WELCOME TO MY BLOG ARIS_COBAIN ( JARINGAN KOMPUTER)
HOME CONTACT PROFIL TWITER DOWNLOAD LAIN-LAIN

Sabtu, 14 April 2012

Access Point

wireless access point, WAP) adalah suatu peranti yang memungkinkan peranti nirkabel untuk terhubung ke dalam jaringan dengan menggunakan Wi-Fi, Bluetooth, atau standar lain. WAP biasanya tersambung ke suatu router (melalui kabel) sehingga dapat meneruskan data antara berbagai peranti nirkabel (seperti komputer atau pencetak) dengan jaringan berkabel pada suatu jaringan. Standar yang diterapkan untuk WAP ditetapkan oleh IEEE dan sebagian besar menggunakan IEEE 802.11.

Adhoc mode dalam Jaringan Wireless

Ad Hoc secara bahasa berarti “untuk suatu keperluan atau tujuan tertentu saja“. Dalam pengertian lain, jaringan ad hoc adalah jaringan bersifat sementaratanpa bergantung pada infrastruktur yang ada dan bersifat independen.
Ad Hoc Network adalah jaringan wireless yang terdiri dari kumpulan mobile node (mobile station) yang bersifat dinamik dan spontan, dapat diaplikasikan di mana pun tanpa menggunakan jaringan infrastruktur (seluler ataupun PSTN) yang telah ada. Contoh mobile node adalah notebook, PDA dan ponsel. Jaringan ad hoc disebut juga dengan spontaneous network atau disebut MANET (Mobile Ad hoc NETwork).
Contoh Penggunaan/Aplikasi di lapangan :
  1. Operasi militer, seperti yang telah diujicobakan kawasan pertempuran di Sudan. Dengan jaringan ad hoc, mempermudah untuk akses informasi antar personil militer.
  2. Komersial, jaringan ad hoc dapat digunakan pada situasi emergency atau upaya penyelamatan (rescue operation), seperti banjir atau gempa bumi dan entertainment seperti acara live music.
  3. Jaringan yang cepat tersedia dengan menggunakan notebook untuk menyebarkan dan berbagi informasi di antara user seperti dalam konferensi atau ruang kuliah.
  4. Personal Area Network, untuk jarak pendek (short distance) lebih kurang 10 m, Ad hoc Network secara mudah berkomunikasi antar bermacam peralatan (seperti PDA, laptop dan telepon seluler) dengan laju data yang rendah.
Keuntungan :
  1. Tidak memerlukan dukungan backbone infrastruktur sehingga mudah diimplementasikan dan sangat berguna ketika infrastruktur tidak ada ataupun tidak berfungsi lagi.
  2. Mobile node yang selalu bergerak (mobility) dapat mengakses informasi secara real time ketika berhubungan dengan mobile node lain, sehingga pertukaran data dan pengambilan keputusan dapat segera dilaksanakan.
  3. Fleksibel terhadap suatu keperluan tertentu karena jaringan ini memang bersifat sementara.
  4. Dapat direkonfigurasi dalam beragam topologi baik untuk jumlah user kecil hingga banyak sesuai dengan aplikasi dan instalasi (scalability).
Kerugian ( Permasalahan) :
  1. Packet loss (rugi-rugi paket) akan terjadi bila transmisi mengalami kesalahan (error).
  2. Seringkali terjadi disconnection, karena tidak selalu berada dalam area cakupan.
  3. Bandwidth komunikasi yang terbatas.
  4. Lifetime baterai yang singkat.
  5. Kapasitas kemampuan jangkauan mobile node yang terbatas dan bervariasi.
Konfigurasi sederhana :
  1. Dibutuhkan “wireless network card” pada masing-masing komputer.
  2. Masuk ke “wireless network card properties” dan set “SSID” dengan nama tertentu (unique).
  3. Set IP LAN static pada komputer. Patikan kita mengkonfigurasi IP komputer tersebut dalam satu subnet dan range yang sama.
  4. Set “network card” pada mode “ad-hoc”, bukan “infrastructure”.
  5. Satu sebagai host (access point) yang lain sebagai client. Atau semua bisa berperan sebagai host (multihost).

SQUID dan IP Tables

Pengertian Tentang Squid

Squid adalah sebuah daemon yang digunakan sebagai proxy server dan web cache. Squid memiliki banyak jenis penggunaan, mulai dari mempercepat server web dengan melakukan caching permintaan yang berulang-ulang, caching DNS, caching situs web, dan caching pencarian komputer di dalam jaringan untuk sekelompok komputer yang menggunakan sumber daya jaringan yang sama, hingga pada membantu keamanan dengan cara melakukan penyaringan (filter) lalu lintas. Meskipun seringnya digunakan untuk protokol HTTP dan FTP, Squid juga menawarkan dukungan terbatas untuk beberapa protokol lainnya termasuk Transport Layer Security (TLS), Secure Socket Layer (SSL), Internet Gopher, dan HTTPS. Versi Squid 3.1 mencakup dukungan protokol IPv6 dan Internet Content Adaptation Protocol (ICAP).
Squid pada awalnya dikembangkan oleh Duane Wessels sebagai "Harvest object cache", yang merupakan bagian dari proyek Harvest yang dikembangkan di University of Colorado at Boulder. Pekerjaan selanjutnya dilakukan hingga selesai di University of California, San Diego dan didanai melalui National Science Foundation. Squid kini hampir secara eksklusif dikembangkan dengan cara usaha sukarela.
Squid umumnya didesain untuk berjalan di atas sistem operasi mirip UNIX, meski Squid juga bisa berjalan di atas sistem operasi Windows. Karena dirilis di bawah lisensi GNU General Public License, maka Squid merupakan perangkat lunak bebas.

