- Bồ sung các bộ lọc định tuyến để lọc các gói ICMP bị phân đoạn.
nhỏ địa chỉ IP Tuy nhiên, NAT đã nổi bật như là một kế hoạch hiệu quả để giữ các
ISP* 080000 " anhaubse ` ]ntra net
080000 "..anhaubse ` ]ntra net
IS, Ọ00xec H . Z2 Intemet -: ồ Ế sàn . thụ Remote (Private) = Network =
Hình 4.11: Một mô hình NAT thông thường. Các giải pháp dựa trên NAT được thực thi theo hai cách:
* NATIN: trong phương pháp này một địa chỉ IP không được đăng ký luôn luôn được map đến một địa chỉ IP cô định. NAT IN thường được dùng khi một thực thể bên ngoài truy xuất đến một tài nguyên bên trong mạng.
* NAT OUT: khác với NAT IN, NAT OUT map một địa chỉ IP không được đăng
ký đến địa chỉ IP đầu tiên trong pool của các global IP, và được dùng khi một
ỞằớớớớớớỏỏớớớnớớỮớỮớớỮớớớớớớớớớớớớớớớớỮỮỮớỮớớớớớớớằẰẽ#F=ễ..
GVHD: Ths. Trương Ngọc Bảo
ỞIEAAOAOAOAOAOOOO.A.-AO.AONO.OAO.OAGGAỌAGGƠGGGG G0 0TTTTỌỢTTTẸTẸRỌ00TTTTTĐTẠTTỢỢTTTTẸTTĐRTDTĐẸĐĐĐ2Ẹ2ng/gggggggggựynunnn
host bên trong mạng truy xuất đến một thực thể bên ngoài. NAT OUT có hai loại sau đây:
Ộ_Overloaded NAT: trong loại này, chúng ta có thể map nhiều địa chỉ IP không được đăng ký đến một IP được đăng ký duy nhất trên các port khác nhau.
" Ovcrlapped NAT: sơ đồ NAT hoạt động theo hai chiều. Một global IP duy nhất được map đến outgoing request mà sử dụng một địa chỉ IP không được đăng ký. Khi thực thể bên ngoài phản hồi lại yêu cầu, thiết bị NAT phải biên dịch địa chỉ IP được đăng ký trở lại địa chỉ IP không được đăng ký ban đầu.
NAT trong VPN: để có thể thực hiện thành công NAT với VPN, NAT bắt buộc phải có thể map được nhiều luồng dữ liệu đến một địa chỉ IP đơn hoặc từ một địa chỉ IP đơn. NAT cũng nên được thông suốt đến đầu cuối người dùng. Tuy nhiên, NAT hoạt động khác với giao thức chắnh vủa VPN như PPTP, L2TP và IPsec bởi vì NAT không chỉ trao đổi (swap) địa chỉ IP nguồn và đắch mà còn có thể swap các port TCP nguôn và đắch, thay đổi các IP và TCP header checksum, thay đổi các sô tuần tự và các ACK, thay đổi các địa chỉ IP được chứa trong dữ liệu gốc. Đây là lý do tại sao NAT có thể phù hợp với các VPN dựa trên một giao thức nhưng không thể hoạt động liền mạch với các VPN dựa trên các giao thức khác.
NAT làm việc một cách suôn sẻ với các VPN dựa trên PPTP bởi vì NAT không đóng gói cũng như mã hóa các IP datagram. Kết quả là NAT có thể hoạt động một cách tự do đối với các gói tunneled.
Tuy nhiên chúng ta có thể gặp rắc rối hoặc phá hỏng toàn bộ hệ thống tunneling khi sử dụng NAT đối với các VPN dựa trên L2TP hoặc L2TP trên IPsec. Không giông như PPTFP, L2TP và IPsec đóng gói và mã hóa các địa chỉ IP lớp 3 của một gói với một địa chỉ lớp 3 khác. Do đó số port của UDP (UDP port number) được mã hóa và các giá trị của nó được bảo vệ với một mã FCS (Frame Check Sequence). Điều này
làm cho L2TP hay L2TP trên IPsec không thể biên dịch được bởi NAT, bởi vì NAT
không thể làm việc được trên các gói sau khi đã được xử lý bởi L2TP hoặc IPsec. Vì như vậy các gói sẽ có cùng địa chỉ mạng. Ngoài ra, trong trường hợp IPsec chứng thực end-to-end, một gói mà địa chỉ của nó bị thay đổi sẽ làm hỏng sự kiểm tra tắnh toàn vẹn được cung cấp bởi AH.
Nếu dự định thực hiện NAT, chúng ta sẽ phải đặc biệt cần thận đối với những traffic nên được phép đi qua thiết bị NAT. Nếu traffic được tunneled trên IPsec thì không nên đưa qua NAT.
4.3.6 Socket Server (SOCKS)
Được phát triển bởi Permeo Technologies, Inc. và được phê duyệt bởi IETF, SOCKS là một giao thức mạng ủy quyền có thể cho phép các host ở một phắa của một
ỞỞỞỞỞỞằỒỮỮỒỮỒ...
SVTH: Võ Nguyễn Hiệp
GVHD: Ths. Trương Ngọc Bảo
mmaaaaaaaaansaa>a>maaỦzrzơờơợơnẵazơợơợờợnzzsszzơơzơzzwzzwwnwơơnnnzzzửớiứớitiỉnazssợn
SOCKS server truy xuất đến các host ở phắa bên kia của SOCKS server mà không phải phô bày các địa chỉ IP thực của chúng. Hơn nữa, SOCKS server có thể chịu trách nhiệm cho việc chứng thực và các yêu cầu cấp quyền, thiết lập một kết nối ủy quyền (proxy connection) và vận chuyển dữ liệu giữa hai đầu cuối. Bởi vậy, SOCKS thường được dùng như một firewall mạng sơ cấp trực tiếp kết nối các yêu cầu từ các host ở phắa đối điện của một SOCKS server.
Việc thực thi SOCKS dựa trên hai thành phần. Đó là SOCKS server và SOCKS client. Khi một SOCKS client cần kết nối đến một thực thể bên ngoài, nó sẽ chuyên yêu cầu kết nối đến SOCKS server. Sau đó SOCKS server kết nối đến node đắch. Sau khi một kết nối được thiết lập giữa SOCKS server và node đắch, SOCKS client chuyển dữ liệu đến SOCKS server và được chuyển đến thiết bị đắch, cũng vậy thiết bị đắch không thể kết nối trực tiếp đến SOCKS client mà thay vào đó, nó chuyền đữ liệu hoặc các yêu cầu đến SOCKS server, rồi SOCKS server chuyển cho SOCKS client. Hình