Bosh sahifa Wiki PAT

PAT

PAT — Port Address Translation, ya’ni bir nechta ichki qurilmaning ulanishlarini bitta yoki oz sonli tashqi IPv4 manzil orqali uzatish uchun IP manzil bilan birga TCP yoki UDP portlarini ham o‘zgartiradigan NAT turi. U ko‘pincha NAT overload deb ataladi. Uy routeri ichidagi ko‘plab qurilmaning internetga bir public IP orqali chiqishi PATning keng tarqalgan ko‘rinishidir.

Moslik yozuvi

Ichki host 192.168.1.20:51500 dan 203.0.113.10:443 ga TCP ulanish boshlasa, router manbani 198.51.100.7:40001 ga almashtirishi mumkin. NAT jadvalida ushbu oqimga mos yozuv saqlanadi:

Ichki manba Tashqi ko‘rinish Masofaviy manzil
192.168.1.20:51500 198.51.100.7:40001 203.0.113.10:443

Javob 198.51.100.7:40001 ga kelganda router jadval orqali uni 192.168.1.20:51500 ga qaytaradi. Boshqa ichki qurilma ayni tashqi serverga ulansa, boshqa tashqi port oladi. Shu portlar bitta public IP ortidagi oqimlarni ajratadi.

Protokollar bo‘yicha ishlashi

TCP va UDP 16 bitli port maydoniga ega. PAT paketning IP va transport sarlavhasini o‘zgartirgani uchun IPv4 header checksum hamda TCP/UDP checksumini qayta hisoblaydi. ICMP echo kabi porti bo‘lmagan trafikda identifier qiymati moslik uchun ishlatilishi mumkin. Barcha IP protokollari portga ega emas, shu sababli PAT ularni bir xil qulaylikda multiplekslay olmaydi.

Ba’zi amaliy protokollar IP manzil yoki portni payload ichida yuboradi. Oddiy header tarjimasi ichki qiymatni o‘zgartirmaydi. Application Layer Gateway payloadni tushunib tuzatishi mumkin, lekin shifrlangan yoki yangi protokol versiyasida bu ishlamasligi ehtimol. FTP active mode, ayrim SIP va eski o‘yin protokollari tarixan shu muammoga duch kelgan.

Port tanlash va sig‘im

Tashqi portlar cheklangan resurs. Nazariy 65 536 qiymatning bir qismi well-known, rezerv yoki siyosat sabab ishlatilmaydi. Moslik odatda manba IP, manba port, maqsad IP, maqsad port va protokolga qarab yuritiladi; implementatsiya bir tashqi portni turli masofaviy endpointlar bilan qayta ishlatishi mumkin.

Ko‘p parallel ulanish port exhaustion keltirib chiqaradi. Router yangi mapping yarata olmay qoladi, garchi kanal o‘tkazuvchanligi hali yetarli bo‘lsa ham. Bir nechta public IP pooli, oqilona timeout va zararli ulanishlarni cheklash sig‘imni boshqaradi. TCP holati FIN/RST bilan, UDP esa faoliyat timeouti bilan tugaydi.

Kiruvchi ulanishlar

Tashqaridan o‘z-o‘zidan kelgan paket uchun PAT jadvalida mos yozuv bo‘lmasa, router qaysi ichki hostga yuborishni bilmaydi. Port forwarding yoki statik DNAT ma’lum tashqi portni ichki xizmatga bog‘laydi. UPnP kabi protokollar ilovaga mapping so‘rash imkonini beradi, ammo ruxsat chegarasi xavfsizlikka ta’sir qiladi.

PAT firewall bilan bir xil tushuncha emas. State jadvali kiruvchi tasodifiy trafikni amalda cheklasa ham, xavfsizlik siyosati alohida filter qoidalari bilan belgilanadi. NAT manzilni yashiradi, lekin paketni shifrlamaydi va foydalanuvchini autentifikatsiya qilmaydi.

IPv6 bilan munosabati

IPv6 katta manzil makoni sabab odatiy internet chiqishi uchun PATga muhtoj emas. Har qurilma global manzil olishi mumkin, kiruvchi trafik esa stateful firewall bilan boshqariladi. NAT66 mavjud bo‘lsa-da, IPv4 PATning manzil tejash vazifasi IPv6 arxitekturasining asosiy talabi emas.

Bog‘liq tushunchalar

NAT, SNAT, DNAT, Port forwarding, NAT table, Port exhaustion