Giả sử mạng nội bộ có 2 máy đều đang duyệt web, packet đi ra ngoài sẽ mượn IP public (NAT Outbound - cái này thì dễ hiểu rồi) để đến web server. Nhưng khi Web server gởi packet dùng IP public về đến Router rồi, thì Router làm thế nào để biết là gói tin này gởi cho máy nào trong mạng nội bộ vậy?

Giả sử mạng nội bộ có 2 máy đều đang duyệt web, packet đi ra ngoài sẽ mượn IP public (NAT Outbound - cái này thì dễ hiểu rồi) để đến web server. Nhưng khi Web server gởi packet dùng IP public về đến Router rồi, thì Router làm thế nào để biết là gói tin này gởi cho máy nào trong mạng nội bộ vậy?

Vấn đề này bác nên tìm đọc bài viết trên PCWORLD VIETNAM số tháng 9:NAT và máy chủ "vượt NAT" (A0909_127) bài này rất hay,giải thích cặn kẽ điều bác hỏi.

http://vnpro.org/forum/showthread.php?t=13528

bạn cũng có thể xem link trên.

Bài "Nat và máy chủ vượt Nat" không có trên Net, nên mình chưa đọc được. Sau khi đọc thread của anh Minh giới thiệu thì cái từ PORT cứ văng vẳng trong đầu :76:, xem lại bài thì mình phỏng đoán vấn đề được giải quyết như sau (các bác xem hình):
http://upanh.com/uploads/19-Sep-2009/myc1qq1w539sbr5kul8z.png
PORT chính là chìa khóa giải quyết vấn đề!
Khi máy client 192.168.1.2 duyệt web, nó phát sinh 1 port ngẫu nhiên là 37654 rồi gởi packet đến Webserver, đi qua Router. Lúc này Router Nat gói tin đặt IP public vào, thay source port cũ bằng port mới là 46623. Do đó, khi webserver gởi thông tin trở lại sẽ dùng Destination port là 46623 và thế là Router tra bảng sẽ biết được IP của máy Client để gởi vào.
Lúc đầu mình nghĩ cái bảng này dùng để giải thích cho rõ, giờ nghĩ lại thì cái bảng tra này chắc là nằm trong Router giúp nó xác định được client bên trong để gởi gói tin vào.
Cách lý giải này đã đúng chưa, mong mọi người cho ý kiến!

Nếu theo lý luận này, thì cho mình thắc mắc tiếp là tại sao Router lại không dùng luôn port của client gởi đến mà lại phải phát sinh port mới? Port ngẫu nhiên được mở ra, khi nào sẽ đóng lại, có khả năng bị tấn công bằng các port này không?

Cuối cùng là nội dung của cơ chế NAT ngoài


Nat outbound
Nat inbound port cố định cho các server
Nat inbound port ngẫu nhiên cho các host bên trong

thì còn gì nữa không?

Mong mọi người giải đáp giúp mình !

Bài "Nat và máy chủ vượt Nat" không có trên Net, nên mình chưa đọc được.

cho mình thắc mắc tiếp là tại sao Router lại không dùng luôn port của client gởi đến mà lại phải phát sinh port mới? Port ngẫu nhiên được mở ra, khi nào sẽ đóng lại, có khả năng bị tấn công bằng các port này không?

Mong mọi người giải đáp giúp mình !

Đúng là bài "NAT và máy chủ vượt NAT" chưa có trên net,bác chịu khó ra sạp báo tìm mua(số tháng 9).Bài viết này cũng giải thích phần thắc mắc của bác ở bên dưới!

Truong hop nay la PAT (dynamic) Port Address Translation
Khi packet tro ve thi add (ouside global) khong thay doi nhung khac port va luon luon so port deu lon hon 1023 co nghia la tu 1024 tro di.