Прочитал статью wiki:NAT
Всё равно многое непонятно. Может кто подкинет книжку "Сисадминство для старого чайника"?

че непонятного? вот сидишь ты в серой сетке с адресом 192.168.0.50 и есть у тебя выход в интерент через шлюз 192.168.0.1, который имеет внешний адрес  92.55.44.33... вот идут пакеты с твоего серого ИП например на яндекс. И в пакетах твой серый ИП заменяется на внешний - 92.55.44.33. когда ответы приходят, заменяется получатель опятьна серый и переправляется тебе.
Как то так...

А если NAT выключен, то до моего IP пакеты не дойдут?

неа.. раз (1) не дошел, то и остальные пакеты не дойдут

(2)А как? если они не знают куды идти... :-))

Т.е. NAT это не опциональная штука, он есть всегда?

(5)кто сказал что он есть всегда? обычно когда открываешь общий доступ к сетевому подключению винда включает службу нат... или когда себе прописываешь адрес 192.168.0.1. вроде тогда тоже сама врубается

Например у меня в раутере есть опция "Включить NAT", т.е. если я ее выключу, то сеть не будет функционировать? Или это аппаратный NAT выключиться и сеть будет на виндовом NATt жить?

На роутере можно его выключить, тогда он просто будет транслировать пакеты через себя на внешний адрес. Соответственно, из сети под своим адресом он пропадет

(7) Будет как в (8), но еще роутер перестанет на адресе шлюза отвечать, и ты не сможешь попасть в его интерфейс и вернуть все взад :)

А если у меня в сети 2 компа 192.168.1.2  192.168.1.3, белый внешний IP скажем 95.200.210.1
Выключаю NAT на раутере, IP обоих компьютеров станет = белому внешнему IP ?

Но это же DHCP адреса раздаёт, причём тут NAT

(9) Почему перестанет? Из внутренней сети - ответит, поскольку NAT не станет преобразовывать "родные" пакеты.

(10) Каждый останется при "своём" IP. Который извне не виден.

(13) Соединение с интернет будет функционировать?

компьютер 192.168.0.2 отправляет пакет на адрес 207.46.197.32 чере роутер 192.168.0.1 и внешнишним 92.200.210.1 ...
в заголовке пакета:
кому - 207.46.197.32
от кого - 192.168.1.2

роутер перебрасывает пакет с 192.168.0.1 на 92.200.210.1
меняет заголовок пакета
кому - 207.46.197.32
от кого - 92.200.210.1
добавляет в таблицу трансляции
был отправлен пакет от 192.168.0.2 по адресу 207.46.197.32
отправляет пакет по указаному адресу

адресат получи пакет обрабатывает ... смотрит надо возращать или нет ... если надо ... то отправляет ответный пакет по адресу из заголовка ... то есть 92.200.210.1 ...
заголовок ответного пакета
кому - 92.200.210.1
от кого - 207.46.197.32

92.200.210.1 перебрасывает пакет на 192.168.0.1
смотрит в таблиции трансляции кому из его подсети надо вернуть пакет ... меняет заголовок
кому - 192.168.0.2
от кого - 207.46.197.32

отправляет пакет по адресу

(12) Так у него своего ip не будет, на каком адресе он будет отвечать?

(15) Очень доходчиво, спасибо большое. Это NAT так работает?

NAT сделан для того чтобы сэкономить ИП-адреса в интернете.если бы все использовали для выхода в глобальную сеть свой ИП-адрес, то давно бы уже эта сеть была полна, т.е заполнена по максимуму , поэтому переход на IPv6 неизбежен.
По вашей сути проблемы , все ваши айпи-адреса в локальной сети преобразуются в айпи-адрес провайдера который и дает вам доступ в интернет.

(17)угу

(18)вообще-то, для "экономии адресов" "сделан" был прокси (одна из функций), классический nat экономию по белым адресам не дает, т.к. трансляция идет 1к1.

(17)да. Который NAPT (PAT, маскарадинг).

ну вообще-то прокси был сделан несколько для другого ... и именно поэтому еще живет несмотря на засилье дешевых средств маршрутизации с аппаратной поддержкой трансляции адресов

(20)  здрасте загуляли...давайте дадим лок. сети в 10000 сетевых устройств белый адреса провайдера ,  как думаете как скоро провайдер одумается использовать NAT технологию ? правильнее будет то что технологию NAT можно сделать разными способами включая и прокси,и файерволл и любое средство маршрутизации пакетов.