Web proxy

Caching merupakan sebuah cara untuk menyimpan objek-objek Internet yang diminta (seperti halnya data halaman web) yang bisa diakses melalui HTTP, FTP dan Gopher di dalam sebuah sistem yang lebih dekat dengan situs yang memintanya. Beberapa penjelajah web dapat menggunakan cache Squid lokal untuk sebagai server proxy HTTP, sehingga dapat mengurangi waktu akses dan juga tentu saja konsumsi bandwidth. Hal ini sering berguna bagi para penyedia layanan Internet untuk meningkatkan kecepatan kepada para pelanggannya, dan LAN yang membagi saluran Internet. Karena memang bentuknya sebagai proxy (ia berlaku sebagaimana layaknya klien, sesuai dengan permintaan klien), web cache bisa menyediakan anonimitas dan keamanan. Tapi, web cache juga bisa menjadi masalah yang signifikan bila melihat masalah privasi, karena memang ia dapat mencatat banyak data, termasuk URL yang diminta oleh klien, kapan hal itu terjadi, nama dan versi penjelajah web yang digunakan klien serta sistem operasinya, dan dari mana ia mengakses situs itu.
Selanjutnya, sebuah program klien (sebagai contoh adalah penjelajah web) bisa menentukan secara ekplisit proxy server yang digunakan bila memang hendak menggunakan proxy (umumnya bagi para pelanggan ISP) atau bisa juga menggunakan proxy tanpa konfigurasi ekstra, yang sering disebut sebagai "Transparent Caching", di mana semua permintaan HTTP ke jaringan luar akan diolah oleh proxy server dan semua respons disimpan di dalam cache. Kasus kedua umumnya dilakukan di dalam perusahaan dan korporasi (semua klien berada di dalam LAN yang sama) dan sering memiliki masalah privasi yang disebutkan di atas.
Squid memiliki banyak fitur yang bisa membantu melakukan koneksi secara anonim, seperti memodifikasi atau mematikan beberapa field header tertentu dalam sebuah permintaan HTTP yang diajukan oleh klien. Saat itu terpenuhi, apa yang akan dilakukan oleh Squid adalah tergantung orang yang menangani komputer yang menjalankan Squid. Orang yang meminta halaman web melalui sebuah jaringan yang secara transparan yang menggunakan biasanya tidak mengetahui bahwa informasi semua permintaan HTTP yang mereka ajukan dicatat oleh Squid.


Pengertian Tentang  IPTables

IPTables adalah suatu tools dalam sistem operasi linux yang berfungsi sebagai alat untuk melakukan filter (penyaringan) terhadap (trafic) lalulintas data. Secara sederhana digambarkan sebagai pengatur lalulintas data. Dengan iptables inilah kita akan mengatur semua lalulintas dalam komputer kita, baik yang masuk ke komputer, keluar dari komputer, ataupun traffic yang sekedar melewati komputer kita.

Dengan kemampuan tools iptables ini, kita bisa melakukan banyak hal dengan iptables. Yang paling penting adalah bahwa dengan iptables ini kita bisa membuat aturan (rule), untuk arus lalulintas data. Aturan aturan itu dapat mencakup banyak hal, seperti besar data yang boleh lewat, jenis paket/datagram yang dapat diterima, mengatur trafic berdasar asal dan tujuan data, forwarding, nat, redirecting, pengelolaan port, dan firewall.

Perlakuan yang dialami oleh data/paket data oleh iptables digambarkan melalui tabel. Macam tabelnya adalah:
1. Filter : tabel default yang ada dalam penggunaan iptables
2. NAT : tabel ini digunakan untuk fungsi NAT, redirect, redirect port
3. Mangle : tabel ini berfungsi sebagai penghalus proses pengaturan paket

Kita bisa peroleh info tentang iptables, dengan cara mengetikkan:
man iptables
atau
iptables –help
Perintah man adalah untuk mendapatkan manual penggunaaan dari iptables ini. Sedangkan help adalah untuk mendapatkan informasi help dari iptables tersebut.
Command pada baris perintah IPTables akan memberitahu apa yang harus dilakukan terhadap lanjutan sintaks perintah. Umumnya dilakukan penambahan atau penghapusan sesuatu dari tabel atau yang lain.
Command
Keterangan
-A  --append
Perintah ini menambahkan aturan pada akhir chain. Aturan akan ditambahkan di akhir baris pada chain yang bersangkutan, sehingga akan dieksekusi terakhir
-D           --delete
Perintah ini menghapus suatu aturan pada chain. Dilakukan dengan cara menyebutkan secara lengkap perintah yang ingin dihapus atau dengan menyebutkan nomor baris dimana perintah akan dihapus.
-R           --replace
Penggunaannya sama seperti --delete, tetapi command ini menggantinya dengan entry yang baru.
-I           --insert
Memasukkan aturan pada suatu baris di chain. Aturan akan dimasukkan pada baris yang disebutkan, dan aturan awal yang menempati baris tersebut akan digeser ke bawah. Demikian pula baris-baris selanjutnya.
-L           --list
Perintah ini menampilkan semua aturan pada sebuah tabel. Apabila tabel tidak disebutkan, maka seluruh aturan pada semua tabel akan ditampilkan, walaupun tidak ada aturan sama sekali pada sebuah tabel. Command ini bisa dikombinasikan dengan option –v (verbose), -n (numeric) dan –x (exact).
-F           --flush
Perintah ini mengosongkan aturan pada sebuah chain. Apabila chain tidak disebutkan, maka semua chain akan di-flush.
-N           --new-chain
Perintah tersebut akan membuat chain baru.
-X           --delete-chain
Perintah ini akan menghapus chain yang disebutkan. Agar perintah di atas berhasil, tidak boleh ada aturan lain yang mengacu kepada chain tersebut.
-P           --policy
Perintah ini membuat kebijakan default pada sebuah chain. Sehingga jika ada sebuah paket yang tidak memenuhi aturan pada baris-baris yang telah didefinisikan, maka paket akan diperlakukan sesuai dengan kebijakan default ini.
-E           --rename-chain
Perintah ini akan merubah nama suatu chain.

