NAT porttien avaus teoria.

Viestiketju Käyttäjien tekemät oppaat -osiossa. Ketjun avasi LaLLi80 07.03.2007.

  1. LaLLi80

    LaLLi80 Senior member

    Liittynyt:
    23.11.2003
    Viestejä:
    5,010
    Kiitokset:
    0
    Pisteet:
    116
    NAT

    NAT on modeemin toiminto jossa muunnetaan IP-osoitteita Internetin julkisista kotiverkon ykstyisiksi. NAT mahdollistaa vaikka satojen lähiverkon koneiden liittämisen nettiin vain yhdellä julkisella IP:llä. NAT estää lähiverkossa olevien "palvelujen" vuotamisen internettiin ja näin lisää tietoturvaa. Jos NAT:n takana haluaa pitää palvelinta(P2P ohjelma) pitää siihen avata haluttu portti.

    Porttiohjaus

    Tämä opas pyrkii selittämään mitä porttiohjaus/porttien avaus tarkoittaa ja miten se teoriassa tehdään.

    Useat ADSL-modeemit ovat tehdasasetuksilla reitittävässä(routing) tilassa jolloin kaikki modeemin kautta kulkeva liikenne käsitellään modeemissa. Useimmiten käsittelyyn kuuluu osoitteen muunnos julkisen ja yksityisen IP-osoitteen välillä. Osoitteen muunnosta kutsutaan NAT:ksi eli Network Address Translation.

    [​IMG]

    Julkinen IP-osoite on osoite joka reitittyy Internetin reittimillä ja niitä on rajallisesti(4,294,967,296 osoitetta). Yksityinen IP-osoite on osoite jota ei reititetä missään tapauksessa Internetin reitittimillä. Yksityisiä IP-osoitteita saa käyttää vapaasti, mutta niillä ei pääse Internettiin ilman NAT:a.

    Yksityiset IP-osoitteet:
    10.0.0.0 – 10.255.255.255
    172.16.0.0 – 172.31.255.255
    192.168.0.0 – 192.168.255.255
    169.254.0.0 – 169.254.255.255

    Metafora:
    IP-osoite on vähän kuin kerrostalon katuosoite. Sen mukaan voidaan ohjata paketti vastaanottajan talolle, mutta jos kyseessä on kerrostalo tai toimisto ei paketin toimittamiseen riitä välttämättä pelkkä katuosoite. Portti on vähän kuin asunnon/huoneen numero minne paketti toimitetaan katuosoitteessa.

    Miksi osoitteen muunnosta sitten käytetään?
    NAT antaa hieman lisäturvaa estämällä Internetistä PC:lle päin tulevat ylimääräiset yhteydet. NAT seuraa pakettiliikennettä ja salliin pakettien kulun PC:ltä Internettiin ja samoihin paketteihin tulevat "vastaus" viestit, kuten nettilinkin klikkaus ja siitä aiheutuva sivun latautuminen.

    Mitä haittaa NAT:sta on?
    Ei mitään jos se on konfiguroitu oikein. NAT estää oletuksena palvelimien pitämisen ADSL:n takana, mutta oikein konfiguroituna se ei aiheuta mitään ongelmia. Kaikki palvelin ohjelmistot "kuuntelevat" tiettyä porttia tulevien yhteyspyyntöjen varalta, kuten nettipalvelimet kuuntelevat porttia 80(HTTP) ja sähköpostipalvelimet porttia 110(POP3). Jos tarvittava portti ohjataan NAT:n läpi PC:lle ei palvelinohjelmisto edes "huomaa" NAT:n olemassaoloa.

    Verkkopelejä ajatellen NAT saattaa kasvattaa Pingiä eli verkkolagi kasvaa, mutta tämä on laitekohtaista ja se tulisi todeta käyttäjäkohtaisesti.

    P2P
    Yleisin syy miksi NAT:a kirotaan on P2P ohjelmat. Azureus, DC, µTorrent, Bitcomet, eMule, jne ovat kaikki palvelinohjelmistoja. Jotta P2P ohjelmat toimisivat oikein tulee niiden tarvitsemat portit ohjata NAT:n läpi. Ilman NAT:n puhkomista ei P2P ohjelma toimi oikein jos ollenkaan.

