Nat e ip privati

di
zio_mangrovia
il
10 risposte
Z
zio_mangrovia
Utente Attivo
Iscritto da
ott, 2015
Messaggi:
301

Nat e ip privati

Se da una rete privata non si configurasse il NAT sul router di frontiera per poter uscire fuori all'esterno, ovviamente non si navigherebbe!

Ma mi chiedo: se si cerca di raggiungere un server su Interne, il pacchetto della rete privata si ferma al router oppure si ferma al server ?

Cioè il router si accorge che il pacchetto ricevuto ha un ip mittente privato e lo droppa ? Oppure instrada semplicemente verso la destinazione ignorando il contenuto del mittente?

10 Risposte

  • O
    oregon
    Super Famoso
    Iscritto da
    nov, 2011
    Messaggi:
    21575

    Re: Nat e ip privati

    Stai facendo confusione.

    Se un router non fa uscire pacchetti è ovvio che si fermano lì perché il router non li propaga.

    Dovresti contestualizzare la domanda perchè forse parli di firewall o di router in ingresso verso la tua rete privata.

    Facci capire a cosa mira la tua domanda

  • Z
    zio_mangrovia
    Utente Attivo
    Iscritto da
    ott, 2015
    Messaggi:
    301

    Re: Nat e ip privati

    Mi sono espresso malissimo….spero di far chiarezza con questo esempio puramente didattico ma che sul campo non ha alcun senso.

    Consideriamo come esempio una piccola rete casalinga quindi con indirizzamento privato ed un puro router layer 3 che mi configuro autonomamente per interfacciarmi con l'esterno Internet, supponiamo che il modem adsl sia un device a se' stante:

    Supponiamo che sbagli e configuri il NAT per uscire dalla rete privata verso Internet e che non implementi la funzionalità di firewall, ma solo quella di routing.

    quindi ho:

    Internet – modem adsl – router – rete privata

    Se da un pc della rete privata provo a raggiungere un qualunque web server su Internet, il pacchetto a mio avviso verrà instradato verso il webserver e supposto che anche gli altri router intermedi siano configurati con la sola funzionalità di routing (niente fw) il pacchetto raggiungerà il web server. Corretto? 

    Il problema si pone quando deve rispondere perchè risponderebbe ad un indirizzo privato quindi non arriverà mai la risposta al mittente.

    Chiedo questo perchè un amico mi ha riportato questa affermazione che mi mette in confusione: 

    il router respinge i pacchetti provenienti dalla rete privata se vede che il mittente non è stato nattato.

    Cio' significa implementare la funzionalità di firewall immagino. Cosa ne pensate?

  • O
    oregon
    Super Famoso
    Iscritto da
    nov, 2011
    Messaggi:
    21575

    Re: Nat e ip privati

    Intanto lasciamo stare le funzioni di firewall che, se ci sono, servono ad altro.

    Il router prevede la traslazione dell'indirizzo (NAT) privato in quello pubblico assegnato dal tuo ISP. Il tuo IP privato non si presenta mai su Internet ma va solo l'indirizzo pubblico assegnato.

    Se esiste un solo indirizzo privato traslato in uno pubblico non esistono altri problemi in quanto il pacchetto al ritorno viene trasformato nuovamente ed indirizzato al device.

    Nella maggior parte dei casi invece, esistono tanti device con tanti indirizzi privati che sono tutti trasformati (nattati) sul tuo indirizzo pubblico assegnato. Per permettere al pacchetto di risposta di arrivare correttamente al device giusto interviene anche il PAT (traduzione della porta) che trasforma, per ogni ip privato, la porta che viene traslata dinamicamente in quella di destinazione. E' sempre chiaro però che il device che si collega sempre al server è il router (gateway) stesso con il suo IP pubblico assegnato. 

    Altro discorso è se un sistema su Internet vuole accedere ad un tuo sistema nella rete privata, per cui bisogna indicare al router, tramite regole, come fare.

    Sull'affermazione del tuo amico, non si capisce di quale router stia parlando, quindi non ti posso dire molto.

  • Z
    zio_mangrovia
    Utente Attivo
    Iscritto da
    ott, 2015
    Messaggi:
    301

    Re: Nat e ip privati

    Giusto per capire il meccanismo, se invece non configurassi il nat, nella stesso esempio, il pacchetto arriverebbe a destinazione ?

    ovviamente la risposta al mittente non riuscirebbe ad arrivare.

  • O
    oregon
    Super Famoso
    Iscritto da
    nov, 2011
    Messaggi:
    21575

    Re: Nat e ip privati

    Forse non mi sono spiegato.

    Se non natti l'indirizzo privato in pubblico, il pacchetto non esce. Cosa c'è che non comprendi?

  • Z
    zio_mangrovia
    Utente Attivo
    Iscritto da
    ott, 2015
    Messaggi:
    301

    Re: Nat e ip privati

    10/09/2023 - oregon ha scritto:

    Forse non mi sono spiegato.

