verschil tussen NAT en routed subnet?

Volgens mij is routed subnet dat al je clients een "internet IP" krijgen en is NAT dat je één extern IP adres hebt.

een routed subnet is dat je een subnet "krijgt" zodat al je pc's een eigen ip heeft
dat subnet hoef je enkel te routeren en daarbij hoef je geen NAT toe te passen

je hebt meerdere vormen van routed subnet, een veelgebruikte vorm lijkt op NAT met het verschil dat het eerste apparaat na de router een pub IP krijgt een de gateway gebruikt die op de colo van de provider staat.

Nummer twee is dat je een compleet subnetje aan je router toegewezen krijgt: " network address, gateway address, usable IP, broadcast address.

en de variatie's hierop natuurlijk. Maar ligt aan je provider wat ze gebruiken, ik zou de vraag stellen aan je(of je mogelijke) provider..

Dus eigenlijk is Osiris best wel een geluksvogel!!!

Vinnienerd schreef op 03 June 2003 @ 17:18:
Dus eigenlijk is Osiris best wel een geluksvogel!!!

verklaar je post?

Iedereen wil toch meerdere ip nummers (je kan dan altijd nog een gedeelte van de werkstations onder NAT gooien). Geen geklooi met NAT. Duidelijke firewall. Ik zou het wel weten Het zal misschien iets duurder zijn, hoeveel kost het?

[ Voor 27% gewijzigd door Anoniem: 50345 op 03-06-2003 17:25 ]

Anoniem: 50345 schreef op 03 juni 2003 @ 17:23:
Iedereen wil toch meerdere ip nummers (je kan dan altijd nog een gedeelte van de werkstations onder NAT gooien). Ik zou het wel weten

* Erkens ziet euro's

en vaak kunnen alleen bedrijven dit soort pakketen nemen

Maar waarom zou je meerdere ip's nodig hebben? voor een normaal netwerkje wat een beetje surft/emailt?
nergens voor nodig.

Nodig misschien niet, maar NAT is een enorme hack. Ik hoop er nog eens vanaf te komen (ipv6 anyone?)

NAT een enorme hack? Ik volg je niet echt meer NAT is juist prachtig. Voor kleine clients die een beetje internetten en mailen hoef je dan maar één extern IP-adres te hebben. En hoe zuiniger omgesprongen wordt met IPv4 adressen, hoe beter.

ook niet kleine clients, ook voor grote,, je kan voor bv webservers http v1.2 gaan draaien en http portmappen en je kan eigenlijk alles wel achter nat gooien maar als je maar weet wat je doet

[ Voor 8% gewijzigd door Anoniem: 84017 op 03-06-2003 17:48 ]

En toch is NAT een enorme hack. NAT lijkt nu nodig te zijn (i.v.m. ip adres schaarste), maar het schopt heel veel protocollen in de war. Je krijgt zelf programma's waarbij de client moet aangeven op welke port er naartoe verzonden moet worden! Dit is helemaal niet bedacht toen het IP is uitgevonden. Ook het concept port-forwarding, leuk en aardig, is natuurlijk een hel. Als er gewoon genoeg ip adresses zouden zijn zouden we gewoon een gaatje in onze firewall prikken en klaar.

Ik kan zo snel niet een authoratieve bron vinden die dit beaamt, maar die zijn er zeker wel.

Anoniem: 50345 schreef op 03 June 2003 @ 17:49:
En toch is NAT een enorme hack. NAT lijkt nu nodig te zijn (i.v.m. ip adres schaarste), maar het schopt heel veel protocollen in de war. Je krijgt zelf programma's waarbij de client moet aangeven op welke port er naartoe verzonden moet worden! Dit is helemaal niet bedacht toen het IP is uitgevonden.

mja opzich is het juist handig dat de client aangeeft op welke poort er data verzonden kan worden, juist met het oogpunt op security en firewalls
tuurlijk je krijgt er problemen mee, maar wat dan nog?
in een normale bedrjifssituatie kom je niet snel tegen die problemen aan
Daarnaast kan je altijd nog een proxy gebruiken en niet gebruik maken van NAT

Anoniem: 50345 schreef op 03 juni 2003 @ 17:49:
Ook het concept port-forwarding, leuk en aardig, is natuurlijk een hel. Als er gewoon genoeg ip adresses zouden zijn zouden we gewoon een gaatje in onze firewall prikken en klaar.