Kemudian, pada IPTables terdapat istilah Chain. Apa itu Chain?
Chain/rantai digambarkan sebagai jalur aliran data. Chains yang diperlukan untuk iptables ini antara lain:
FORWARD Route packet akan di FORWARD tanpa di proses lanjut di local
INPUT Route packet masuk ke dalam proses lokal sistem
OUTPUT Route packet keluar dari local sistem
PREROUTING Chain yang digunakan untuk keperluan perlakuan sebelum packet masuk route. Biasanya dipakai untuk proses NAT
POSTROUTING Chain yang digunakan untuk keperluan perlakuan sesudah packet masuk route. Biasanya dipakai untuk proses NAT
Adapun Target :
ACCEPT Rantai paket tersebut diterima dalam rule
DROP Rantai paket tersebut “dijatuhkan”
REJECT Rantai paket tersebut ditolak seperti DROP
DNAT Rantai paket di “destination nat” kan ke address lain
SNAT Rantai paket di arahkan ke source nat tertentu
REDIRECT Rantai paket di redirect ke suatu addres dan port tertentu
MASQUERADE Bekerja seperti SNAT tapi tidak memerlukan source
REJECT Bekerja seperti DROP

 

 




Transparent Proxy

Apa itu transparent proxy?
Transparent proxy adalah konfigurasi proxy dimana client yang terhubung ke proxy tidak harus menyeting browser satu2 jadi tinggal redirect saja maka computer itu sudah bisa memanfaatkan server proxy sebagai cache, ini berguna bagi area hotspot atau warnet yang tidak perlu repot untuk mengkonfigurasikan tiap browser di client.

Apakah transparent proxy bisa jalan di SquidNT?
Pada dasarnya squidNT tidak support untuk transparent proxy hanya squid linux saja bisa support transparent proxy. Ini dikarenakan manajemen NAT dan IP forwarding serta port forwarding tidak ada dalam setting windows.
Akan tetapi saya telah mencari artikel-artikel di internet untuk memaksa transparent proxy bekerja di lingkunagn windows dengan bantuan tool luar tentunya.

Instalasi transparent proxy di windows:
Install Softperfect Bandwidth Manager v2.6.416
Buat Port mapping melalui menu “tools” :

Lihat Gambar:


Membuat Rule melalui menu “Rules”
Dengan konfigurasi:

Direction: Both
Transfer Rate Limit: Unlimited
Protocol: TCP and UDP
Apply Rule on Interface: LAN

Lihat Gambar:
 
 
 

Selesaikan langkah-langkah tersebut dan restart windows
Jalankan browser di client tanpa mengubah konfigurasi alias default atau redirect connections
Check status proxy anda: What MyIP
Apabila terdetect smenggunkan proxy berarti transparent proxy telah berhasil

NAT

Dalam jaringan komputer , network address translation (NAT) adalah proses memodifikasi alamat IP informasi dalam header paket IP saat transit di lalu lintas perangkat routing .
Jenis paling sederhana dari NAT menyediakan terjemahan 1-1 dari alamat IP. RFC 2663 mengacu pada jenis NAT sebagai dasar NAT. Hal ini sering juga disebut sebagai satu-ke-satu NAT. Dalam jenis NAT hanya alamat IP, checksum header IP dan setiap checksum tingkat yang lebih tinggi yang mencakup alamat IP perlu diubah. Sisa paket dapat dibiarkan tak tersentuh (paling tidak untuk dasar TCP / UDP fungsi, beberapa protokol tingkat yang lebih tinggi mungkin perlu terjemahan lebih lanjut). Nat dasar dapat digunakan ketika ada kebutuhan untuk menghubungkan dua jaringan IP dengan tidak kompatibel pengalamatan.
 
Namun itu adalah umum untuk menyembunyikan ruang alamat IP seluruh, biasanya terdiri dari alamat IP pribadi , di belakang satu alamat IP (atau dalam beberapa kasus sekelompok kecil alamat IP) di lain ruang alamat (biasanya umum). Untuk menghindari ambiguitas dalam penanganan paket yang dikembalikan, satu-ke-banyak NAT harus mengubah informasi tingkat yang lebih tinggi seperti TCP / UDP port dalam komunikasi keluar dan harus memiliki sebuah tabel terjemahan sehingga paket kembali dapat diterjemahkan dengan benar kembali. RFC 2663 menggunakan NAPT yang panjang (alamat jaringan dan terjemahan port) untuk jenis NAT. Nama-nama lainnya termasuk PAT (port address translation), IP masquerading, Overload NAT dan banyak-ke-satu NAT. Karena ini adalah jenis yang paling umum dari NAT sering disebut hanya sebagai NAT.
 
Seperti dijelaskan, metode ini memungkinkan komunikasi melalui router hanya saat percakapan berasal dari jaringan menyamar, karena ini menetapkan tabel terjemahan. Sebagai contoh, sebuah web browser dalam jaringan menyamar dapat menelusuri website luar, tapi di luar web browser tidak dapat menelusuri situs web dalam jaringan menyamar. Namun, sebagian besar perangkat NAT hari ini memungkinkan administrator jaringan untuk mengkonfigurasi entri tabel terjemahan untuk digunakan permanen. Fitur ini sering disebut sebagai "NAT statis" atau port forwarding dan memungkinkan lalu lintas yang berasal dari jaringan "luar" untuk mencapai host yang ditunjuk dalam jaringan menyamar.
 
Pada pertengahan 1990-an NAT menjadi alat populer untuk mengurangi konsekuensi dari IPv4 kelelahan alamat . [1] Hal ini telah menjadi fitur, umum yang sangat diperlukan dalam router untuk rumah dan kantor kecil koneksi internet. Kebanyakan sistem menggunakan NAT melakukannya untuk mengaktifkan beberapa host pada jaringan pribadi untuk mengakses Internet dengan menggunakan satu alamat IP publik.
Jaringan terjemahan alamat memiliki serius kelemahan pada kualitas konektivitas internet dan membutuhkan perhatian ke rincian pelaksanaannya. Secara khusus semua jenis NAT memecahkan model awalnya direncanakan IP end-to-end konektivitas di Internet dan NAPT membuat sulit bagi sistem belakang NAT untuk menerima komunikasi yang masuk. Akibatnya, NAT traversal metode telah dirancang untuk meringankan masalah yang dihadapi.