    Porttiohjaus
    Ensin pitää selvittää onko oma kone NAT:n takana. Ajamalla ipconfig komennon ja vertailemalla sen antamaa IP-osoitetta yllä näkyvään Yksityiset IP-osoitteet tauluun. Jos Ip-löytyy taulukosta on modeemissa NAT päällä.
    Windows XP: Käynnistä->Suorita->cmd->ipconfig /all
    Linux: Konsolissa komento ifconfig

    Seuraavaksi oman PC:n IP-osoite pitää määritellä kiinteäksi. Ilman kiinteää IP-osoitetta ei porttiohjaus ole mahdollista ainakaan koti ADSL-modeemeilla. Ipconfig komennon kertoma Ip-osoite käy mainiosti kiinteäksi IP:ksi. Testaa kiinteän IP:n antamisen jälkeen, että Internet yhteys toimii normaalisti.

    Sitten selvitetään mitä portteja tarvii avata NAT:sta. Useimmissa P2P-ohjelmissa voi määrittää itse portin jota käytetään ja se onkin suositeltavaa. Monet palveluntarjoajat estävät oletusporttien toiminnan ja NAT:n puhkomisesta ei ole mitään apua. Eli valitse portti vaikka väliltä 20000-50000. Palvelinohjelmassa mahdollisesti oleva portin arpominen pitää ottaa pois käytöstä(esim µTorrent). Jos kyse on pelipalvelimesta alla on linkki Wikipediaan jossa on joidenkin pelien käyttämiä portteja.
    http://en.wikipedia.org/wiki/TCP_port_numbers

    Nyt voidaan ottaa yhteys ADSL-modeemin hallintakonsoliin ja suorittaa porttiohjaus. ADSL-modeemin IP-osoite löytyy ohjekirjasta ja se yleensä on ipconfig komennon antama oletuskäytävä(default gateway) osoite. Avaamalla modeemin IP-osoite nettiselaimessa päästään muuttamaan modeemin asetuksia. Modeemien asetuksissa on eroja ja en rupeakaan eri versioiden valikoita sepostamaan. Yleisesti ottaen yleensä pitää löytää asetuksista NAT tai Virtual Server asetukset. Porttiohjaus asetuksissa kysytään yleensä alkuportti, loppuportti ja IP-osoite tai pelkkä portti ja Ip-osoite. Laita kaikkiin porttikohtiin samalla rivillä haluamasi portti ja IP-osoitteeksi PC:lle antamasi kiinteä IP-osoite. Nyt testaa toimiiko ohjaus käynnistämällä haluttu sovellus. Jokainen samankaikaisesti päällä oleva palvelin tarvitsee oman porttinsa, että paketit ei mene sekaisin.

    Modeemikohtaisia ohjeita porttien avaamiseksi löytyy portforward sivulta. Ohjeissa on modeemin hallintakonsolin Ip-osoitteet ja kirjautumis salasanat, sekä ohjelmakohtaiset ohjeet porttien avaamiseksi yleisimpiin ohjelmiin.
    http://www.portforward.com

    EDIT: Typoja ja verkkolagi lisäys.
     
    Viimeksi muokattu: 17.06.2007
  2.  
  3. fever79

    fever79 Member

    Liittynyt:
    05.03.2007
    Viestejä:
    28
    Kiitokset:
    0
    Pisteet:
    11
    Yhden asian tosin huomasin negatiivista porttiohajuksen jälkeen , enkä tiedä onko se yleensä siihen liitoksissa, mutta en enää pääse yhdelle ruotsalaiselle pelisivulle pelaamaan...
     
  4. pkaksp

    pkaksp Moderator Ylläpitäjä

    Liittynyt:
    11.01.2005
    Viestejä:
    12,231
    Kiitokset:
    53
    Pisteet:
    128
    Ei ole mitenkään liitoksissa siihen.
     