Ik kan zo snel niet een authoratieve bron vinden die dit beaamt, maar die zijn er zeker wel.

Portmappen is idd lastig als je het niet vaak doet, maar ik beloof je als je het net zo vaak doet als ik ga je het ook geen probleem meeer vinden

Okay, ik was een beetje onduidelijk. Van een webserver weet je natuurlijk ook dat je op port 80 moet verbinden, dus dat is niet raar. Het is veel handiger als je weet dat emule op alle machines on port 4261 draait en niet dat op een (1) machine op 4261 emule zit en op een andere machine een ander programma op 4261. Als je dan mensen wil toestaan om te emulen gooi je globaal 4261 open en ben je klaar. Anders moet je langs al je klanten/werknemers/huisgenoten lopen kijken wat de instelling is en dit kloppend maken op je firewall/router.

En proxies zijn inderdaad handig, alleen die bestaan niet voor alles. En zelfs dan waag ik te betwijfelen of proxies ook voor _iedere_ toepassing nut hebben of zelfs kunnen.

Nogmaals, ik ontken niet dat NAT nu handig is; het is alleen handiger om geen NAT te moeten gebruiken.

@Xavyer: ik ben bedreven genoeg om een shell scriptje te schrijven dat dat soort instellingen voor mij onthoud. Dat doe ik dus niet zelf

[ Voor 29% gewijzigd door Anoniem: 50345 op 03-06-2003 18:10 . Reden: Xavier, niet Xayver | Meer tikfouten duidelijkere tekst ]

Anoniem: 50345 schreef op 03 juni 2003 @ 18:01:
Okay, ik was een beetje onduidelijk. Van een webserver weet je natuurlijk ook dat je op port 80 moet verbinden, dus dat is niet raar. Het is veel handiger als je weet dat emule op alle machines on port 4261 draait en niet dat op een (1) machine op 4261 emule zit en op een ander programma.

welk bedrijf staat emule toe

maar dan nog, leuk dat je emule aanhaalt die dezelfde poort gebruikt, maar je kan ook geen 2 webservers bijvoorbeeld installeren op dezelfde poort
nu kom jij natuurlijk weer aan met 'neem een extra ip' maar jij weet net zoals de meeste hier best dat er aan ipv4 adressen gewoon een tekort is en dat de meeste providers nog geen ipv6 (willen) ondersteunen

Erkens schreef op 03 June 2003 @ 18:06:
[...]

welk bedrijf staat emule toe

maar dan nog, leuk dat je emule aanhaalt die dezelfde poort gebruikt, maar je kan ook geen 2 webservers bijvoorbeeld installeren op dezelfde poort
nu kom jij natuurlijk weer aan met 'neem een extra ip' maar jij weet net zoals de meeste hier best dat er aan ipv4 adressen gewoon een tekort is en dat de meeste providers nog geen ipv6 (willen) ondersteunen

Ik heb mijn tekst boven iets aangepast, want het was enigzins fout. En voor emule kan je natuurlijk ook icq o.i.d. lezen; er zijn vast bedrijven die dat wel toestaan.

Anoniem: 50345 schreef op 03 juni 2003 @ 18:09:
[...]


Ik heb mijn tekst boven iets aangepast, want het was enigzins fout. En voor emule kan je natuurlijk ook icq o.i.d. lezen; er zijn vast bedrijven die dat wel toestaan.

trouwens het aanpassen van de 'listen port' in applicatie werkt trouwens wel mee voor de veiligheid immers stel dat er een bug zit in bijvoorbeeld emule en je gebruikt de standaard poort, dan is met een simpele poortscan te zien dat iemand emule draait en een ongepatchte versie.
Maar als je hem op een andere poort laat draaien, dan heb je daar (minder/)geen last van

Laten we zeggen: ieder voordeel heb z'n nadeel?