Salah satu untuk Nat banyak

Mayoritas Nat memetakan host pribadi ganda untuk satu alamat IP publik terbuka. Dalam konfigurasi khas, jaringan lokal menggunakan salah satu yang ditunjuk "swasta" alamat IP subnet ( RFC 1918 ). Sebuah router pada jaringan yang memiliki alamat pribadi di ruang alamat. Router juga terhubung ke Internet dengan alamat "publik" yang diberikan oleh penyedia layanan Internet . Karena lalu lintas lolos dari jaringan lokal ke Internet, alamat sumber di masing-masing paket diterjemahkan dengan cepat dari alamat pribadi ke alamat publik. Router trek data dasar tentang setiap sambungan aktif (terutama alamat tujuan dan port). Ketika balasan kembali ke router, menggunakan sambungan data pelacakan itu tersimpan selama fase outbound untuk menentukan alamat pribadi pada jaringan internal yang untuk meneruskan jawabannya.
Semua paket internet memiliki alamat IP sumber dan alamat IP tujuan. Biasanya paket yang lewat dari jaringan pribadi untuk jaringan publik akan memiliki alamat sumber mereka dimodifikasi sementara paket lewat dari jaringan publik kembali ke jaringan pribadi akan memiliki alamat tujuan mereka dimodifikasi. Konfigurasi lebih kompleks juga mungkin.
 
Untuk menghindari ambiguitas dalam bagaimana menerjemahkan paket yang dikembalikan, modifikasi lebih lanjut untuk paket-paket yang diperlukan. Sebagian besar lalu lintas internet adalah TCP dan UDP paket dan untuk protokol ini nomor port akan berubah sehingga kombinasi IP dan informasi port pada paket yang dikembalikan dapat jelas dipetakan ke alamat pribadi yang sesuai dan informasi port. Protokol tidak didasarkan pada TCP atau UDP memerlukan teknik terjemahan lainnya. Paket ICMP biasanya berhubungan dengan koneksi yang ada dan perlu dipetakan menggunakan IP yang sama dan pemetaan port sebagai koneksi.

Metode terjemahan Pelabuhan

Ada beberapa cara pelaksanaan terjemahan alamat jaringan dan port. Dalam beberapa protokol aplikasi yang menggunakan informasi alamat IP, aplikasi yang berjalan pada node dalam jaringan menyamar perlu menentukan alamat eksternal dari NAT, yaitu, alamat yang rekan-rekan komunikasinya mendeteksi, dan, selanjutnya, sering perlu untuk memeriksa dan mengkategorikan jenis pemetaan yang digunakan. Biasanya hal ini dilakukan karena yang diinginkan untuk membuat sebuah jalur komunikasi langsung (baik untuk menghemat biaya mengambil data melalui server atau untuk meningkatkan kinerja) antara dua klien yang keduanya berada di belakang Nat terpisah. Untuk tujuan ini, traversal dari UDP lebih sederhana Nat (STUN) protokol dikembangkan ( RFC 3489 , Maret 2003). Ini diklasifikasikan sebagai implementasi NAT NAT kerucut penuh, (alamat) dibatasi kerucut NAT, port dibatasi kerucut NAT atau simetris NAT dan mengusulkan metodologi untuk pengujian perangkat yang sesuai. Namun, prosedur ini telah usang sejak dari status standar, sebagai metode yang telah terbukti rusak dan tidak memadai untuk benar menilai banyak perangkat. Metode baru telah dibakukan dalam RFC 5389 ​​(Oktober 2008) dan singkatan STUN sekarang merupakan judul yang baru dari spesifikasi: Sesi Traversal Utilitas untuk NAT.
 
Full-kerucut NAT, juga dikenal sebagai satu-ke-satu NAT
  • Setelah alamat internal (iAddr: iport) dipetakan ke alamat eksternal (eAddr: eport), setiap paket dari iAddr: iport akan dikirim melalui eAddr: eport.
  • Setiap host eksternal dapat mengirim paket ke iAddr: iport dengan mengirimkan paket ke eAddr: eport.
Kendali Cone NAT.svg
(Alamat) dibatasi kerucut NAT
  • Setelah alamat internal (iAddr: iport) dipetakan ke alamat eksternal (eAddr: eport), setiap paket dari iAddr: iport akan dikirim melalui eAddr: eport.
  • Sebuah host eksternal (hAddr: ada) dapat mengirimkan paket ke iAddr: iport dengan mengirimkan paket ke eAddr: eport hanya jika iAddr: iport sebelumnya telah mengirimkan sebuah paket ke hAddr: apapun. "Ada" berarti nomor port tidak masalah.
Dibatasi Cone NAT.svg
Port-dibatasi kerucut NAT Seperti alamat dibatasi kerucut NAT, namun larangan tersebut termasuk nomor port.
  • Setelah alamat internal (iAddr: iport) dipetakan ke alamat eksternal (eAddr: eport), setiap paket dari iAddr: iport akan dikirim melalui eAddr: eport.
  • Sebuah host eksternal (hAddr: hPort) dapat mengirimkan paket ke iAddr: iport dengan mengirimkan paket ke eAddr: eport hanya jika iAddr: iport sebelumnya telah mengirimkan sebuah paket ke hAddr: hPort.
Pelabuhan Dibatasi Cone NAT.svg
Symmetric NAT
  • Setiap permintaan dari alamat IP yang sama internal dan port ke alamat IP tujuan tertentu dan port dipetakan ke alamat sumber IP yang unik eksternal dan port, jika host internal yang sama bahkan mengirimkan sebuah paket dengan alamat sumber yang sama dan port tetapi untuk berbeda tujuan, pemetaan yang berbeda digunakan.
  • Hanya sebuah host eksternal yang menerima sebuah paket dari sebuah host internal dapat mengirim paket kembali.
Symmetric NAT.svg
Terminologi ini telah menjadi sumber banyak kebingungan, karena telah terbukti tidak memadai untuk mendeskripsikan kehidupan nyata perilaku NAT. [2] Banyak implementasi NAT menggabungkan jenis ini, dan karena itu lebih baik untuk merujuk pada perilaku spesifik NAT individu daripada menggunakan Cone tersebut / Symmetric terminologi. Apalagi, sebagian besar NAT penerjemah menggabungkan setangkup NAT untuk koneksi keluar dengan statis port pemetaan, di mana paket masuk ke alamat eksternal dan port diarahkan ke alamat internal spesifik dan pelabuhan. Beberapa produk dapat redirect paket ke beberapa host internal, misalnya untuk membagi beban antara beberapa server. Namun, ini memperkenalkan masalah dengan komunikasi yang lebih canggih yang memiliki banyak paket yang saling berhubungan, sehingga jarang digunakan.