(19) Еще тогда вопрос на понимание, если я отключаю NAT, то в пакете адрес перебросить некому и 207.46.197.32 получает следующее:

кому - 207.46.197.32
от кого - 192.168.0.1

Правильно?

(24)если чисто в маршрутезаторе да ... ну и соотвественно 207.46.197.32 вернет пакет для любого известного ему 192.168.0.1 ... если таковой имеется ... ежили нет то тупо пакет не вернется

(21) Че это да... адрес всеравно должен преобразоваться во внешний? или нет?

(25) Спасибо, понял!
(21) Еще есть какие-то другие NAT?

мне кажется будет все равно:
кому - 207.46.197.32
от кого - 92.200.210.1

тока роутер не поймет куда дальше переслать вернувшийся пакет

(28) А откуда локальный компьютер знает что "от кого" это 92.200.210.1? Я так думаю, что у него есть свой IP и IP шлюза, куда он засылает пакет.

(29) ну хз...

Говорят, что если включить DHCP-сервер на роутере и воткнуть внешний кабель в порт LAN, то придут монтажники и объяснят принцип действия сети

(31) :)))

(22)я написАл, что раздача инета (точнее определенных сервисов) куче серых ПК через один белый - лишь одна из функций прокси, возможно, побочная (помимо кэширования и маскировки клиента).
(26)должен. Но в классическом nat'е однозначная трансляция адреса в адрес, а в napt - к адресу добавляется ещё и порт, с которого клиент коннектится к серверу nat. Для обратных преобразований используется таблица соответствий адрес+порт.

просче не думать как оно происходит, а представить как сам себе знаешь
один фиг никто ничего внятного не объяснит и ни в одной книге не напишет

нат
снат
днат
...

(34)а что там не понятно?
На сервер коннектится клиент, в пакете есть адрес назначения.  Сервер пересылает пакет на адрес назначения со своего адреса и запоминает порт соединения. Когда приходит ответ снаружи на адрес сервера, то в таблице ищется запись, соответствующая порту соединения. Если найдена - берем из этой записи (строки) адрес исходного запроса и на него пересылаем пакет.

(0) NAT это http://www.nat.ru/ - Национальная ассоциация телерадиовещателей

(29) в таблице маршрутиризации хранится дискриптор соединения и он является определяющим для преобразования.

по этому через нат нельзя извне открыть соединение во внутрь, соединение всегда исходящее (не путать с правилами входящее/исходящее)

(38) Кстати, иногда можно. На днях была статья на хабре.

http://habrahabr.ru/blogs/sysadm/134638/

(39) ну это вообще-то не про nat, это прямой роутинг, так работает портмапинг...

(0)
есть еще просто route

(0) погугли proxy vs nat, прокси или нат. Станет легче
например
http://life-in-code.livejournal.com/81920.html
когда станет легче, не забудь погуглить upnp nat
например
http://www.redline-software.com/rus/support/articles/general/questions_and_answers_on_technology_upnp_nat_traversal.php

(24)Такого примера как ты привел не может быть в природе -
кому - 207.46.197.32  Это реальный адрес хоста в интернет.
от кого - 192.168.0.1 Это серый адрес локальной сети, не имеющей доступа в интернет

Если у тебя на компьютере адрес вида 192.168.0.1, то ты в интернет не попадешь, если конечно у тебя в сети нет роутера на котором включен NAT  и который преобразует твой адрес в реальный адрес вроде 92.200.210.1

Все это проще понимать на примере телефонной сети -
Реальный адрес интернета - это реальный телефонный номер на который можно позвонить с любого телефона.
Серый адрес интернета(192.168.0.1)  - это внутренний телефонный номер "ООО Рога и копыта" например 3-25
NAT это миниАТС фирмы "Рога и копыта"
Допустим работник фирмы "Рога и копыта" звонит со своего номера 3-25 в Москву.
Его звонок идет сначала на миниАТС фирмы, и уже миниАТС набирает нужный номер до московского абонента, и абонент видит именно номер миниАТС, и ничего не знает про внутренний номер 3-25.
Т.е имея серый адрес или внутренний телефонный номер, вылезти напрямую в сеть невозможно, тебя может вывести в эту сеть только устройство которое имеет реальный адрес/номер в этой сети.

