NATタイプとは?
NAT変換する際のポート番号、逆変換の対象に関連するタイプ分けです。(動的NAT、静的NAT、NAPTなどとはまた別の分類です。)、家庭用のBBR(ブロードバンドルータ)では設定は変更できないようになっています。
NATタイプの大まかな分類
cone型とSymmetric型の2種類があります。
cone型
宛先に関わらず、唯一のアドレスを生成します。
イメージ図
後は、LAN側のNATがWAN側へ一度でも送信したことがあるかでセキュリティレベルが変わってきます。ただ、セキュリティレベルが高くなったとしても(address restricted portやport restricted portが使われた場合でも)クライアントAとクライアントBで一度送受信を行えば相手のNATに通信履歴が登録されるので、向こう側からの通信が成功するのでUDPホールパンチングは成功します。
Symmetric型
宛先ごとに動的にポート番号を生成します。なので、cone型のように一度失敗してNATテーブルに宛先を記憶させてアクセスさせるというような手法は使えません。
NATタイプの種類
Full cone(フルコーン) NAT(セキュリティレベルが低い)
「インターネット側からLAN側への通信において、一度も送信したことがないIPアドレスでも受信可能な方式」です。(なお、UPnPのポートマッピングはほぼこれに該当します。)
一度NATの変換され、対応エントリが存在する場合には、一度も送信したことのないWAN側の端末からのパケットもエントリが存在するIPアドレス:Port番号宛てにパケットが届いた場合はLAN側に転送する。
Address-Restricted cone(制限付きコーン) NAT(セキュリティレベルが低め)
「一度送信した端末(NATデバイス上にWAN側に送信先アドレスのエントリが存在する場合)であれば受信可能」な方式です。
一度送信したことのある端末からのパケット(送信元IPアドレスが一度送信したことある端末のも)であるならば、WAN側からのエントリが存在するIPアドレス:Port番号宛てにパケットが届いた場合はLAN側に転送する。
Port-Restricted cone(ポート制限付きコーン)NAT(セキュリティレベルが高め)
「一度送信した端末(NATデバイス上にWAN側に送信先アドレスと送り元Portのエントリが存在する)であれば受信可能」です。
一度送信したことのある端末からのパケット(送信元IPアドレス:Port番号が一度送信したことある端末のも)であるならば、WAN側からのエントリが存在するIPアドレス:Port番号宛てにパケットが届いた場合はLAN側に転送する。
*つまり、WAN側からきたパケットの送信元IPとportが一回送信したことのあるやつじゃないと通さないってことですね。
Symmetric(シマンテック、対象型) NAT(セキュリティレベルが高い)
対象型NATは最も制限の厳しいもので、「宛先アドレスとポートを用いて接続先を区別し、一つの接続先に対し一つのアドレス変換を用いる」方式です。
LAN側のIPアドレス:Port番号とNAT変換されるWAN側のIPアドレス:Port番号が1対1に対応し、WAN側の宛先毎に変換されるport番号が変わる。
*LAN側の端末A(192.168.1.1,port1000)がWAN側の端末B(10.10.10.1,port80)に対してパケットを送信する際にはNAT変換されたIPアドレスとPort番号は(仮10.10.10.100,port1000)となるが、LAN側の端末A(192.168.1.1,port1000)がWAN側の端末C(10.10.10.2,port80)に対してパケットを送信する際にはNAT変換されたIPアドレスとPort番号は(仮10.10.10.100,port1001)となる。より具体的には宛先Bのport80とport20に対してパケットを送信した場合にも同様に変換される歳のポート番号が変わることになる。
この記事へのコメントはありません。