2.8. NAT и Proxy

Снова процитируем одну из предыдущих глав: "каждый компьютер в Сети Internet имеет свой уникальный номер". На этот раз зададимся таким вопросом: что делать, если номеров нет и не предвидится? Если провайдер их не дает, или дает, но за отдельную плату, весьма ощутимую для школы?

Первый способ заключается в использовании Proxy-сервера, и позволяет пользоваться самыми популярными сервисами Internet ... без выхода в Internet.

Сам Proxy-сервер имеет выход в Internet и доступен из нашей сети. Все запросы, исходящие от WEB-браузеров, должны попадать на Proxy, причем неважно, почему они туда попадают - то ли мы указали его в качестве шлюза, то ли в браузере он указан в явном виде. Сервер принимает запрос, запоминает, с какой машины он пришел, но дальше не пропускает, а от своего имени посылает запрос адресату. Получив ответ, Proxy передает его на запрашивающую машину так, как будто она получает ответ непосредственно от указанной ею машины.

Дополнительно Proxy-сервер может сохранять у себя проходящие через него файлы, и при повторном запросе не вытаскивать файл снова, а отдавать сохраненную копию, тем самым сокращая внешний трафик.

Как видим, настоящие IP-номера машинам внутри сети и не нужны. Но использование Internet при наличии Proxy ограничивается в основном WEB-серверами. Нельзя ни организовать аудио-видео связь, ни поиграть по сети.

Второй способ называется NAT - Network Address Translation, или Преобразование Сетевых Адресов.

Как и Proxy-сервер, машина, реализующая NAT, имеет выход в Internet и доступна из нашей сети. С точки зрения внутренних машин это - роутер. И функции она выполняет почти роутерские. Единственная разница - в IP-пакете, передаваемом наружу, адрес отправителя заменяется на собственный адрес NAT. При приеме делается обратная операция - адрес получателя заменяется на запомненный адрес внутренней машины. Вот это и есть обещанное в разделе 2.1 исключение - машины в Internet, а номеров не имеют.

При таком подходе все машины сети имеют полноценный Internet, с доступностью всех сервисов. Ограничение - к этим машинам нельзя обратиться снаружи, т.е. они не могут быть серверами для внешних сетей. Недостаток? Как сказать. Много ли доступных из Internet серверов надо для школы? Как правило, ни одного. Но зато недоступность из внешнего мира обеспечивает гарантированную защиту от злоумышленных действий. Конечно, от вирусов это не спасает - они придут вместе с WEB-страницами... или по локальной сети с очередной игрушкой на соседнем компьютере.