NAT porttien avaus teoria.

NAT

NAT on modeemin toiminto jossa muunnetaan IP-osoitteita Internetin julkisista kotiverkon ykstyisiksi. NAT mahdollistaa vaikka satojen lähiverkon koneiden liittämisen nettiin vain yhdellä julkisella IP:llä. NAT estää lähiverkossa olevien "palvelujen" vuotamisen internettiin ja näin lisää tietoturvaa. Jos NAT:n takana haluaa pitää palvelinta(P2P ohjelma) pitää siihen avata haluttu portti.

Porttiohjaus

Tämä opas pyrkii selittämään mitä porttiohjaus/porttien avaus tarkoittaa ja miten se teoriassa tehdään.

Useat ADSL-modeemit ovat tehdasasetuksilla reitittävässä(routing) tilassa jolloin kaikki modeemin kautta kulkeva liikenne käsitellään modeemissa. Useimmiten käsittelyyn kuuluu osoitteen muunnos julkisen ja yksityisen IP-osoitteen välillä. Osoitteen muunnosta kutsutaan NAT:ksi eli Network Address Translation.



Julkinen IP-osoite on osoite joka reitittyy Internetin reittimillä ja niitä on rajallisesti(4,294,967,296 osoitetta). Yksityinen IP-osoite on osoite jota ei reititetä missään tapauksessa Internetin reitittimillä. Yksityisiä IP-osoitteita saa käyttää vapaasti, mutta niillä ei pääse Internettiin ilman NAT:a.

Yksityiset IP-osoitteet:
10.0.0.0 – 10.255.255.255
172.16.0.0 – 172.31.255.255
192.168.0.0 – 192.168.255.255
169.254.0.0 – 169.254.255.255

Metafora:
IP-osoite on vähän kuin kerrostalon katuosoite. Sen mukaan voidaan ohjata paketti vastaanottajan talolle, mutta jos kyseessä on kerrostalo tai toimisto ei paketin toimittamiseen riitä välttämättä pelkkä katuosoite. Portti on vähän kuin asunnon/huoneen numero minne paketti toimitetaan katuosoitteessa.

Miksi osoitteen muunnosta sitten käytetään?
NAT antaa hieman lisäturvaa estämällä Internetistä PC:lle päin tulevat ylimääräiset yhteydet. NAT seuraa pakettiliikennettä ja salliin pakettien kulun PC:ltä Internettiin ja samoihin paketteihin tulevat "vastaus" viestit, kuten nettilinkin klikkaus ja siitä aiheutuva sivun latautuminen.

Mitä haittaa NAT:sta on?
Ei mitään jos se on konfiguroitu oikein. NAT estää oletuksena palvelimien pitämisen ADSL:n takana, mutta oikein konfiguroituna se ei aiheuta mitään ongelmia. Kaikki palvelin ohjelmistot "kuuntelevat" tiettyä porttia tulevien yhteyspyyntöjen varalta, kuten nettipalvelimet kuuntelevat porttia 80(HTTP) ja sähköpostipalvelimet porttia 110(POP3). Jos tarvittava portti ohjataan NAT:n läpi PC:lle ei palvelinohjelmisto edes "huomaa" NAT:n olemassaoloa.

Verkkopelejä ajatellen NAT saattaa kasvattaa Pingiä eli verkkolagi kasvaa, mutta tämä on laitekohtaista ja se tulisi todeta käyttäjäkohtaisesti.

P2P
Yleisin syy miksi NAT:a kirotaan on P2P ohjelmat. Azureus, DC, µTorrent, Bitcomet, eMule, jne ovat kaikki palvelinohjelmistoja. Jotta P2P ohjelmat toimisivat oikein tulee niiden tarvitsemat portit ohjata NAT:n läpi. Ilman NAT:n puhkomista ei P2P ohjelma toimi oikein jos ollenkaan.

