Как должен работать NAT? <Windows Server 2008>
 

Простой вопрос..

Cеть 192.168.1.0/24
Cеть 192.168.2.0/24

3 хоста:
[192.168.1.1] --- [192.168.1.2 / 192.168.2.2] --- [192.168.2.1]


Шлюзов по умолчанию не прописано.
На 192.168.2.1 запущен WEB-сервер, требуется сделать его доступным для 192.168.1.1.


Внимание, вопрос: Можно ли это сделать не прописывая маршрутов на 192.168.2.1?
Т.е. может ли NAT так работать или нет (подставлять свой IP вместо 192.168.2.1)?? Ковыряюсь в Windows Server 2008, никак не могу понять.
Помогите советом люди добрые!!

- не там ковыряешься, ковыряй книги не предмет работы протокола IP...)

правильный ответ: маршрутизатор с функцией NAT(NAPT). главное слово здесь маршрутизатор а не NAT.

немного теории:

за примером далеко ходить не будем.) станция 192.168.1.1(..1.1) должна передать IP-пакет станции 192.168.2.1(..2.1) для этого она налаживает IP-адрес получателя на свою маску что бы выяснить IP-адрес получателя пренадлежит её сети или нет. если IP-адрес пренадлежит её сети(а это значит что станция получатель и станция отправитель находятся в одной канальной сети) то она формирует IP-пакет и отправляет его непосредственно станции получателя. если из другой IP-сети то станция просматривает свою таблицу маршрутизации на предмет пути в эту сеть, если путь в таблице есть(а путь в другую сеть обязательно содержит IP-адрес следующего маршрутизатора и этот IP-адрес обязательно должен быть из сети в которой находиться отправляющая станция) станция передаёт IP-пакет следующему маршрутизатору. если пути нет то она передаёт IP-пакет на маршрутизатор "по-умолчанию". если и его нет. то IP-пакет не передаётся.

это относительно работы IP и в общих чертах. там ещё есть важные действия на канальном уровне..) без знания которых нельзя полностью представить сетевое взаимодействие.

прочитав это ответь сам на свой вопрос.

з.ы. и накой тебе NAT? тебе в данном случае простая маршрутизация подойдёт, не злоупотребляй NAT преобразованием без необходимости ...)

То есть обе сети изолированы (к интернетам доступа не имеют и т.д.)?

Значит так. Проблемы тут две
1. Настроить отправку запросов на 192.168.2.1
2. Настроить возвращение ответов из 192.168.2.1

Сама система на шлюзе - серверная, так что для пересылки достаточно активировать службу "маршрутизация и удалённый доступ".
Если отправка запросов в "первую" сеть из "второй" не требуется, достаточно на шлюзе объявить интерфейс 192.168.2.2 "внешним" и активировать для него NAT ("общий доступ"), а также прописать адрес 192.168.1.2 "маршрутом по умолчанию"*для всех компьютеров "первой" сети. Тогда все запросы к серверу 192.168.2.1 после преобразования будут иметь обратный адрес 192.168.2.2

Если же требуется также получать доступ к серверам (файлы,*HTTP и т.д.) из "первой"*сети, тогда придётся прописать маршруты в обоих подсетях
1. Компьютер 192.168.1.1 (и остальные) должен иметь маршрут 192.168.2.0/24 -> 192.168.1.2
2. Компьютер 192.168.2.1 (и остальные) должен иметь маршрут 192.168.1.0/24 -> 192.168.2.2
Маршруты можно прописывать вручную на каждом компьютере (командой route с параметром -p),*а можно - на DHCP-сервере (параметр №254), который зарегистрирует их на всех клиентах

По правде, в обоих сетках свой интернет, т.е. свои шлюзы по-умолчанию.

Ситуация такая:
Есть 5 серверов в своей внутренней сети и со своим интернетом. Есть сеть предприятия со своим интернетом.
Мои боссы решили что сеть предприятия должна быть подключена к внутренней сети не через шлюз, а к другому серваку.
Конечно, если прописать статический маршрут, то все будет работать.


[192.168.1.1] --- [192.168.1.2 / 192.168.2.2] --- [192.168.2.1]

Как я это представляю:
1. WEB-Клиент 192.168.1.1 отправляет запрос на 192.168.1.2:80.
2. Срабатывает NAT переадресация порта. Пакет отправляется на WEB-сервер 192.168.2.1:80, адрес получателя 192.168.1.1 остается прежним.
3. Обработав запрос, WEB-сервер 192.168.2.1 смотрит есть ли маршрут до 192.168.1.1, отправляет ответ.
4. Пакет попадает на 192.168.2.2, тут срабатывает маршрутизация, пакетик обрабатывается NAT-ом, у него меняется отправитель на 192.168.1.2 и доставляется довольному клиенту.

Я же хочу:
1. WEB-Клиент 192.168.1.1 отправляет запрос на 192.168.1.2:80.
2. Срабатывает NAT переадресация порта. Пакет отправляется на WEB-сервер 192.168.2.1:80, адрес получателя заменяется на 192.168.2.2.
3. Обработав запрос WEB-сервер 192.168.2.1 высылает ответ на 192.168.2.2
4. Пакет попадает на 192.168.2.2, тут срабатывает маршрутизация, пакетик обрабатывается NAT-ом, у него меняется отправитель на 192.168.1.2 и доставляется довольному клиенту.


Если такое возможно, то хотелось бы знать как это сделать.

- слишком много хочешь ...) двусторонний NAT, назовём это так. это уже атака "men in the middle" это тебе к ~nix системам там такое по-моему возможно.

половинное решение это порт-маппинг. тогда ..1.2 будет выдавать себя за ..2.1 но на ..2.1 всё равно нужно будет прописать маршрут в сеть 192.168.1.0

это тебе нужно NAT-ить сеть 192.168.2.0 в сеть 192.168.1.0

а вообще маловато инфы.( кто в инет выпускает в той и другой сети?

Вот именно - прописать в обоих DHCP-серверах статические маршруты,*и всё будет работать.
Можно ограничить доступ, прописав в фильтре правило пропускать пакеты,*у которых порт отправителя или получателя должен быть равен 80