7.8  Použití Full cone NAT

Řada aplikací (zejména programy pro multimédia, internetovou telefonii (VoIP) apod.) používá model komunikace, kdy se k portu „otevřenému“ odchozím paketem mohou připojit další klienti pro navázání přímého spojení. Pro tyto případy WinRoute nabízí režim překladu adres označovaný jako Full cone NAT. V tomto režimu je k otevřenému portu povolen přístup z libovolné IP adresy a komunikace je vždy přesměrována na příslušného klienta v lokální síti.

Použití Full cone NAT představuje určité bezpečnostní riziko. S každým odchozím spojením navázaným v tomto režimu se otevírá potenciální cesta z Internetu do lokální sítě. Pro zachování dostatečné úrovně zabezpečení je proto nutné povolovat Full cone NAT pouze pro konkrétní klienty a služby. Pro ilustraci uvádíme příklad pro IP telefon s protokolem SIP.

Poznámka: Podrobnosti o definici komunikačních pravidel viz kapitola 7.3  Definice vlastních komunikačních pravidel.

Příklad: SIP telefon v lokální síti

Předpokládejme, že v lokální síti bude provozován IP telefon, který se registruje na SIP server v Internetu. Pro snazší popis uveďme konkrétní údaje:

  • IP adresa telefonu: 192.168.1.100

  • Veřejná IP adresa firewallu: 195.192.33.1

  • SIP server: sip.server.cz

Protože firewall provádí překlad IP adres, telefon se na SIP serveru registruje pod veřejnou IP adresou firewallu (195.192.33.1). Při volání z jiného telefonu na tento telefon bude navazováno spojení na IP adresu firewallu (195.192.33.1) a příslušný port. Za normálních okolností by takové spojení bylo možné navázat pouze přímo ze SIP serveru (na něj bylo navazováno původní odchozí spojení při registraci). Při použití Full cone NAT bude moci toto spojení navázat libovolný klient, který chce volat na SIP telefon v lokální síti.

Full cone NAT povolíme komunikačním pravidlem, které bude velmi restriktivní (z důvodu zachování maximální možné úrovně zabezpečení):

Komunikační pravidlo pro Full cone NAT

Obrázek 7.39. Komunikační pravidlo pro Full cone NAT


  • Zdroj — IP adresa SIP telefonu v lokální síti.

  • Cíl — jméno nebo IP adresa SIP serveru v Internetu. Full cone NAT bude prováděn pouze pro komunikaci s tímto serverem.

  • Služba — služba SIP (jedná se o SIP telefon). Pro ostatní služby nebude Full cone NAT prováděn.

  • Akce — komunikace musí být povolena.

  • Překlad — zvolíme požadovaný způsob překladu zdrojové IP adresy (viz kapitola 7.3  Definice vlastních komunikačních pravidel) a zaškrtneme volbu Povolit příchozí pakety z libovolné IP adresy (Full cone NAT).

    Povolení Full cone NAT v komunikačním pravidle

    Obrázek 7.40. Povolení Full cone NAT v komunikačním pravidle


Pravidlo pro Full cone NAT musí být umístěno nad obecným pravidlem pro překlad adres povolujícím komunikaci z lokální sítě do Internetu.