NAT vs Proxy

Proxy

Отдельное приложение которое позволяет другим компьютерам подключаясь на определенные порты одного компьютера, с использованием определенного протокола "проксирования" получить доступ к сети интернет.
Имеется довольно большой выбор программ-proxy, как бесплатных, так и платных и вообще кучу разновидностей лицензирования (в плоть до ограничения в бесплатной версии количества фильтров/пользователей).

Большинство программ поддерживает следующие протоколы: HTTP(S)-Proxy, Socks v4, Socks v5.
HTTP-Proxy - это самый первый протокол (на сколько я знаю). Не предназначен для работы с цепочкой прокси, и не во всех случаях отрабатывает корректно.
Socks - тут могу сказать только то что данный протокол стал бинарным, в отличии от текстового HTTP-proxy, что усложняет его использование (чаще проверку) утилитами командной строки, типа telnet, но ускоряет его работу в целом. Он так же предназначен для работы с цепочками прокси, и в целом работает более надежно.
Виды прокси хорошо расписаны в [04].

Плюсы:

1. Простая установка, чаще всего и настройка тоже простая.
2. Множество моделей авторизации пользователей:
   1. по логину и паролю (plain text, список логинов и паролей храниться где-тов  настройках прокси)
   2. по IP-адресу
   3. NTLM/ActiveDirectory
   4. специальным клиентским приложением, которое в отдельных случаях, может туннелировать клиентские запросы через прокси
3. При наличии возможности кеширования данных в прокси, есть возможность экономить внешний траффик и ускорить отдачу контента пользователям.
4. Возможность установки на машине без интернета для реализации доступа к внешним ресурсам с использованием прокси верхнего уровня. Например для переброски портов 110, 25 и т.п. с локальной машины на внешний сервер, для доступа почтовых програм к серверу почты. Вообще в установке прокси на локальной машине есть свои плюсы (нет необходимости при изменении настроек прокси верхнего уровня перенастраивать эти параметры в куче мест, достаточно изменить параметры локального прокси) и минусы (Firewall-ы такие коннекты не очень отлавливают, значит он не сможет определить наличие вируса, и не сможет заблокировать приложение которому не хотелось бы давать выход в инет).
5. Можно контролировать кто куда ходил (по логам), а так же заблокировать доступ к определенным сайтам (по именам, IP, или по более сложным правилам, в зависимости от возможностей прокси).
6. Обеспечение безопасности внутренней сети от атак извне, за счет того что с наружи видна только машина на которой размещен прокси, хотя в случае получения административного доступа на машине с прокси взломщик получит доступ и к компьютерам во внутренней сети.
7. Повышение анонимности в сети, так как внутри HTTP-запроса чаще всего содержится информация об оригинальном расположении пользователя (IP) и об его окружении (OS, версия браузера). Прокси сервер может информацию подменять или указывать информацию о своем положении.
8. Использование цепочек прокси для повышения анонимности (за счет снижения скорости).
9. Большинство программ имеет возможность шейпинга запросов пользователей (разделение скорости канала по приоритетам, без единоличного захвата всей пропускной способности канала одним пользователем).

1. Все программы использующие прокси должна уметь работать через прокси. Многие программы этого не умеют (почтовые программы, игры и так далее)
2. Необходимость явно указывать прокси в тех программах которые умеют использовать прокси
3. Необходимость использовать Соксификаторы (программы перехватывающие вызову WinSock API и перенаправляющие их вызовы через прокси) для тех программ которые не умеют работать нативно с прокси, но это помогает не во всех случаях.
4. Создавать отдельные правила для Port Mapping-а для тех программ для которых не помог пункт 3. При этом, например, для доступа на pop.mail.ru:110 и pop.list.ru:110, нужно прописать на прокси два правила на разные порты, которые будут разруливать потоками данных на разные конечные сервера.