Anoniem: 50345 schreef op 03 juni 2003 @ 18:21:
Laten we zeggen: ieder voordeel heb z'n nadeel?

Ik zie toch de nadelen die jij noemt als een groot voordeel in mijn situatie. Ik kan hierdoor alles regelen wat wel en niet binnenkomt, met standaard alles dicht.

Je kan het natuurlijk ook als groot nadeel zien, als je meerdere pc's hebt draaien met software die op 1 bepaalde poort moet draaien.

Maar _Hades_, als jij gewoon meerdere ip nummers zou hebben (als je een netwerk beheerd) dan kan je toch ook gewoon alles regelen?!? Een firewall heet zoiets.

Thuissendy schreef op 03 June 2003 @ 18:48:
Maar _Hades_, als jij gewoon meerdere ip nummers zou hebben (als je een netwerk beheerd) dan kan je toch ook gewoon alles regelen?!? Een firewall heet zoiets.

Ja dat klopt, en ik ben ook van mening dat meerdere ip nummers ook altijd beter is . Maar dan nog zou ik client pc's achter een nat firewall zetten.

Okay, dat mag Ik zou dat NAT de deur uit gooien, en gewoon een firewall regel maken die alle verkeer naar die werkstations van buitenaf dichtzet (met de nodige gaten). Allebei blij.

--edit

[ Voor 32% gewijzigd door Sendy op 03-06-2003 19:11 ]

Thuissendy schreef op 03 June 2003 @ 19:08:


--edit

offtopic:
ik ben trouwens wel benieuwd of je, met ipv6, echt een groot blok routeerbaar blok van je provider krijgt bij een gewoon ADSL accountje

Ja, je kon toch nu ook al bij een provider een reeks IPv6 adressen aanvragen? Was dat niet XS4All ofzo? Daar las ik laatst een stukje over dacht ik.

om het even samen te vatten nat is vanuit security oogpunt aan te raden echter vanuit beheers oogpunt minder.

Maakt mij niets uit,, laat mij maar een routed blokje van 4 maar lekker op mijn eigen manier NATen en zolang ik alles aan de praat krijg maakt het niet uit

0siris schreef op 05 juni 2003 @ 11:11:
OK, uiteindelijk TOCH routed subnet gekozen, ik hang daar een Linux bak aan die vervolgens NAT voor het hele netwerk
Ik kan namelijk nu de keuze maken tussen NAT, of routed subnet waarbij ik 16 ipadressen krijg. Tja, daar hoef ik niet lang over te denken

zonder extra kosten

Das nog eens service zeg

0siris schreef op 05 June 2003 @ 11:11:
OK, uiteindelijk TOCH routed subnet gekozen, ik hang daar een Linux bak aan die vervolgens NAT voor het hele netwerk
Ik kan namelijk nu de keuze maken tussen NAT, of routed subnet waarbij ik 16 ipadressen krijg. Tja, daar hoef ik niet lang over te denken

En weet je al wat je met de rest van de IP adressen gaat doen..?

Als je alleen Internet wilt, en geen eigen sites gaat hosten, dan zie ik het voordeel verder niet in van 16 Ip adressen. (waar je er overigens maar 14 van kan gebruiken, en waarvan er ook nog 1 kwijt is voor de router)
netwerk adres
broadcast adres
router..

16-3=13 Ip adressen over.
1 IP adresje voor je Linux firewall die NAT. 12 Over.. wat doe je daar dan mee

Om even terug te komen op de discussie over NAT.
Ik ben van mening dat wanneer je een hoster bent, en je wilt elke klant een eigen IP adres geven dat je dan voor een routed subnet gaat.