    Se non natti l'indirizzo privato in pubblico, il pacchetto non esce. Cosa c'è che non comprendi?

    questo che mi stai dicendo, perchè senza nat non esce il pacchetto? Il nat in questo caso non traduce solamente il mittente da indirizzo privato in pubblico ? Ma questo non incide sulla raggiungibilità della destnazione, no ?

  • O
    oregon
    Super Famoso
    Iscritto da
    nov, 2011
    Messaggi:
    21575

    Re: Nat e ip privati

    Dall'interfaccia su Internet del router escono solo pacchetti che hanno l'indirizzo pubblico assegnato. Nessun pacchetto con IP privato potrebbe uscire se non ci fosse una regola di natting.

    Normalmente in questi casi interviene la ‘rotta di default’ che in genere indirizza il pacchetto verso null (lo scarta).

    E in ogni caso pacchetti con IP di classe privata non potrebbero raggiungere il server remoto perché droppati immediatamente da uno dei tanti router e dispositivi di rete presenti tra PC e server.

    Non so dove tu voglia arrivare, magari se lo spieghi

  • S
    sihsandrea
    Molto attivo
    Iscritto da
    feb, 2011
    Messaggi:
    1574

    Re: Nat e ip privati

    Pensa ad un centralino telefonico.

    Ogni interno (pc nel caso di rete) è registrato sul centralino (router in caso di rete). 

    Se effettui una chiamata (vai sul web in caso di pc) entri in conversazione da e verso il telefono (invii e ricevi dati dal web).

    Se io non conosco l'interno non posso fare squillare il tuo telefono, allo stesso modo se non conosco il tuo ip nella rete privata non posso collegarmi al tuo pc.

    Se invece dico al router che esiste il mio pc e gli fornisco ip e porta, allora il pc è raggiungibile dall'esterno (conosco l'interno del telefono per usare l'esempio di prima).

    Diverso il discorso firewall.

    Il firewal funziona come il blocco delle chiamate da numeri in black list, solo che piuttosto che avere una black list hai una White list, cioè un elenco di ip che possono accedere alla rete.

    Spero che l'esempio sia chiaro.

  • Z
    zio_mangrovia
    Utente Attivo
    Iscritto da
    ott, 2015
    Messaggi:
    301

    Re: Nat e ip privati

    11/09/2023 - oregon ha scritto:

    E in ogni caso pacchetti con IP di classe privata non potrebbero raggiungere il server remoto perché droppati immediatamente da uno dei tanti router e dispositivi di rete presenti tra PC e server.

    Quello che vorrei farvi capire è che non sto parlando di ambiente reale ma semplicemente didattico dove cerco di immaginarmi un dispositivo quasi "vuoto" (router), appartenete al layer 3 dello stack protocollare, con funzionalità basic … tutto questo per capire il protocollo IP e quelli di liv. superiore. 

    Lasciando perdere appunto l'ambiente reale ma prendendo un router dove non ho messo NAT con solo rotte statiche  e che si interfaccia con la mia lan 10.64.1.0/24. 

    Se invio un pacchetto verso un web server di Internet, a prescindere dal comportamento dei router intermedi, il pacchetto dovrebbe uscire con IP privato e con ip pubblico del web server ? Poi cosa succede dopo è un'altra storia.

    Il router non guarda cosa c'e' nel campo destinazione del protocollo IP e instrada il pacchetto ? Se droppa il pacchetto siginifica che c'e' dell'altro.

    Non alcun senso la mia ipotesi ma se non capisco come si comporta il router da questo punto di vista mi è oscuro tutto il resto. 

    Dall'interfaccia su Internet del router escono solo pacchetti che hanno l'indirizzo pubblico assegnato. Nessun pacchetto con IP privato potrebbe uscire se non ci fosse una regola di natting.

    Questo perchè ci sono delle regole opportune che droppano i pacchetti ?

    Se non ci fosse alcuna regola di nat e si i pacchetti, come dici, non potrebbero uscire significa che c'e' una regola che droppa i pacchetti con ip privato diretti verso l'esterno, giusto ?

  • O
    oregon
    Super Famoso
    Iscritto da
    nov, 2011
    Messaggi:
    21575

    Re: Nat e ip privati

    Esiste sempre una rotta di default nei router, in genere serve a droppare i pacchetti che non possono essere ruotati.

    Un router serve proprio ad instradare pacchetti tra reti diverse. Ispeziona sempre il campo IP destinazione e decide sempre se instradare con natting o droppare, non esistono alternative.

    Detto ciò, mi sembra abbastanza.

    Non puoi chiedere come funzionerebbe un tuo ipotetico router che non è un router. Non mi va di perdere altro tempo. 

Devi accedere o registrarti per scrivere nel forum
10 risposte