  5. kiiveri

    kiiveri Active member

    Liittynyt:
    31.03.2004
    Viestejä:
    1,615
    Kiitokset:
    0
    Pisteet:
    66
    Loistavaa asiatekstiä. Tässä kuitenkin pari typoa :)
    NAT seuraa pakettiliikennettä ja salliin pakettien kulun PC:ltä Internettiin ja samoihin paketteihin tulevat "vaustaus" viestit

    Ilamn NAT:n puhkomista ei P2P ohjelma toimi oikein jos ollenkaan.

    Tietenkin noista tcp:n udp:n eroista olisi voinut vähän selventää, eli kumpi on sisään ja kumpi ulos menevää liikennettä.
     
  6. Agent_007

    Agent_007 Senior member

    Liittynyt:
    05.05.2003
    Viestejä:
    29,936
    Kiitokset:
    124
    Pisteet:
    143
    TCP ja UDP eivät määrää suuntaa. Ne ovat eri tarkoitukseen tarkoitettuja siirtotapoja. TCP:ssä pidetään huoli siitä että paketit menevät varmasti perille. UDP:ssä ei pidetä tästä huolta, joten jos paketit hukkuvat matkalla niin asialle ei tehdä mitään (käytetään tämän takia esim. streamaukseen).

    NAT:ia käytetään myös sen takia että 32-bittisen IPv4:n osoiteavaruus ei tahdo riittää kaikille, mutta kotikäytössä tämä on turhaa tietoa.
     
  7. kiiveri

    kiiveri Active member

    Liittynyt:
    31.03.2004
    Viestejä:
    1,615
    Kiitokset:
    0
    Pisteet:
    66
    Mistähän olisi jäänyt tuollainen kuva, mutta hyvä kun korjasit :)
     
  8. LaLLi80

    LaLLi80 Senior member

    Liittynyt:
    23.11.2003
    Viestejä:
    5,010
    Kiitokset:
    0
    Pisteet:
    116
    Tämä tieto oli aluksi tuossa raakaversiossa, mutta ei sillä tiedolla ole merkitystä tälle oppaalle.
     
  9. hac

    hac Guest

    Eli jos minun ip ei näy tuossa listassa minulla ei oli nat päällä?


    asdg ei siis voi olla sen syy miksi cs ei toimi vai?

    Bitcomet ja dc++ toimii eli onko se päällä?
     
    Moderaattorin viimeksi muokkaama: 08.04.2007
  10. LaLLi80

    LaLLi80 Senior member

    Liittynyt:
    23.11.2003
    Viestejä:
    5,010
    Kiitokset:
    0
    Pisteet:
    116
    Ei ihan niinkään, mutta varmuuden saat katsomalla antaako komento ipconfig ja nettisivu http://www.whatismyip.com saman IP-osoitteen. Jos antaa niin NAT ei ole päällä.
    Mikä on asdg? P2P ohjelmat voi toimia NAT päällä ilman säätöä, mutta ei parhaalla mahdollisella tehokkuudella.
     
  11. hac

    hac Guest

    Tarkoitin Nat.

    Molemmat näyttävät eri IP osoitetta mitä tämä tarkoittaa.

    ja miten saan cs toimimaan parhaalla mahdollisella tavalla eli nat pois päältä
     
  12. LaLLi80

    LaLLi80 Senior member

    Liittynyt:
    23.11.2003
    Viestejä:
    5,010
    Kiitokset:
    0
    Pisteet:
    116
    Jos molemmat näyttää eri osoitetta niin silloinhan jossain välissä tapahtuu osoitteen muutos eli NAT.

    CS ei ole P2P ohjelma eikä NAT:n puhkominen pitäis olla tarpeellista ellet aio pitää CS palvelinta. Jos aiot pitää palvelinta niin http://www.portforward.com kertoo modeemikohtaisesti miten avaat oikeat portit.
     
