NAT とプロキシサーバー

NAT とプロキシサーバー

私はネットワークIPを隠すためにSquidプロキシサーバーをインストールしましたが、しばらくすると遅くなり、NATルールを読んでプロキシサーバーで必要なことを実現しました。これによるとリンクNAT とプロキシ サーバーの違いは、ユーザー番号の処理方法です。私たちは合計 8 人で、専用回線のインターネット速度は 2Mbps です。

Squid プロキシ サーバーを改善すべきか、それとも mikrotik ルーターに NAT ルールを実装するだけか、教えてください。

追加情報

1280 MB の RAM、80 GB のハードディスク、Pentium 4 (2.40 Hz) を搭載した Ubuntu サーバーを搭載した、Squid プロキシ サーバー用の別の古いマシン。

Mikrotik ルーターは、トラフィックをネットワークからプロキシ サーバーに転送します。

答え1

NATとプロキシサーバーの違いは、ユーザー番号の扱い方にあります。

実際のところ、その違いは、それらがほぼ完全に異なるソリューションであるということです。

NAT は、IPv4 アドレスの枯渇に対するハック ソリューションとして考案されたレイヤー 3/4 ソリューションです。セキュリティや「プロキシ」ソリューションとして意図されたものではありません。NAT は、パケットのアドレス (宛先アドレス、または使用例ではソース アドレス) を 1 つ変更するだけで、その後カーネルは、どのストリーム (および対応するパケット) に NAT が適用されたかを追跡し、戻りパケットのアドレス置換を「元に戻す」ことができます。NAT では、ルーティング テーブルに適切なゲートウェイを設定する以外に、クライアントでの構成は必要ありません。レイヤー 3 および 4 で動作することは、NAT が上位プロトコルに関係なく任意の IP 接続に適用できることを意味しますが、あまり一般的でないプロトコルの一部が機能しなくなる可能性があります。

プロキシは、レイヤー 7 ソリューションであり、リクエストのより詳細な検査を実行でき、キャッシュ、フィルタリング (ポリシーやウイルス スキャンなど)、および元のリクエストの送信元アドレスの「マスキング」などの機能を提供します (ただし、多くの HTTP プロキシ サーバーは、X-Forwarded-For元のクライアントのアドレスを含むヘッダーを HTTP リクエストに追加します)。プロキシ サーバーでは、通常、プロキシを使用するようにクライアントを構成する必要がありますが、「透過的な」プロキシ構成を作成するためのハックがいくつかあります。IME では、クライアントが実際にプロキシを使用することを認識していれば、より適切に機能する傾向があります。最後に、レイヤー 7 で動作する場合、プロキシするプロトコルごとにプロキシが必要です。たとえば、HTTP/HTTPS プロキシと SMTP/POP3 プロキシは別々にする必要があります (これらは同じハードウェア上に配置できますが、別々の構成を持つ別のソフトウェア パッケージです)。

NAT はプロキシ サーバーに比べてリソース消費が少なく、構成も簡単ですが、プロキシ サーバーは一般に、より強力で柔軟性があります。

私たちは全部で 8 人おり、専用回線のインターネット速度は 2Mbps です。

8 人であれば、通常は NAT を使用すれば十分です。ただし、接続速度が 2Mbps しかない場合は、コンテンツをキャッシュして帯域幅の使用を減らすことができるプロキシ サーバーを導入するとメリットが得られる場合があります。

答え2

8 人なら NAT にします。プロキシを使用すると、フィルターやポリシーなどを配置するためのオプションが増え、80 と 443 以外のポートを安全に許可できます。キャッシュもできますが、遅延も発生します。別のサーバーを管理する負担に見合うメリットがあるとは思えません。

関連情報