NATとproxy

[0001 勉強中 NG NG]

会社でCATV経由でのインターネット接続をすることになったの
ですが、プロバイダから与えられた1個のグローバルIPを使って
LAN上のすべてのPCがインターネットに接続できるようにしたい
場合、NATとproxyどちらが適しているのでしょうか？
実際の運用も絡めてのそれぞれの得手、不得手を教えて下さい。

[0002 とりあえず NG NG]

NATとPROXYの機能を知ることから始めよう。

[0003 名無しさん NG NG]

フツー、NATとIP Masqueradeの違いとか書かない? キャッシュって知ってる?

[0004 うん NG NG]

現金。

[0005 名無しさん NG NG]

俺はプロクシを薦めるね、会社って事はアクセスログ取ったりプロトコル
制限掛けるんだろ？
どっちもプロクシでやった方が管理は楽。
ただ、どちらにも言えることだが、サーバー側からパケット投げてくる
プロトコルは通らない物もあるので注意！

NATとプロクシの違いなんて分かってんだろ？＞1
NATとIPマスカレードの違いなんて、今ごろ気にするやついない＞3
今あるNATの実装でIPマスカレード含んでないヤツなんてあるのか？

[0006 ＞１ NG NG]

目的が不明。
ルータのDHCP機能で、
「LAN上のすべてのPCがインターネットに接続できる」
よ。
うちは、５と同じ考えで組んでいるよ。
＞５
ようやく、話の分かるのと会えたよ！
あなたは、すばらしい！よろしく。

[0007 >6 NG NG]

DHCP だけじゃあ。ねぇ。

[0008 A NG NG]

>５＠｀６
アドバイス自体は今回結果的にそう間違ってはいないが
人に教えるほどのスキルはない。

[0009 >5 NG NG]

お前、偉そうな事言ってもまともに専用線の運営したことないな。
最後の２行がそれを物語っている。

[0010 5 NG NG]

IPマスカレードってNATの一実装に過ぎないだろ？
1対1のアドレス変換がNATで、1対多のアドレス変換がIPマスカレード
だと思ってるのなら、それは間違いだな。

俺が言いたいのは…
今あるNATの実装で、1対多のアドレス変換ができないものなんて
ないだろって事。

[0011 ６です NG NG]

＞１
１本のIPアドレスで、複数のパソコンをつなぎたいのなら、
ルータのDHCP機能を使えば、簡単、安上がりです。
富士通のネットヴィークルでしたら、多機能で、
電池バックアップもとってくれます。
うちでは、非常用に、ひとつだけ、ノートパソコン＋ネットヴィークルに
グローバルIPを割り当て、停電時にも、長時間運用が可能なようにしています。
いろいろと研究なさるのなら、５さんの言うとおりと思います。

[0012 名無しさん NG NG]

一本のIPアドレスで複数のパソコンをInternetにつなぐことと
DHCPって無関係だろ。
それにCATVって書いてあるぢゃん。
ダイアルアップルータの出番はないんぢゃないの??

[0013 くれくれ君 NG NG]

CATVて何？

[0014 ん? NG NG]

CATVはケーブルテレビなのかな。よくわからんけど。

dhcpは動的にIPアドレスを振り分けるためのもので、一対多のIPネットワーク
と関係するものではないな。ip masqueradeのお勉強をするとよいかも。
ちなみにip masqueradeはLinux上での実装名らしく、メーカによって
拡張NATとかNATeとか書かれてる。技術的詳細は自分で調べれ(笑)。

CATVで端末をいっぱいぶら下げたい連中は、どうやらPC-UNIX突っ込んで
ip masqueradeして外に出してるみたいね。proxyでもできるけど、
ネットワーク分断するとめんどくさいんでlinux+ip masqをお勧めする。

[0015 1です NG NG]

みなさん、有り難うございました。
結局NATで行くことに決めました。
FreeBSD + IP FilterでNATを構築する予定です。

NATの透過的な便利さと裏腹にセキュリティ面での
不安と、自分のスキルを考えると確実に外部にLAN内
のパケットを流さない自信が無かったので、proxyと
迷っていた次第です。（proxyであればリレーの設定
をしない限りパケットは通りませんよね。）
しかし、避けてばかりでも芸がないので、ここは一つ
頑張って挑戦してみることにしました。

パケット(?)レベルでのゲートウェイとアプリケーション
レベルでのゲートウェイトでは会社内での利用を考えた
場合、どちらでの運用が有効か、と言うことをお聞きした
かったのですが、言葉が足りないようで、申し訳ありま
せんでした。

[0016 A NG NG]

>6＠｀11
あんたはもう帰って良し。勉強しなおそう。

>5
>IPマスカレードってNATの一実装に過ぎないだろ？
細かい事言ってもしょうがないけど、一応ね。
NATとIPマスカレードの生い立ちや発展はそれぞれ別の方向性を
もっているから考え方変えた方がいいよ。
大規模LANのセグメント間ゲートウェイとしてNATを使えばその意味が分かってくる。

>NATとIPマスカレードの違いなんて、今ごろ気にするやついない
というのは言えてると思うのでもう追求しないけど。
NATを分かったようなふりされるのも見捨てがたいものがあったので。

[0017 A NG NG]

>15
時間を割けないのでかなりはしょってかきます。
アプリレベル(=PROXY)
いいところ
・キャッシュが利用可能
・指定したプロトコルしか通さない
・細かいログが取りやすい
悪いところ
・プロトコル毎に設定が必要