Jenis NAT dan NAT Traversal

Masalah NAT traversal muncul ketika dua rekan-rekan di belakang NAT berbeda mencoba untuk berkomunikasi. Salah satu cara untuk memecahkan masalah ini adalah dengan menggunakan port forwarding , cara lain adalah dengan menggunakan berbagai teknik NAT traversal. Teknik yang paling populer untuk TCP NAT traversal adalah TCP lubang meninju , yang memerlukan NAT untuk mengikuti desain pelabuhan pelestarian untuk TCP, seperti yang dijelaskan di bawah ini.
 
Banyak implementasi NAT mengikuti pelabuhan pelestarian desain terutama untuk TCP, yang berarti bahwa mereka menggunakan nilai yang sama seperti nomor port internal dan eksternal. NAT pelestarian port untuk koneksi TCP keluar sangat penting untuk TCP NAT traversal , karena program biasanya mengikat socket yang berbeda TCP ke port singkat untuk koneksi TCP yang berbeda, membuat NAT prediksi pelabuhan tidak mungkin untuk TCP.
 
Di sisi lain, untuk UDP, Nat tidak perlu memiliki pelestarian port karena aplikasi biasanya menggunakan kembali soket UDP yang sama untuk mengirim paket ke host yang berbeda, membuat prediksi pelabuhan langsung, karena merupakan port sumber yang sama untuk setiap paket.
Selain itu, pelabuhan pelestarian di NAT untuk TCP memungkinkan protokol P2P untuk menawarkan kompleksitas kurang dan latency kurang karena tidak ada kebutuhan untuk menggunakan pihak ketiga untuk menemukan port NAT sejak aplikasi sudah tahu port NAT. [3]
 
Namun, jika dua host internal berusaha untuk berkomunikasi dengan host eksternal yang sama dengan menggunakan nomor port yang sama, nomor port eksternal yang digunakan oleh host kedua akan dipilih secara acak. NAT tersebut akan kadang-kadang dianggap sebagai (alamat) dibatasi kerucut NAT dan kali lain sebagai simetris NAT.
 
Studi terbaru menunjukkan bahwa sekitar 70% dari klien di P2P jaringan menggunakan beberapa bentuk NAT. [4]

Implementasi

Membangun Komunikasi Dua Arah

Setiap paket TCP dan UDP berisi sumber alamat IP dan nomor port sumber dan juga alamat IP tujuan dan nomor port tujuan. Port alamat / IP address membentuk socket . Secara khusus, port sumber dan alamat IP sumber membentuk soket sumber.
Untuk layanan yang dapat diakses publik seperti server web dan mail server nomor port adalah penting. Sebagai contoh, port 80 menghubungkan ke web server yang perangkat lunak dan port 25 untuk mail server di SMTP daemon . Alamat IP dari server publik juga penting, sama keunikan global ke alamat pos atau nomor telepon. Kedua alamat IP dan port harus benar dikenal oleh semua host yang ingin berhasil berkomunikasi.
 
Alamat IP pribadi seperti yang dijelaskan dalam RFC 1918 adalah signifikan hanya pada jaringan pribadi di mana mereka digunakan, yang juga berlaku untuk port host. Port adalah titik akhir komunikasi yang unik pada host, jadi koneksi melalui perangkat NAT dikelola oleh pemetaan gabungan dari port dan alamat IP.
PAT menyelesaikan konflik yang akan timbul melalui dua host yang berbeda menggunakan nomor port sumber yang sama untuk membangun hubungan yang unik pada saat yang sama.

Analogi Sebuah

Sebuah perangkat NAT mirip dengan sistem telepon di sebuah kantor yang memiliki satu nomor telepon umum dan beberapa ekstensi. Outbound panggilan telepon yang dibuat dari kantor semua muncul datang dari nomor telepon yang sama. Namun, panggilan masuk yang tidak menentukan ekstensi tidak dapat ditransfer kepada individu dalam kantor. Dalam skenario ini, kantor adalah LAN pribadi, nomor telepon utama adalah alamat IP publik, dan ekstensi individu adalah nomor port yang unik. [5]

Terjemahan dari Endpoint yang

Dengan NAT, semua komunikasi dikirim ke host eksternal benar-benar berisi alamat IP eksternal dan informasi port pada NAT bukan IP host internal atau nomor port.
  • Ketika komputer di jaringan (internal) swasta mengirimkan paket ke jaringan eksternal, perangkat NAT akan mengganti alamat IP internal di bidang sumber dari header paket (alamat pengirim) dengan alamat IP eksternal pada NAT. PAT kemudian dapat menetapkan sambungan nomor port dari kolam port yang tersedia, memasukkan nomor port ini di bidang port sumber (seperti nomor kotak pos), dan meneruskan paket ke jaringan eksternal. Perangkat NAT kemudian membuat sebuah entri dalam tabel terjemahan yang berisi alamat IP internal, port sumber asli, dan port sumber diterjemahkan. Paket berikutnya dari sambungan yang sama dijabarkan ke nomor port yang sama.
  • Komputer yang menerima sebuah paket yang telah mengalami NAT mengadakan sambungan ke alamat port dan IP yang ditetapkan dalam paket berubah, menyadari fakta bahwa alamat yang diberikan sedang diterjemahkan (analog dengan menggunakan nomor kotak pos).
  • Sebuah paket datang dari jaringan eksternal dipetakan ke alamat IP yang sesuai internal dan nomor port dari tabel terjemahan, menggantikan alamat IP eksternal dan nomor port pada header paket yang datang (mirip dengan terjemahan dari kotak pos nomor untuk alamat jalan ) . Paket tersebut kemudian diteruskan melalui jaringan dalam. Jika tidak, jika tujuan port jumlah paket yang masuk tidak ditemukan dalam tabel terjemahan, paket akan dibuang atau ditolak karena perangkat PAT tidak tahu di mana untuk mengirimnya.
NAT hanya akan menerjemahkan alamat IP dan port dari host internal, menyembunyikan titik akhir sebenarnya dari sebuah host internal di jaringan pribadi.

