Řada aplikací (zejména programy pro multimédia, internetovou telefonii (VoIP) apod.) používá model komunikace, kdy se k portu „otevřenému“ odchozím paketem mohou připojit další klienti pro navázání přímého spojení. Pro tyto případy WinRoute nabízí režim překladu adres označovaný jako Full cone NAT. V tomto režimu je k otevřenému portu povolen přístup z libovolné IP adresy a komunikace je vždy přesměrována na příslušného klienta v lokální síti.
Použití Full cone NAT představuje určité bezpečnostní riziko. S každým odchozím spojením navázaným v tomto režimu se otevírá potenciální cesta z Internetu do lokální sítě. Pro zachování dostatečné úrovně zabezpečení je proto nutné povolovat Full cone NAT pouze pro konkrétní klienty a služby. Pro ilustraci uvádíme příklad pro IP telefon s protokolem SIP.
Poznámka: Podrobnosti o definici komunikačních pravidel viz kapitola 7.3 Definice vlastních komunikačních pravidel.
Předpokládejme, že v lokální síti bude provozován IP telefon, který se registruje na SIP server v Internetu. Pro snazší popis uveďme konkrétní údaje:
IP adresa telefonu: 192.168.1.100
Veřejná IP adresa firewallu: 195.192.33.1
SIP server: sip.server.cz
Protože firewall provádí překlad IP adres, telefon se na SIP serveru
registruje pod veřejnou IP adresou firewallu (195.192.33.1
).
Při volání z jiného telefonu na tento telefon bude navazováno spojení na
IP adresu firewallu (195.192.33.1
) a příslušný port. Za
normálních okolností by takové spojení bylo možné navázat pouze přímo ze SIP
serveru (na něj bylo navazováno původní odchozí spojení při registraci). Při
použití Full cone NAT bude moci toto spojení navázat
libovolný klient, který chce volat na SIP telefon v lokální síti.
Full cone NAT povolíme komunikačním pravidlem, které bude velmi restriktivní (z důvodu zachování maximální možné úrovně zabezpečení):
Zdroj — IP adresa SIP telefonu v lokální síti.
Cíl — jméno nebo IP adresa SIP serveru v Internetu. Full cone NAT bude prováděn pouze pro komunikaci s tímto serverem.
Služba — služba SIP (jedná se o SIP telefon). Pro ostatní služby nebude Full cone NAT prováděn.
Akce — komunikace musí být povolena.
Překlad — zvolíme požadovaný způsob překladu zdrojové IP adresy (viz kapitola 7.3 Definice vlastních komunikačních pravidel) a zaškrtneme volbu Povolit příchozí pakety z libovolné IP adresy (Full cone NAT).
Pravidlo pro Full cone NAT musí být umístěno nad obecným pravidlem pro překlad adres povolujícím komunikaci z lokální sítě do Internetu.