Maar wannee jij niet van plan bent om meer dan 2 services te hosten, dan is een routed subnet grote onzin.
Daarmee bedoel ik dat je voor één FTP server best 1 poortje kan mappen. En ook voor 1 webserver. Mail kan daar ook nog bij, en dan ist klaar denk ik.
Poortmappen hoeft op een bedrijf niet verder dan dat. Ik ga even uit van een bedrijf dat genoeg sense in zijn kop heeft om MSN, ICQ, Kazaa en whatever zaken te blokeren.

NOFI maar jij hebt dus drek 12 IP adressen die je waarschijnlijk niet gaat gebruiken. Over verspilling van IPv4 adressen gesproken.

just my 2 cents..

CyberJ schreef op 05 June 2003 @ 13:54:
NOFI maar jij hebt dus drek 12 IP adressen die je waarschijnlijk niet gaat gebruiken. Over verspilling van IPv4 adressen gesproken.

just my 2 cents..

je kan ook NAT doen met meerdere externe IP's

Erkens schreef op 05 June 2003 @ 13:56:
[...]

je kan ook NAT doen met meerdere externe IP's

Gezien de smiley bedoelde je dit ironisch, maar het heeft natuurlijk geen enkele toegevoegde waarde. Het maakt het beheer juist weer moeilijker..

CyberJ schreef op 05 juni 2003 @ 14:23:
[...]


Gezien de smiley bedoelde je dit ironisch, maar het heeft natuurlijk geen enkele toegevoegde waarde. Het maakt het beheer juist weer moeilijker..

voor grotere netwerken is dat een must om zo te "NATten" vandaar die " "
kwa beheer maakt het eik weinig uit hoor

CyberJ schreef op 05 juni 2003 @ 14:23:
[...]


Gezien de smiley bedoelde je dit ironisch, maar het heeft natuurlijk geen enkele toegevoegde waarde. Het maakt het beheer juist weer moeilijker..

Ohja?...tis maar wat je moelijk vind
En als je nou private ranges (rfc 1918) wilt gebruiken (i.v.m security) in een dmz met meerdere servers daarin en je hebt meerdere geregde public dns records op verschillende ip's dan moet je wel ....

[ Voor 3% gewijzigd door Anoniem: 12952 op 05-06-2003 14:50 ]

Ik heb nu 8 IP, dus 5 effectief bij BBNed en dat werkt best wel prettig.
Momenteel wordt er 1 gebruikt voor het gewone browserverkeer, 1 voor VPN van thuiswerkers en 1 voor de router-router vpn naar een ander kantoor. Ik gebruik drie NIC's aan de Internetkant van de router waarvan er maar 1 NAT hoeft te draaien. Op de NIC's van de VPN's blok je gewoon alle andere verkeer.

Wil je bv. wat kloten met H323 (video etc.) dan heb je de luxe dat je op een vrij IP kunt gaan zitten zonder al dat gedonder met portmappings, UPNP etc. Het maken van meerdere DMZ's gaat bv. ook veel simpeler en zo kun je nog wel wat noemen.

CyberJ
"Daarmee bedoel ik dat je voor één FTP server best 1 poortje kan mappen. En ook voor 1 webserver. Mail kan daar ook nog bij, en dan ist klaar denk ik."

Het gebruik van routed subnets kan ik dus niet echt onzin vinden.
Zowiezo vind ik het portmappen naar je private netwerk niet verstandig.
Dat soort servers hoort in een apart subnet thuis en voor je firewall en niet erachter.

En over het "asociale" van meerdere IP's, als je provider er nog zoveel heeft liggen in zijn range kun je ze maar beter gebruiken. Je provider gaat echt geen IP's voor jou aanvragen bij InterNIC. Dat komt gewoon uit de range die ze ooit gehad hebben. Raken ze erdoorheen dan passen ze vanzelf hun voorwaarden aan. Kijk maar naar KPN waar je in het begin 4 IP's kon krijgen.

Met wat meer IP's werkt het voor een bedrijf net allemaal even wat lekkerder

Osiris, als je je wat meer in het ontwerp van een goede opzet wil verdiepen kan ik je O'Reilly Building Internet Firewalls aanraden. Hierin worden oa. verschillende configuratie voorbeelden van routed subnets besproken met de pro's en cons.