Porttiohjaus
Ensin pitää selvittää onko oma kone NAT:n takana. Ajamalla ipconfig komennon ja vertailemalla sen antamaa IP-osoitetta yllä näkyvään Yksityiset IP-osoitteet tauluun. Jos Ip-löytyy taulukosta on modeemissa NAT päällä.
Windows XP: Käynnistä->Suorita->cmd->ipconfig /all
Linux: Konsolissa komento ifconfig

Seuraavaksi oman PC:n IP-osoite pitää määritellä kiinteäksi. Ilman kiinteää IP-osoitetta ei porttiohjaus ole mahdollista ainakaan koti ADSL-modeemeilla. Ipconfig komennon kertoma Ip-osoite käy mainiosti kiinteäksi IP:ksi. Testaa kiinteän IP:n antamisen jälkeen, että Internet yhteys toimii normaalisti.

Sitten selvitetään mitä portteja tarvii avata NAT:sta. Useimmissa P2P-ohjelmissa voi määrittää itse portin jota käytetään ja se onkin suositeltavaa. Monet palveluntarjoajat estävät oletusporttien toiminnan ja NAT:n puhkomisesta ei ole mitään apua. Eli valitse portti vaikka väliltä 20000-50000. Palvelinohjelmassa mahdollisesti oleva portin arpominen pitää ottaa pois käytöstä(esim µTorrent). Jos kyse on pelipalvelimesta alla on linkki Wikipediaan jossa on joidenkin pelien käyttämiä portteja.
http://en.wikipedia.org/wiki/TCP_port_numbers

Nyt voidaan ottaa yhteys ADSL-modeemin hallintakonsoliin ja suorittaa porttiohjaus. ADSL-modeemin IP-osoite löytyy ohjekirjasta ja se yleensä on ipconfig komennon antama oletuskäytävä(default gateway) osoite. Avaamalla modeemin IP-osoite nettiselaimessa päästään muuttamaan modeemin asetuksia. Modeemien asetuksissa on eroja ja en rupeakaan eri versioiden valikoita sepostamaan. Yleisesti ottaen yleensä pitää löytää asetuksista NAT tai Virtual Server asetukset. Porttiohjaus asetuksissa kysytään yleensä alkuportti, loppuportti ja IP-osoite tai pelkkä portti ja Ip-osoite. Laita kaikkiin porttikohtiin samalla rivillä haluamasi portti ja IP-osoitteeksi PC:lle antamasi kiinteä IP-osoite. Nyt testaa toimiiko ohjaus käynnistämällä haluttu sovellus. Jokainen samankaikaisesti päällä oleva palvelin tarvitsee oman porttinsa, että paketit ei mene sekaisin.

Modeemikohtaisia ohjeita porttien avaamiseksi löytyy portforward sivulta. Ohjeissa on modeemin hallintakonsolin Ip-osoitteet ja kirjautumis salasanat, sekä ohjelmakohtaiset ohjeet porttien avaamiseksi yleisimpiin ohjelmiin.
http://www.portforward.com

EDIT: Typoja ja verkkolagi lisäys.

 

Yhden asian tosin huomasin negatiivista porttiohajuksen jälkeen , enkä tiedä onko se yleensä siihen liitoksissa, mutta en enää pääse yhdelle ruotsalaiselle pelisivulle pelaamaan...

 

Loistavaa asiatekstiä. Tässä kuitenkin pari typoa
NAT seuraa pakettiliikennettä ja salliin pakettien kulun PC:ltä Internettiin ja samoihin paketteihin tulevat "vaustaus" viestit

Ilamn NAT:n puhkomista ei P2P ohjelma toimi oikein jos ollenkaan.

Tietenkin noista tcp:n udp:n eroista olisi voinut vähän selventää, eli kumpi on sisään ja kumpi ulos menevää liikennettä.

 

TCP ja UDP eivät määrää suuntaa. Ne ovat eri tarkoitukseen tarkoitettuja siirtotapoja. TCP:ssä pidetään huoli siitä että paketit menevät varmasti perille. UDP:ssä ei pidetä tästä huolta, joten jos paketit hukkuvat matkalla niin asialle ei tehdä mitään (käytetään tämän takia esim. streamaukseen).

NAT:ia käytetään myös sen takia että 32-bittisen IPv4:n osoiteavaruus ei tahdo riittää kaikille, mutta kotikäytössä tämä on turhaa tietoa.