Visibilitas Operasi

Operasi NAT biasanya transparan untuk kedua host internal dan eksternal.
Biasanya host internal sadar dari alamat IP yang benar dan port TCP atau UDP dari host eksternal. Biasanya perangkat NAT dapat berfungsi sebagai gateway default untuk host internal. Namun host eksternal hanya sadar akan alamat IP publik untuk perangkat NAT dan port tertentu yang digunakan untuk berkomunikasi atas nama host internal tertentu.

NAT dan TCP / UDP

"Pure NAT", yang beroperasi pada IP saja, mungkin atau mungkin tidak benar mengurai protokol yang benar-benar peduli dengan informasi IP, seperti ICMP , tergantung pada apakah payload adalah diinterpretasikan oleh host pada "dalam" atau "luar" penerjemahan . Begitu tumpukan protokol dilalui, bahkan dengan protokol dasar seperti TCP dan UDP , protokol akan memecah kecuali NAT mengambil tindakan di luar lapisan jaringan.
 
Paket IP memiliki checksum dalam setiap header paket, yang menyediakan deteksi kesalahan hanya untuk header. Datagram IP dapat menjadi terpecah-pecah dan perlu untuk NAT untuk berkumpul kembali fragmen ini untuk memungkinkan perhitungan kembali yang benar dari tingkat yang lebih tinggi checksum pelacakan dan benar dari yang paket milik yang koneksi.
 
Protokol lapisan utama transportasi, TCP dan UDP, memiliki checksum yang mencakup semua data yang mereka bawa, serta header TCP / UDP, ditambah "pseudo-header" yang berisi sumber dan tujuan alamat IP dari paket yang membawa TCP / UDP header. Untuk NAT berasal lulus TCP atau UDP berhasil, harus recompute checksum TCP / UDP header berdasarkan alamat IP diterjemahkan, bukan yang asli, dan menempatkan checksum yang ke header TCP / UDP dari paket pertama set terfragmentasi paket. NAT penerima harus recompute IP checksum pada setiap paket lolos ke host tujuan, dan juga mengenali dan menghitung ulang header TCP / UDP menggunakan alamat diterjemahkan kembali dan pseudo-header. Ini bukan masalah terselesaikan. Salah satu solusinya adalah untuk NAT penerima untuk memasang kembali seluruh segmen kemudian recompute checksum dihitung di semua paket.
 
Tuan rumah yang berasal mungkin melakukan unit transmisi maksimum (MTU) penemuan jalan untuk menentukan ukuran paket yang dapat dikirim tanpa fragmentasi, dan kemudian mengatur jangan fragmen (DF) bit di bidang header paket yang sesuai.

Tujuan terjemahan alamat jaringan (DNAT)

DNAT adalah teknik untuk transparan mengubah tujuan alamat IP dari en-route paket dan melakukan fungsi invers untuk setiap balasan. Setiap router yang terletak di antara dua endpoint dapat melakukan transformasi dari paket.
DNAT umumnya digunakan untuk mempublikasikan layanan yang terletak di jaringan pribadi pada diakses publik alamat IP . Ini menggunakan DNAT juga disebut port forwarding , atau DMZ bila digunakan pada seluruh server, yang menjadi terkena WAN, menjadi analog dengan sebuah dipertahankan militer zona demiliterisasi (DMZ).

SNAT

Arti dari istilah SNAT bervariasi oleh vendor. Banyak vendor memiliki definisi eksklusif untuk SNAT. Sebuah ekspansi yang umum adalah sumber NAT, mitra tujuan NAT (DNAT). Microsoft menggunakan singkatan Aman NAT, sehubungan dengan ISA Server . Untuk Cisco Systems, SNAT berarti stateful NAT.

jaringan terjemahan alamat Aman

Dalam jaringan komputer , proses penerjemahan alamat jaringan dilakukan dengan cara yang aman melibatkan penulisan ulang sumber dan / atau tujuan alamat dari IP paket ketika mereka melalui sebuah router atau firewall .

jaringan terjemahan alamat Dinamis

NAT Dinamis, seperti NAT statis, tidak umum dalam jaringan yang lebih kecil tetapi ditemukan dalam perusahaan yang lebih besar dengan jaringan yang kompleks. Cara dinamis NAT berbeda dari NAT statis adalah bahwa di mana NAT statis menyediakan satu-ke-satu pemetaan internal untuk alamat IP publik statis, dinamis NAT tidak membuat pemetaan ke alamat IP publik statis dan biasanya menggunakan sekelompok publik yang tersedia IP alamat.

Aplikasi terpengaruh oleh NAT

Beberapa Application Layer protokol (seperti FTP dan SIP ) mengirim eksplisit alamat jaringan dalam data aplikasi mereka. FTP dalam mode aktif, misalnya, menggunakan koneksi yang terpisah untuk lalu lintas kontrol (perintah) dan untuk lalu lintas data (isi file). Ketika meminta transfer file, host membuat permintaan mengidentifikasi koneksi data yang sesuai dengan yang lapisan jaringan dan lapisan transport alamat. Jika host membuat permintaan tersebut terletak di belakang firewall NAT sederhana, terjemahan dari alamat IP dan / atau nomor port TCP membuat informasi yang diterima oleh server tidak valid. The Session Initiation Protocol (SIP) mengatur banyak Voice over IP (VoIP) panggilan, dan menderita masalah yang sama. SIP dan SDP dapat menggunakan beberapa port untuk mengatur sambungan dan mengirimkan aliran suara melalui RTP . Alamat IP dan nomor port dikodekan dalam data payload dan harus diketahui sebelum traversal dari Nat. Tanpa teknik khusus, seperti STUN , NAT perilaku tidak dapat diprediksi dan komunikasi mungkin gagal.
 
Lapisan aplikasi gerbang (ALG) perangkat lunak atau perangkat keras dapat memperbaiki masalah ini. Modul perangkat lunak ALG berjalan pada firewall NAT pembaruan perangkat data payload dibuat valid oleh terjemahan alamat. Algs jelas perlu memahami protokol layer yang lebih tinggi bahwa mereka harus memperbaiki, dan setiap protokol dengan masalah ini memerlukan ALG terpisah. Sebagai contoh, pada sistem Linux, ada kernel modul yang disebut koneksi pelacak yang berfungsi untuk melaksanakan algs. Namun, ALG tidak bekerja jika saluran kontrol dienkripsi (misalnya FTPS ).
 
