהיו 10 המרות/החלפות IP/פורט בדרך. אז מה...

מה שכן, כמו בכל שרשרת, החוליה החלשה היא זו שתישבר ראשונה. אם איפשהוא באמצע, לדוגמא, יש NAT שאינו יודע להתייחס לפרוטוקול מסויים (למשל: PPTP, VoIP, וכו') - אז הפרוטוקול הזה לא יעבוד אם הוא יצא מכל ראוטר לפני הראוטר שלא תומך בפרוטוקולים המדוברים. ואם יש ראוטרים שונים שכל אחד לא-תומך בפרוטוקול אחר, אז סך הפרוטוקולים הנתמכים מקצה לקצה יהיה (סך הפרוטוקולים בעולם) פחות (סך הפרוטוקולים שלא נתמכים בכל אחד מהראוטרים בנפרד)

traceroute לא עוזר לך לראות שום דבר.

לעומת זאת, אם הייתה לך יכולת להריץ סניפר על המחשב שעושה NAT - והיית מריץ בו זמנית שני סניפרים - על ממשק הכניסה ועל ממשק היציאה - והיית משווה - היית רואה בדיוק מה ה NAT עשה...

בלינוקס, למשל, אפשר להאזין לכל הממשקים ולראות מה עובר בכולם בתצוגה אחת, מאוד בקלות: tcpdump -i any icmp - יעשה בדיוק את זה, ויסנן לך בפלט רק ICMP. (וכן, בניגוד לשמו, הכלי tcpdump מראה הכל, לא רק TCP)

נמאס לכם לזכור סיסמאות? לחצו כאן!

פורט היעד יהיה מן הסתם אותו דבר, כי אחרת זה לא יגיע אל השירות המבוקש. פורט ה source בהחלט יכול להשתנות - כיוון שיותר ממחשב אחד יכול לנסות ליצור חיבור מאותו פורט מקור לאותו מחשב יעד ולאותו פורט יעד, ומן הסתם שלא נרצה שהתקשורת שלהם תתערבב.

ב ICMP ה NAT לא עובד על פורטים (כי אין), אלא על מאפיין יחודי של פאקט ה ICMP - שנקרא Query ID או פשוט ICMP ID, תלוי את מי אתה שואל.

נמאס לכם לזכור סיסמאות? לחצו כאן!

תודה רבה.