アドレス変換+パケットフィルタの良さ
・ルータだけでできる
・外部からパケットを投げてくるアプリ以外はほとんどそのまま使える
悪いところ
・利用状況が監視しづらい
・適切にフィルタを設定しなければいけない

会社ならPROXYがいいとおもうけどなあ・・
技術がないならなおさらでしょ・・。

[0018 １です NG NG]

有り難うございます、参考になります。
>会社ならPROXYがいいとおもうけどなあ・・
>技術がないならなおさらでしょ・・。

やはりそうですか、5さんと同じ理由ですね。

NATを選んだ経緯をもう少し詳しく（&くだけて）書きますと
・実はNATを置く場所が遠隔地にあって、そこにはネットワークを管理できる
　人間が一人もいないのため、出来るだけの安定性が欲しい。
　（NAT付きルータを買え。と言われそうですが、予算がないのです。）
・PC（というかHDD）もなるべく動かない方がいい、出来ることならFDDのみで起動したい。
・Squid + Delegate よりIP Fileterの方がきっと安定してるだろう。
　（うちのプロバイダのproxyもやたらと落ちるし）
・FreeBSD + iij-ppp + natパッチでのダイヤルアップルータなら今も社内で稼働中。
というわけでした。あまりに安易かもしれません。

ところで5さんへのレスに対してで恐縮ですが
>NATとIPマスカレードの生い立ちや発展はそれぞれ別の方向性を
>もっているから考え方変えた方がいいよ。
>大規模LANのセグメント間ゲートウェイとしてNATを使えばその意味が分かってくる。

このあたり大変興味があります。
もっと詳しく知りたいのですが、解説してはいただけないでしょうか？

[0019 ＞Ａ NG NG]

というのは言えてると思うのでもう追求しないけど。もう追求しないけど。
もう追求しないけど。もう追求しないけど。 もう追求しないけど。もう追求しないけど。
もう追求しないけど。もう追求しないけど。もう追求しないけど。もう追求しないけど。
NATを分かったようなNATを分かったようなNATを分かったようなNATを分かったような
分かったような分かったような分かったような分かったような分かったような
見捨てがたいものがあったので見捨てがたいものがあったので見捨てがたいものがあったので
見捨てがたい見捨てがたい見捨てがたい見捨てがたい見捨てがたい見捨てがたい見捨てがたい
見捨てがたい見捨てがたい見捨てがたい見捨てがたい見捨てがたい見捨てがたい

おもしろいよ、君。
ちょっとでも間違った発言って、許せない性格なんだね。
でも、それなら、ここよりfjとかのほうが向いてる気がするな。
馬鹿な発言をした奴をいじめるの、せーぜーがんばってね。

[0020 >１９ NG NG]

がんばらないよ。もうやめとく。
それにしても逆上はみっともない。

[0021 A NG NG]

>18
管理できる人がいない、というのであればある意味単なるNAT、
(というかIPマスカレード)というのはいいかもしれません。
たしかに安定性としては若干PROXYの方が劣るでしょうからね。

ただ、フィルタリングは意外と難しいかも。
外部からの接続を全部拒否する場合でもftp-data(20)＠｀auth(113)
は開けとかなければいけない、とか。
そういうノウハウを完全に身につけるのは難しいので普通はPROXYを併用するんです。

---
NATはアドレスの変換をしても、それによって本来のTCP/IPの機能をそこなわ
ずに通信ができるような実装を施されています。ですから、パケットの中にIP
アドレスをデータとして埋め込んでしまうような実装のアプリケーション
(Windowsのtracerouteとか)以外は完璧に動きます。外部からのパケットも正
常にマシンに届けることができます。

IPマスカレードは少ないアドレスを有効活用することに重きを置かれているの
でIPアドレスだけではなくTCP/UDPポート変換を行っています。外部からのパ
ケットを特定のマシンに届けるには工夫が必要です。

そういうわけで、主にプロバイダへのアクセスという限定された状況においてのみ
IPマスカレードは使われています。IPマスカレードはNATの上位互換ではあり
ません。

[0022 １９ NG NG]

おれは、このスレッドでは他に発言してないし、逆上する
理由はないのだけどな。
まあ、捨てハンだから、間違えられるのは仕方ないけどね。

[0023 ＞１２ NG NG]

もっと勉強しましょう。

[0024 ＞１ NG NG]

ＲＡＳの導入は、いかがでしょうか。
分散ネットワークですが、サーバー管理人件費削減で
中央統制席から、コントロールできています。
バグも、少なくなってきました。

[0025 ＞２３ NG NG]

なんで？
書いてることはあってるんじゃ。

[0026 名無しさん NG NG]

１２は正しい

[0027 名無しさん NG NG]

DHCPにはDNSやデフォルトゲートウェイを通知する機能はあるが、
最初の人間がそれを説明していない以上、誤解されるのは仕方がない。

[0028 12っす NG NG]

＞23
う〜む、もっと勉強するっす。
ただ「DHCPだからできる」っていうようなニュアンスだったんで。
とりあえず、がんばってねん＞１

[0029 ＞２８ NG NG]

＞２３
めんご、めんご。
ＤＨＣＰでもできま〜す♪
ダイアルアップ機能もあるルーターですよん。
ＯＣＮ低速回線（１２８Ｋｂｐｓ）常時接続で
サーバーが３台稼動してます。<アダルト系
1年たったけど、ハングなしですよん♪
ＩＰ１０００は、最低でしたん。（滝涙）