Solusi lain yang mungkin untuk masalah ini adalah dengan menggunakan NAT traversal teknik menggunakan protokol seperti STUN atau ICE , atau pendekatan proprietary dalam pengendali perbatasan sesi . NAT traversal adalah mungkin dalam TCP dan UDP berbasis aplikasi, tetapi teknik UDP berbasis lebih sederhana, lebih luas dipahami, dan lebih kompatibel dengan Nat warisan. [ kutipan diperlukan ] Dalam kedua kasus, protokol tingkat tinggi harus dirancang dengan NAT traversal dalam pikiran, dan tidak bekerja andal di Nat simetris atau Nat warisan buruk berperilaku.
 
Kemungkinan lain adalah UPnP (Universal Plug and Play) atau NAT-PMP (NAT Pelabuhan Protokol Pemetaan), tetapi memerlukan kerja sama dari perangkat NAT.
Paling tradisional client-server protokol (FTP sebagai pengecualian utama), namun, jangan mengirim informasi kontak lapisan 3 dan karena itu tidak memerlukan perawatan khusus oleh Nat. Bahkan, menghindari komplikasi NAT adalah suatu kebutuhan praktis saat merancang baru-lapisan protokol yang lebih tinggi hari ini (misalnya penggunaan SFTP bukan FTP).
 
Nat juga dapat menyebabkan masalah di mana IPsec enkripsi diterapkan dan dalam kasus di mana beberapa perangkat seperti SIP telepon berada di belakang NAT. Telepon yang mengenkripsi signaling mereka dengan IPsec merangkum informasi port dalam sebuah paket dienkripsi, yang berarti bahwa NA (P) T perangkat tidak dapat mengakses dan menerjemahkan pelabuhan. Dalam kasus ini, NA (P) T perangkat kembali ke operasi NAT sederhana. Ini berarti bahwa semua lalu lintas kembali ke NAT akan dipetakan ke salah satu klien menyebabkan layanan kepada lebih dari satu klien "di belakang" NAT gagal. Ada beberapa solusi untuk masalah ini: satu adalah dengan menggunakan TLS , yang beroperasi pada tingkat 4 dalam OSI Reference Model dan karena itu tidak menutupi nomor port; lain adalah untuk merangkum IPsec dalam UDP - yang terakhir menjadi solusi yang dipilih oleh TISPAN aman untuk mencapai NAT traversal.
 
DNS protokol kerentanan diumumkan oleh Dan Kaminsky pada 8 Juli 2008 secara tidak langsung terpengaruh oleh pemetaan port NAT. Untuk menghindari server DNS cache keracunan , sangat diinginkan untuk tidak menerjemahkan nomor port UDP sumber permintaan DNS keluar dari server DNS yang berada di belakang firewall yang mengimplementasikan NAT. Karya-sekitar direkomendasikan untuk kerentanan DNS adalah untuk membuat semua DNS caching server menggunakan port UDP secara acak sumber. Jika fungsi NAT de-merandomisasi UDP port sumber, server DNS akan menjadi rentan.

Keuntungan dari PAT

Selain keuntungan yang disediakan oleh NAT:
  • PAT (Port Address Translation) memungkinkan host internal untuk berbagi satu alamat IP eksternal.
  • Pengguna yang tidak memerlukan dukungan untuk koneksi inbound tidak mengkonsumsi alamat IP publik .

Kekurangan

Tujuan utama IP-masquerading NAT adalah bahwa hal itu telah menjadi solusi praktis untuk kelelahan yang akan datang dari ruang alamat IPv4. Bahkan jaringan yang besar dapat dihubungkan ke Internet hanya dengan satu alamat IP. Pengaturan lebih umum adalah memiliki komputer yang membutuhkan end-to-end konektivitas disertakan dengan alamat IP routable, sementara memiliki mesin yang tidak memberikan layanan kepada pengguna di luar di belakang NAT dengan hanya beberapa alamat IP yang digunakan untuk mengaktifkan akses internet, bagaimanapun, ini membawa beberapa masalah, diuraikan di bawah.
Beberapa juga disebut fitur ini persis kelemahan besar, karena menunda kebutuhan untuk pelaksanaan 
"[...] Adalah mungkin bahwa perusahaan [NAT] meluasnya penggunaan secara signifikan akan menunda kebutuhan untuk menggunakan IPv6. [...] Hal ini mungkin aman untuk mengatakan bahwa jaringan akan lebih baik tanpa NAT [...]"
Host di belakang NAT-enabled router tidak memiliki end-to-end konektivitas dan tidak dapat berpartisipasi dalam beberapa protokol Internet. Pelayanan yang membutuhkan inisiasi dari TCP koneksi dari jaringan luar, atau status protokol seperti mereka yang menggunakan UDP , dapat terganggu. Kecuali router NAT membuat upaya khusus untuk mendukung protokol tersebut, paket yang masuk tidak dapat mencapai tujuan mereka. Beberapa protokol dapat menampung satu contoh NAT berpartisipasi antara host ("mode pasif" FTP , misalnya), terkadang dengan bantuan sebuah gateway aplikasi-tingkat (lihat di bawah), tapi gagal ketika kedua sistem terpisah dari internet oleh NAT. Penggunaan NAT juga mempersulit tunneling protokol seperti IPsec karena NAT memodifikasi nilai dalam header yang mengganggu integritas memeriksa dilakukan oleh IPsec dan protokol tunneling lainnya.
 
