NAT vs. firewall

For det første skal du vide at det er to forskellige teknologier.

NAT'en har det formål at lave én eller flere IPer om til en anden. Dette gør det muligt at lade flere maskiner med private IPer (som ikke kan benyttes på internettet) dele om én gyldig IP.

Hvis NAT er konfigureret én til én har den intet at gøre med en firewall. Det er derfor muligt umiddelbart at oprette sessioner udefra og ind til maskinen.

Hvis NAT er konfigureret mange til én (sådan er den konfigureret 90% af gangene), fungerer den på en måde så man ikke umiddelbart kan lave sessioner udefra. Hvis man skal bruge den mulighed er det man skal konfigurer port forwarding som vi kender fra vores NAT/router der står der hjemme og deler internet forbindelsen.

Dette gør at en har noget som minder om firewall funktionalitet (ret effektivt faktisk).

En firewall findes i flere forskellige typer. De mest primitive gøre fatkisk det det samme som en NAT. Den blokerer altså for indgående sessioner. Men en "rigtig" firewall kan mere end bare det. Den vil typisk kunne blokere for både indgående OG udgående sessioner. På den måde kan du sørge for at interne maskiner kun kan bruge internettet til at surfe og ikke andet. Denne begrænsning kan man ikke sætte op med "ren" NAT.
En firewall bør også under Statefull Inspection. Dette betyder i grove træk at firewallen aktivt går ind og kigger på datapakkerne og ser efter om det er gyldig data eller ej.
Nyere og mere avancerede firewalls kan desuden kigger på selve softwaren og gøre det muligt at begrænse internetadgang til enkelte programmer (uanset hvilken protokol de nu måtte benytte).

hvad er så bedst

Det kommer an på hvad du skal bruge det til.

Det er som sagt to forskellige teknologier.

Der bør ALTID være en firewall til stede.
Hvis du har en gyldig internet IP til alle de maskiner du har på internettet har du principielt ikke brug for NAT.

Hvis du har én gyldig IP og 5 maskiner som skal på nettet er du tvunget til at bruge NAT.

Hvis du har begrænset resourcer kan man vælge at bruge kun NAT da den, som sagt, pr. design opfører sig som en simpel firewall.

Hjemme har jeg selv kun én IP, så jeg bruger NAT. Men jeg har på samme tid en firewall for at beskytte mit netværk ordenligt.

Typisk vil en router til hjemmebrug inkludere både NAT og Firewall.

Man kan derfor ikke entydigt sige hvad der er bedst. Det kommer helt an på hvad du har brug for.

Jo, enig med venturer i det meste.

"Hvis NAT er konfigureret én til én har den intet at gøre med en firewall. Det er derfor muligt umiddelbart at oprette sessioner udefra og ind til maskinen."

Jo, det går da saktens an å konfigurere en firewall slik, men det ville jo være ganske spesielt. Forwarder man alle ip pakkene til en invendig adresse så vil det jo virke slik.

"En firewall bør også under Statefull Inspection. Dette betyder i grove træk at firewallen aktivt går ind og kigger på datapakkerne og ser efter om det er gyldig data eller ej."

Den siste er jeg ikke helt enig i. Mener at statefull inspection prinsipet består i at firewall holeder et visst bokholderi over utgående og inngående trafikk. På denne måten så vil den kunne åpne dynamisk for returtrafikken trafikken som er satt opp innefra.

Vet at det finnes forskjellige forklaringer rundt om på nettet, men mener ut fra erfaring å vite at denne er den riktige.

Anbefaler ellers å eksperimentere med linux firewall, for der har man mulighet til å prøve ut alle disse prinsippene i praksis. Kombinerer man programmet "iptraf" med iptables (firewall konfigurasjonsgrensesnittet for Linux, så kan man både styre hvilken trafikk som skal få kjøre og man kan også monitore hvordan det hele kjører.

De fleste moderne hardwarefirewalls pluss Linux firewall kan jo både konfigureres til ordinære firewall funksjoner (hovedsakelig fire filtering sets for Linux) og man benytte Nat slik som man ønsker.

Jeg er helt enig med langbein i beskrivelsen af Stateful Inspection. Jeg forsøger blot at holde forklaringerne simple :)

Du skriver desuden at en firewall også åbnes så den "opfører" sig som en én til én NAT. Den holder ikke helt. Hvis man forwarder trafik på enkelte eller alle porte i en firewall, er det ikke længere en firewallfunktion, men en NAT eller router funktion. En "ren" firewall vil i den sammenhæg kun kunne åbne eller lukke portene. Hvis man så åbner (i stedet for forwarder) alle porte, vil det effektivt svare til at du deaktiverer firewallen. Jeg mener derfor stadig mit udsagn holder vand :)