[ Voor 81% gewijzigd door Anoniem: 13650 op 07-06-2003 23:34 ]

Samenvattend:

NAT - Network Address Translation
Een cliënt roept naar buiten. Op de firewall wordt dit interne adres omgezet in een extern adres. Dit externe adres komt uit een subnet, die je gekregen hebt van je provider. Dit gebeurt dynamisch; als de cliënt klaar is met roepen, dan kan dit adres weer aan een andere cliënt gegeven worden.
Van je dynamische adres pool kan je ook een aantal (of alle) ip adressen statisch toekennen aan cliënt (of servers.)

Nadeel: Je hebt een wat profesionele firewall nodig, dus geen huis-tuin en keuken-edimax-sweex-ding, wnat hier kan je maar 1 extern adres aanhangen. Of Linux nemen

PAT - Port Address Translation (Waar iedereen NAT tegen roept )
= Een uitbreiding op NAT maar nu met poortnummers. In plaats van meerdere externe adressen wordt er nu 1 extern addres gebruikt. Dus verschillende cliënts gebruiken verschillende poorten via 1 extern adres.

Verkwisting van publieke IP adressen?
t'ja... Het is gebruikelijk voor bedrijven.
Als ik als student een Surfnet ADSL abbo neem,
kan ik 8 IP adressen erbij krijgen zonder extra kosten.
(behalve de extra router dan...)

@Thuissendy:
Jouw verhaal is mij allang duidelijk. Bottomline van mijn verhaal is, dat je zowel met een IP-address range, als met een port range kan transleren. (of een combi daarvan.) Ik heb het dan hardwarematige routers, dus geen *nix of *BSD.

[ Voor 21% gewijzigd door Bl@ckbird op 31-07-2003 14:28 ]

-Blackbird- schreef op 08 juni 2003 @ 02:29:
Samenvattend:

NAT - Network Address Translation
Een cliënt roept naar buiten. Op de firewall wordt dit interne adres omgezet in een extern adres. Dit externe adres komt uit een subnet, die je gekregen hebt van je provider. Dit gebeurt dynamisch; als de cliënt klaar is met roepen, dan kan dit adres weer aan een andere cliënt gegeven worden.
Van je dynamische adres pool kan je ook een aantal (of alle) ip adressen statisch toekennen aan cliënt (of servers.)

Nadeel: Je hebt een wat profesionele firewall nodig, dus geen huis-tuin en keuken-edimax-sweex-ding, wnat hier kan je maar 1 extern adres aanhangen. Of Linux nemen

PAT - Port Address Translation (Waar iedereen NAT tegen roept )
= Een uitbreiding op NAT maar nu met poortnummers. In plaats van meerdere externe adressen wordt er nu 1 extern addres gebruikt. Dus verschillende cliënts gebruiken verschillende poorten via 1 extern adres.

Wat een geleuter zeg. Iedereen gebruikt de term NAT voor het vertalen van niet-publieke ip nummer/port combinaties naar publieke ip nummer/port combinaties en v.v.

Wat jij verteld onder NAT is mij totaal onduidelijk; ook jouw PAT verhaal is lulkoek en verteld niets.

Vele mensen roemen de implementatie van ip filter in de free *BSDs en Linux 2.4; dit is een zeer schone en duidelijke implementatie. NAT wordt ondersteund met SNAT en DNAT, source en destination. SNAT is het vervangen van het bron adres naar een publiek (of ander) adres. Dit wordt gebruikt als je meerdere verbindingen van binnen uit op een (1) publiek adres wil afbeelden. DNAT is het vervangen van het afzender adres door een prive ip adres. Dit wordt ook wel (om historische redenen) forwarden genoemd. Voor de duidelijkheid: een adres hier is de combinatie van een ip nummer en port nummer! Zie het als een url: je maakt verbinding met een bepaalde host op een bepaalde port. Zonder deze combinatie kan je geen verbinding krijgen.