End-to-end konektivitas telah menjadi prinsip inti dari Internet, misalnya didukung oleh Dewan Arsitektur Internet . Dokumen arsitektur Internet saat ini mengamati bahwa NAT merupakan pelanggaran Prinsip End-to-End, tapi itu NAT memang memiliki peran yang valid dalam desain-hati. [7] Ada kekhawatiran jauh lebih dengan penggunaan IPv6 NAT, dan arsitek IPv6 banyak percaya IPv6 dimaksudkan untuk menghapus kebutuhan untuk NAT. [8]
 
Karena sifat berumur pendek dari tabel stateful terjemahan dalam router NAT, perangkat pada jaringan internal kehilangan IP konektivitas biasanya dalam waktu yang sangat singkat kecuali mereka menerapkan NAT tetap-hidup mekanisme sering mengakses host luar. Hal ini secara dramatis lebih pendek cadangan daya pada baterai dioperasikan perangkat genggam dan telah digagalkan penyebaran lebih luas seperti IP-pribumi perangkat internet-enabled. [ rujukan? ]
 
Beberapa penyedia layanan Internet (ISP), terutama di India , Rusia , sebagian di Asia dan lainnya "mengembangkan" daerah menyediakan pelanggan hanya dengan "lokal" alamat IP, karena sejumlah alamat IP eksternal dialokasikan kepada entitas [ rujukan? ]. Dengan demikian, pelanggan harus mengakses layanan eksternal ke jaringan ISP melalui NAT. Akibatnya, pelanggan tidak dapat mencapai benar end-to-end konektivitas, yang melanggar prinsip-prinsip inti dari Internet sebagai ditetapkan oleh Dewan Arsitektur Internet [ rujukan? ].
  • Skalabilitas - Sebuah implementasi yang hanya melacak port dapat cepat terkuras oleh aplikasi internal yang menggunakan beberapa koneksi simultan (seperti HTTP permintaan untuk halaman web dengan benda tertanam banyak). Masalah ini dapat dikurangi dengan melacak alamat IP tujuan selain port (sehingga berbagi port lokal tunggal dengan host remote banyak), dengan mengorbankan kompleksitas implementasi dan CPU / sumber daya memori dari perangkat terjemahan.
  • Kompleksitas Firewall - Karena alamat internal semua menyamar di balik satu alamat publik yang dapat diakses, adalah mustahil untuk host eksternal untuk memulai sambungan ke host internal tertentu tanpa konfigurasi khusus pada firewall untuk koneksi ke depan ke port tertentu. Aplikasi seperti VOIP , videoconference , dan peer-to-peer aplikasi harus menggunakan NAT traversal teknik untuk fungsi.

Spesifikasi

Alamat Lookup dan Alih Port (diculik, atau RAT) memungkinkan sebuah host yang nyata alamat IP berubah dari waktu ke waktu untuk tetap dapat dicapai sebagai server melalui alamat IP rumah tetap. Pada prinsipnya, ini harus memungkinkan pengaturan server DHCP pada jaringan yang dikelola. Meskipun bukan solusi mobilitas sempurna, diculik bersama dengan protokol yang akan datang seperti DHCP-DDNS, mungkin akhirnya menjadi alat yang berguna dalam gudang admin jaringan.
diculik (reachability IP Menggunakan Dua kali Network Address Translation dan Port) Perangkat RAT peta datagram IP untuk CN yang terkait dan 0MN dengan menggunakan tiga bidang tambahan: jumlah IP jenis dan sumber lapisan transport dan pengenal tujuan koneksi ( misalnya port TCP nomor atau ICMP echo request / balasan kolom ID). 

Cisco diculik implementasi PAT (Port Address Translation) atau overloading, dan peta beberapa alamat IP privat ke alamat IP publik. Beberapa alamat dapat dipetakan ke satu alamat karena setiap alamat pribadi dilacak oleh sejumlah port. PAT menggunakan nomor port sumber yang unik pada alamat IP di dalam global untuk membedakan antara terjemahan. Nomor port dikodekan dalam 16 bit. Jumlah total alamat internal yang dapat diterjemahkan ke satu alamat eksternal secara teoritis bisa setinggi 65.536 per alamat IP. Secara realistis, jumlah port yang dapat diberi alamat IP tunggal adalah sekitar 4000. PAT akan berusaha untuk melestarikan port sumber asli. Jika ini sumber port sudah digunakan, PAT akan menetapkan nomor port pertama tersedia mulai dari awal kelompok pelabuhan, sesuai 0-511 512-1023, atau 1024-65535. Bila tidak ada port yang tersedia dan ada lebih dari satu alamat IP eksternal dikonfigurasi, PAT bergerak ke alamat IP berikutnya untuk mencoba untuk mengalokasikan port sumber asli lagi. Proses ini berlanjut sampai kehabisan port yang tersedia dan alamat IP eksternal.
 
3COM US Patent 6.055.236 (Metode dan sistem untuk mencari layanan jaringan dengan terjemahan alamat jaringan terdistribusi) Metode dan sistem untuk mencari layanan jaringan dengan terjemahan alamat jaringan terdistribusi. Sertifikat digital dibuat yang memungkinkan perangkat jaringan eksternal pada jaringan eksternal, seperti Internet, untuk permintaan layanan dari perangkat jaringan internal pada jaringan didistribusikan terjemahan alamat jaringan internal, seperti jaringan area lokal rintisan. Sertifikat digital meliputi informasi yang diperoleh dengan Protokol Alokasi Port yang digunakan untuk terjemahan alamat jaringan terdistribusi. Sertifikat digital diterbitkan di jaringan internal sehingga mereka dapat diakses oleh perangkat jaringan eksternal. Sebuah perangkat jaringan eksternal mengambil sertifikat digital, ekstrak informasi yang sesuai, dan mengirimkan paket permintaan layanan ke perangkat jaringan internal pada jaringan terdistribusi jaringan terjemahan alamat internal. Perangkat jaringan eksternal yang dapat menemukan dan permintaan layanan dari perangkat jaringan internal. Sebuah perangkat jaringan eksternal juga dapat meminta layanan keamanan, seperti keamanan Internet Protocol ("IP Security") layanan dari perangkat jaringan internal. Perangkat jaringan eksternal dan perangkat jaringan internal dapat membangun layanan keamanan (misalnya, Internet Key Exchange protokol layanan). Perangkat jaringan internal dan perangkat jaringan eksternal kemudian dapat membentuk Asosiasi Keamanan menggunakan Parameter Indeks Keamanan ("SPI") yang diperoleh menggunakan alamat protokol jaringan terjemahan terdistribusi. Perangkat jaringan eksternal dapat meminta layanan, dan layanan keamanan pada perangkat jaringan internal pada jaringan jaringan terjemahan mendistribusikan alamat internal yang sebelumnya tidak diketahui dan tidak tersedia untuk perangkat jaringan eksternal.

Contoh perangkat lunak NAT