Trong cấu trúc liên kết mạng bên dưới, một máy chủ web phía sau bộ định tuyến nằm trên không gian địa chỉ IP riêng và bộ định tuyến thực hiện NAT để chuyển lưu lượng truy cập đến địa chỉ IP công cộng của nó đến máy chủ web phía sau nó.

NAT-FPT

Cấu hình NAT sẽ như dưới đây:

/ip  firewall  nat

add chain=dstnat  dst-address=1.1.1.1  protocol=tcp  dst-port=80  \ action=dst-nat  to-address=192.168.1.2

add chain=srcnat  out-interface=WAN  action=masquerade

 

Khi một máy khách ra Internet có địa chỉ IP 2.2.2.2 thiết lập kết nối với máy chủ web, bộ định tuyến sẽ thực hiện NAT như được định cấu hình.


NAT-FPT

1.  Khách hàng gửi một gói có địa chỉ IP nguồn 2.2.2.2 đến địa chỉ IP đích 1.1.1.1 trên cổng tcp / 80 để yêu cầu một số tài nguyên web.

2.  Bộ định tuyến đích NAT gói tin thành 192.168.1.2 và thay thế địa chỉ IP đích trong gói tương ứng. Địa chỉ IP nguồn giữ nguyên: 2.2.2.2.

3.  Máy chủ trả lời yêu cầu của khách hàng và gói trả lời có địa chỉ IP nguồn là 192.168.1.2 và địa chỉ IP đích là 2.2.2.2.

4.  Bộ định tuyến xác định rằng gói là một phần của kết nối trước đó và hoàn tác NAT đích và đặt địa chỉ IP đích ban đầu vào trường địa chỉ IP nguồn. Địa chỉ IP đích là 2.2.2.2 và địa chỉ IP nguồn là 1.1.1.1.

Máy khách nhận được gói trả lời mà nó mong đợi và kết nối được thiết lập.

Khi một máy khách trên cùng một mạng nội bộ với máy chủ web yêu cầu kết nối đến địa chỉ IP công cộng của máy chủ web, kết nối sẽ bị ngắt.

NAT-FPT

1.   Máy khách gửi một gói có địa chỉ IP nguồn 192.168.1.10 đến địa chỉ IP đích 1.1.1.1 trên cổng tcp / 80 để yêu cầu một số tài nguyên web.

2.   Bộ định tuyến đích NAT gói tin thành 192.168.1.2 và thay thế địa chỉ IP đích trong gói tương ứng. Địa chỉ IP nguồn giữ nguyên: 192.168.1.10.

3.   Máy chủ trả lời yêu cầu của khách hàng. Tuy nhiên, địa chỉ IP nguồn của yêu cầu nằm trên cùng mạng con với máy chủ web. Máy chủ web không gửi trả lời lại cho bộ định tuyến, nhưng gửi lại trực tiếp tới 192.168.1.10 với địa chỉ IP nguồn trong câu trả lời của 192.168.1.2.

  Máy khách nhận được gói trả lời, nhưng nó loại bỏ nó vì nó mong đợi gói trở lại từ 1.1.1.1 chứ không phải từ      192.168.1.2. Đối với khách hàng, gói tin không hợp lệ và không liên quan đến bất kỳ kết nối nào mà máy khách đã cố gắng thiết lập trước đó.

Để khắc phục sự cố, một quy tắc NAT bổ sung cần được đưa ra trên bộ định tuyến để thực thi rằng tất cả lưu lượng truy cập trả lời chảy qua bộ định tuyến, mặc dù máy khách và máy chủ nằm trên cùng một mạng con. Quy tắc dưới đây rất cụ thể chỉ áp dụng cho lưu lượng truy cập mà sự cố có thể xảy ra - nếu có nhiều máy chủ xảy ra sự cố, quy tắc có thể được thực hiện rộng hơn để tiết kiệm có một ngoại lệ như vậy cho mỗi dịch vụ được chuyển tiếp

/ip  firewall  nat

add chain=srcnat  src-address=192.168.1.0/24  \

dst-address=192.168.1.2  protocol=tcp  dst-port=80  \ out-interface=LAN  action=masquerade

NAT-FPT

Với quy tắc bổ sung đó, luồng hiện thay đổi:

  1. Khách hàng gửi một gói có địa chỉ IP nguồn là 192.168.1.10 đến địa chỉ IP đích là 1.1.1.1 trên cổng tcp / 80 để yêu cầu một số tài nguyên web.
  2. Bộ định tuyến đích NAT gói tin thành 192.168.1.2 và thay thế địa chỉ IP đích trong gói tương ứng. Nó cũng nguồn NAT cho gói và thay thế địa chỉ IP nguồn trong gói bằng địa chỉ IP trên giao diện LAN của nó. Địa chỉ IP đích là 192.168.1.2 và địa chỉ IP nguồn là 192.168.1.1.
  3. Máy chủ web trả lời yêu cầu và gửi trả lời với địa chỉ IP nguồn 192.168.1.2 trở lại địa chỉ IP giao diện LAN của bộ định tuyến 192.168.1.1.
  4. Bộ định tuyến xác định rằng gói là một phần của kết nối trước đó và hoàn tác cả NAT nguồn và đích và đặt địa chỉ IP đích ban đầu 1.1.1.1 vào trường địa chỉ IP nguồn và địa chỉ IP nguồn gốc 192.168. 1.10 vào trường địa chỉ IP đích.

Tuy nhiên, máy chủ web chỉ nhìn thấy địa chỉ IP nguồn 192.168.1.1 cho tất cả các yêu cầu từ máy khách nội bộ bất kể địa chỉ IP thực của máy khách nội bộ. Không có cách nào để tránh điều này mà không sử dụng bộ định tuyến có thể thực hiện kiểm tra DNS ở cấp ứng dụng và có thể viết lại bản ghi A tương ứng hoặc máy chủ DNS phân tách phục vụ máy khách bên trong địa chỉ IP của máy chủ nội bộ và máy khách bên ngoài địa chỉ IP máy chủ bên ngoài.

Điều này được gọi là - trong số các thuật ngữ khác - pin pin NAT vì luồng lưu lượng truy cập có máy khách vào bộ định tuyến thông qua cùng một giao diện mà nó để lại

------------------o0o------------------