NAT

Эта технология гораздо проще с точки зрения пользователей.
Но сами программы реализующие данный алгоритм более сложны с точки зрения понимания (ИМХО), и вообще менее распространены (по крайней мере под платформу Windows). Как выяснилось это из-за того что этот протокол вообще не очень-то хорош, для программ, и вообще является временной мерой после выполнения разграничения IP-адресов на группы, часть из которых относиться к внутренним (например, 192.168.*.* и 172.16.*.*), так как пакеты направленные на IP-относящийся к группе внутренних не может быть туда доставлен так как этот адес может использоваться (и используется) в очень многих сетях [03].
Это тоже отдельное приложение-сервис на компьютере подключенном к интернету, но схема работы тут уже другая и в простых случаях не требует установки дополнительного ПО или дополнительной конфигурации на стороне пользователя.
В протоколе TCP/IP есть понятие "шлюза по умолчанию", которы используется если система не не может передать указанный пакет ни по одному из локальных сетевых интерфейсов. В этом случае этот пакет отправляется на затребованный IP, но при этом у него указывается мак-адрес шлюза.
Таким образом этот пакет обрабатывается сетевым интерфейсом на компьютере с NAT, специальной программой которая знает куда шел пакет (поле IP из пришедшего пакета) и знает кто его отправлял, он перенаправляет пакет на указанный адрес и ответ возвращает обратно пользователю.
Таким образом на компьютере пользователя достаточно настроить "шлюз по умолчанию" и адрес DNS-сервера.

Плюсы:

1. Очень простая настройка на компьютере пользователя: достаточно настроить "шлюз по умолчанию" и адрес DNS-сервера.
2. Большинство программ (использующих простой протокол) без проблем работают в интернете, без дополнительных настроек, так как преобразование DNS-имени в IP-адрес и отправку пакета через шлюз осуществляет сама Windows

1. Необходимость установки и настройки DNS-сервера, так как компьютер пользователя должен сначала разрешить DNS-мя в IP адрес, а после этого понять что он не может его отправить с текущими сетевыми интерфейсами.
2. Практически полная не возможность работы программ в протоколах которых используется обратное подключение от сервера к клиенту, по переданному в запросе IP адресу, или просто порту, так как подмена адреса на машине с NAT не подзволяется (в общем случае) подменить этот IP в самом пакете, так как NAT не знает специфики протокола (опять же в общем случае, для некоторых простых протоколов, например FTP, NAT может изменять содержимое, в большинстве случаем, например Oracle, это не возможно).
3. Авторизация по клиентов только IP.
4. Бесплатные программы найти очень сложно, пока я вообще не смог найти нормальной программы под Windows, кроме какой-то древней, которую нормально поставить на XP не смог.

Выводы

Как выяснилось, в инете и так довольно много статей по этому поводу, причем довольно качественных. Но не смотря на это мне хочеться открыть эту информацию для граждан нашего сообщества.
Надеюсь что что-то полезное из этого поста вы все таки узнали :)
Я например понял что переходить с Proxy на NAT не имеет смысла, так как внем тоже не все столь радужно, и по большому счету хорошо только то что ничего настраивать на клиенте не нужно, все типа и так работает,но с кучей ограничений :(, хотя для работы HTTP(S), POP, SMTP, ICQ (ну может передача файлов может не работать) проблем вроде как ни каких, но вот игры в Интернете в таком случае могут и не работать.
Так что будем думать в сторону программ перенаправляющих запросы через прокси, таких как Permeo Security Driver.

Если что где не так или не понятно - пишите, я исправлю/поведу до ума :)
Есть идея написать пост по стеку TCP/IP и потому как вообще пашут приложения в сети и инет вообще. Есть идеи как это все оформить? :)

Источники

Википедия:

• [01] Socks
• [02] Прокси-сервер

Статьи:

• [03] Что такое NAT и почему он вам НЕ нужен
• [04] Как скрыть NAT от провайдера
• [05] Что такое прокси сервер

Дополнительно:

• [06] Узнайте ваш реальный IP-адрес