(43) ОК, спасибо. Тогда вопрос, если я выключеным NAT иду куда-нибудь на 207.46.197.32, то на 207.46.197.32 пакет дойдет? И если дойдет, то что там будет в "от кого" -  белый ip 92.200.210.1 или ip компьютера 192.168.1.2, с которого ушел пакет?

И еще вопрос, если NAT выключен, а в компьютерах установлены вручную адреса 192.168.1.2 и 192.168.1.3, то:
1) Будут ли эти адреса конфликтовать с эквивалентыми адресами у других пользователей в сети провайдеру?
2) Если им указать в качестве шлюза белый ip будет ли на них работать интернет?

(44) Теоретически, никто не станет маршрутизировать пакеты с локальными IP: "Because private addresses have no global meaning, routing information about private networks shall not be propagated on inter-enterprise links, and packets with private source or destination addresses should not be forwarded across such links" (RFC 1918)

1. Есть маска подсети. Что под неё попадает - считается, что в той же локальной сети и "наружу" не маршрутизируется.
2. Можно настроить рутер так, чтобы всё отдавалось - но кому-то одному.

(45) не все теоретики, есть и практики-провайдеры которые вполне так машрутизируют приватные адреса и без впн-нов, и начхали они на рфс )

(44) за натом нет ничего для внешней сети, внешка видит только внешний интерфейс ната, за ним черный ящик извне.
1) могут. Например дом заведен на "простой" свич, пяток домов объединены "умным", который уже режет. Так быть не должно, но так есть. У некоторых неадаптированных прошивок роутеров от этого крышу рвет.
2) они внешку не видят же!!11 роута к ней нет

(44)
да все просто
на самом деле твой пакет идет не сразу на 207.46.197.32 , а через кучу серверов супер сети, которые хранят огромные таблицы маршрутизации и в обратку тоже прийдет - это обычная маршрутизация
минус в том что маршрутизация работает с пакетами последовательно а nat параллельно

поэтому простой роут используется во внутренних сетях где большие скорости, а nat во внешних, где скорости реально меньше возможностей сетевой карты

+(44)
вообще о твоих внутренних адресах знает только конечный маршрутизатор, смотрящий в интернет

никто снаружи не догадается о внутренн сети, пока ему не придет из нее пакет
кстати еще один плюс NAT

(44)
NAT - обеспечивает трансляцию внутренних адресов во внешнюю сеть, если ты его выключишь, то у тебя просто не будет доступа во внешку.
Если конечно этот доступ не обеспечивает другой сервис, например прокси.
Т.е  просто маршрутизировать серые адреса наружу нельзя, нужен нат, прокси, или что -то подобное.
Обычно если взять среднестатический роутер SOHO класса, и вырубить на нем NAT, то он переключиться в режим бриджа.
Поэтому ответ такой - скорее всего не дойдет, ибо никто его туда не проводит, а сам он дороги не знает, однако если все же дойдет, значит какой то сервис помог, значит у получателя,
будет виден белый адрес с которого он пришел.

1.Все зависит от того в каком режиме будет работать роутер с выключенным NAT'ом.

2.Указать в качестве шлюза белый айпи нельзя, т.е указать то конечно можно, однако толку от этого будет ноль.
Что такое шлюз? Это дверь из внутренней сети во внешнюю, соответственно нужно указывать тот номер который прибит на двери изнутри, а не снаружи.
Вот представь - человек заперт в офисном здании и ищет выход (типа как в х/ф "Чародеи", вокруг он видит только таблички с однотпными номерами 2-07 или 1-35, и тут ты подсказываешь ему где выход, т.е указываешь шлюз,
говоришь выход это парадная дверь дома номер 7 по улице такой-то.
Естественно толку от такой подсказки будет ноль, он не имеет доступа на улицу, поэтому шлюз указывать нужно только внутри существующей адресации, т.е внутренний адрес роутера который имеет доступ в интернет.

(46)Ну это исключение, а не правило, в сети можно много всякого непотребства учинить, но разговор-то не об этом.

(44) Почитай Олифера и Олифера Сетевые протоколы. Обалденная вещь. Зачем выяснять какие то частности когда можно потратить меньше времени на всю систему вообще?

(52)+100
Хотя по себе знаю - как правило надо сейчас и конкретно, а читать с самых основ долго, и  лениво.
Для этого миста и существует.