  13. hac

    hac Guest

    aa kiitoksia
     
  14. njikke

    njikke Member

    Liittynyt:
    05.05.2007
    Viestejä:
    6
    Kiitokset:
    0
    Pisteet:
    11
    Oon kans vähä hukas tän NATin kans.. Löysin netistä aika hyvät ohjeet millai DC++:n aktiivi-tilan sais toimimaan. Ainoo juttu mikä mietityttää on se, että jos NATista avaa portin DC:lle, ni pääseekö muu DC:hen liittymätön liikenne siitä portista kans koneelle. Eli käytännössä, jos menen nettiin, niin käyttääkö virukset tota porttia sitten hyväkseen?
     
  15. LaLLi80

    LaLLi80 Senior member

    Liittynyt:
    23.11.2003
    Viestejä:
    5,010
    Kiitokset:
    0
    Pisteet:
    116
    Kaikki TCP/IP paketit on osoitettu tietylle IP-osoitteelle ja tietylle portille. Paketti ei voi muuttaa itse kohdettansa kesken matkan, vaan siihen tarvitaan jokin verkkolaite joka käsittelee pakettia. Vertauksena jos postin jakajalla on paketti(TCP/IP paketti) niin siinä paketissa on katuosoite(IP-osoite) ja asunnon numero(portti numero). Postinjakaja ei vaihda jakeluosoitetta paketille vaikka et avaisi ovea ja naapurin ovi(eri porttinumero) sattuisi olemaan auki.

    Jos jokin haittaohjelma osuukin oikeaan avonnaiseen porttiin kulkeutuu sen paketti sille ohjelmalle jolle portti on avattu. Kyseinen ohjelma ei tunnista paketti omakseen ja pudottaa sen. Eri asia on sitten jos kyseessä on sille ohjelmalle räätälöity haittaohjelma...
     
    Viimeksi muokattu: 28.05.2007
  16. njikke

    njikke Member

    Liittynyt:
    05.05.2007
    Viestejä:
    6
    Kiitokset:
    0
    Pisteet:
    11
    "Jos jokin haittaohjelma osuukin oikeaan avonnaiseen porttiin kulkeutuu sen paketti sille ohjelmalle jolle portti on avattu"

    Eli kun DC:n asetuksista löytyy NATia vastaava portti, niin muut ohjelmat eivät käytä tätä porttia?
     
  17. LaLLi80

    LaLLi80 Senior member

    Liittynyt:
    23.11.2003
    Viestejä:
    5,010
    Kiitokset:
    0
    Pisteet:
    116
    Jos pistät DC:n asetuksista jonkin portin käyttöön ja DC ohjelma on päällä niin toisella ohjelmalla saman portin käyttö ei pitäisi onnistua. Jos onnistuu niin liikenne mene pahasti sekaisin.
     
  18. Eetska

    Eetska Member

    Liittynyt:
    02.06.2007
    Viestejä:
    21
    Kiitokset:
    0
    Pisteet:
    11
    Miten löytäisi Wirelessille salasanat ja usernamet kun en portforwardista ainakaan löytänyt? Wireless 11G ADSL Router siis...
     
  19. LaLLi80

    LaLLi80 Senior member

    Liittynyt:
    23.11.2003
    Viestejä:
    5,010
    Kiitokset:
    0
    Pisteet:
    116
    Wireless tuskin on sen laitteen merkki, se kun tarkoittaa langatonta. Katsopa sen modeemin pohjasta onko siellä tarraa jossa lukee laitteen merkki ja tarkka tyyppi.
     
  20. Niksu_55

    Niksu_55 Member

    Liittynyt:
    01.02.2006
    Viestejä:
    49
    Kiitokset:
    0
    Pisteet:
    16
    Mun pitäis toi BitComet saada toimiin, muuta kone on NATin takana, joten voiko joku YKSINKERTAISESTI selittää mitä pitää tehdä??
     
  21. LaLLi80

    LaLLi80 Senior member

    Liittynyt:
    23.11.2003
    Viestejä:
    5,010
    Kiitokset:
    0
    Pisteet:
    116
    Vaihtoehtoja on kaksi.
    1. Avaat NAT:sta portin BitCometille.
    2. Otat NAT:n pois käytöstä.

    Itse suosittelen ensimmäistä, mutta se ei kaikilta onnistu jostain syystä.
     
    Viimeksi muokattu: 17.06.2007

Jaa tämä sivu