( zrubi | 2021. 04. 18., v – 15:29 )

Én továbbra sem értem, mi a kapcsolat a NAT-al? 

 

Hát az, hogy NAT nélkül nem lehetne észrevétlenül csak úgy beállni két fél TCP/IP kommunikációjába (transparent proxy)

https://en.wikipedia.org/wiki/Network_address_translation#/media/File:N…

 

Egy router ugye  'csak' lecseréli a kliens által küldött TCP csomag fejléceiben a valódi forráscímet a sajátjára, majd így küldi azt tovább a szerver felé... A szerver a válaszcsomagot erre a hamis IP címre küldi, majd a router a NAT táblából visszakeresi, hogy ezt kinek kell továbbítania, amikor ismét lecseréli, de most a DST IP-t, az eredeti kliensére.

Így sem a kliens, sem pedig a szerver nem tudja, hogy ez valójában megtörtént, mindenki örül :)

 

De itt kizárólag a router 'jóindulatán' múlik, hogy 'csak' a fejlécet cserélgeti (általában azért, mert a kliens IP-je nem route-olható az interneten) De valójában akár az adattartalmat is kicserélhetné, ha akarná. És technikailag ezt megteheti bármelyik router amelyik a kommunukációs útvonalon van a kliens és a szerver között, akkor is ha valójában rendes IP-je van mindkét félnek.

Ezek alapján  pl IPv6 esetén elméletileg nincs is szükség NAT-ra, mert jut mindenkinek 'publikus IP'. - A gondolták ezt az internet újratervezői az IPv6 kitalálásakor....

 

Egy transzparens proxy pontosan ugyan ezt csinálja annak érdekében, hogy az adattartalmat ellenőrizhesse "menet közben". Az ellenőrzés akár arra is kiterjedhet, hogy változtat benne pl a vírusos file-okat nem engedi a klienshez, vagy az egész hozzáférést eleve megtagadja (URL filtering)

 

A TLS az csak a sikeres NAT után jön képbe, tehát a kommunikációba ékelődött transparens proxy a NAT segítségével 'átveri' a klienst és a szervert is, hogy a L7-es protokolokat is átnézhesse, vagy adott esetben módosítsa is. NAT nélkül már itt elbukna a dolog - ezért egy transzparens proxy funkcióhoz a NAT kötelező feature. - itt jön be az IPv6-ból eredetileg hiányzó feature a NAT, amit pont emiatt mégis utólag implementáltak:

https://hup.hu/cikkek/20111127/ipv6_nat_implementacion_dolgoznak_a_netf…

 

Igen ám, de pont az ilyen támadási forma kiszűrésére a TLS tanúsítványokat alkalmaz, ezért a transzparens  proxynak ezt is hamisítani kell - és itt elértünk a "hogyan maradjon zöld a lakat" és a "miért csinálják ezt egyáltalán" kérdésekhez, amiről ez a topic is szól.