 

Mistähän olisi jäänyt tuollainen kuva, mutta hyvä kun korjasit

 

Tämä tieto oli aluksi tuossa raakaversiossa, mutta ei sillä tiedolla ole merkitystä tälle oppaalle.

 

Eli jos minun ip ei näy tuossa listassa minulla ei oli nat päällä?


asdg ei siis voi olla sen syy miksi cs ei toimi vai?

Bitcomet ja dc++ toimii eli onko se päällä?

 

Ei ihan niinkään, mutta varmuuden saat katsomalla antaako komento ipconfig ja nettisivu http://www.whatismyip.com saman IP-osoitteen. Jos antaa niin NAT ei ole päällä.

Mikä on asdg? P2P ohjelmat voi toimia NAT päällä ilman säätöä, mutta ei parhaalla mahdollisella tehokkuudella.

 

Tarkoitin Nat.

Molemmat näyttävät eri IP osoitetta mitä tämä tarkoittaa.

ja miten saan cs toimimaan parhaalla mahdollisella tavalla eli nat pois päältä

 

Jos molemmat näyttää eri osoitetta niin silloinhan jossain välissä tapahtuu osoitteen muutos eli NAT.

CS ei ole P2P ohjelma eikä NAT:n puhkominen pitäis olla tarpeellista ellet aio pitää CS palvelinta. Jos aiot pitää palvelinta niin http://www.portforward.com kertoo modeemikohtaisesti miten avaat oikeat portit.

 

aa kiitoksia

 

Oon kans vähä hukas tän NATin kans.. Löysin netistä aika hyvät ohjeet millai DC++:n aktiivi-tilan sais toimimaan. Ainoo juttu mikä mietityttää on se, että jos NATista avaa portin DC:lle, ni pääseekö muu DC:hen liittymätön liikenne siitä portista kans koneelle. Eli käytännössä, jos menen nettiin, niin käyttääkö virukset tota porttia sitten hyväkseen?

 

Kaikki TCP/IP paketit on osoitettu tietylle IP-osoitteelle ja tietylle portille. Paketti ei voi muuttaa itse kohdettansa kesken matkan, vaan siihen tarvitaan jokin verkkolaite joka käsittelee pakettia. Vertauksena jos postin jakajalla on paketti(TCP/IP paketti) niin siinä paketissa on katuosoite(IP-osoite) ja asunnon numero(portti numero). Postinjakaja ei vaihda jakeluosoitetta paketille vaikka et avaisi ovea ja naapurin ovi(eri porttinumero) sattuisi olemaan auki.

Jos jokin haittaohjelma osuukin oikeaan avonnaiseen porttiin kulkeutuu sen paketti sille ohjelmalle jolle portti on avattu. Kyseinen ohjelma ei tunnista paketti omakseen ja pudottaa sen. Eri asia on sitten jos kyseessä on sille ohjelmalle räätälöity haittaohjelma...

 

"Jos jokin haittaohjelma osuukin oikeaan avonnaiseen porttiin kulkeutuu sen paketti sille ohjelmalle jolle portti on avattu"

Eli kun DC:n asetuksista löytyy NATia vastaava portti, niin muut ohjelmat eivät käytä tätä porttia?

 

Jos pistät DC:n asetuksista jonkin portin käyttöön ja DC ohjelma on päällä niin toisella ohjelmalla saman portin käyttö ei pitäisi onnistua. Jos onnistuu niin liikenne mene pahasti sekaisin.

 

Miten löytäisi Wirelessille salasanat ja usernamet kun en portforwardista ainakaan löytänyt? Wireless 11G ADSL Router siis...

 

Wireless tuskin on sen laitteen merkki, se kun tarkoittaa langatonta. Katsopa sen modeemin pohjasta onko siellä tarraa jossa lukee laitteen merkki ja tarkka tyyppi.

 

Mun pitäis toi BitComet saada toimiin, muuta kone on NATin takana, joten voiko joku YKSINKERTAISESTI selittää mitä pitää tehdä??

 

Vaihtoehtoja on kaksi.
1. Avaat NAT:sta portin BitCometille.
2. Otat NAT:n pois käytöstä.

Itse suosittelen ensimmäistä, mutta se ei kaikilta onnistu jostain syystä.