Quão comum é para as empresas permitir que muitos usuários compartilhem apenas um endereço IP público?
Espero que a resposta seja "não muito comum", já que estou desenvolvendo um software que depende do número de ip ser praticamente único.
Apenas uma das empresas para as quais eu trabalhei desde 1995, e isso é um monte de empresas, usa endereços IP públicos para clientes de desktop. Então, para mim, a resposta é: muito comum mesmo.
Aconselho veementemente a implantação de software que faça a suposição de que os endereços IPv4 são exclusivos para usuários finais, neste estágio da implantação v4.
ipv6, essa é uma chaleira diferente de jogos de bola.
Nunca vi nenhuma empresa usar IPs públicos para seus desktops ou servidores internos e, atualmente, também é muito raro que servidores externos (por exemplo, servidores da web) tenham um endereço IP público - geralmente eles estão atrás de balanceadores de carga, ou cada vez mais comumente, são servidores virtuais em um conjunto de servidores dinâmicos, então nem mesmo existem.
O NAT não pode estar no nível de todos os IPs internos para um externo, geralmente existem intervalos, no entanto, é a norma esmagadora para o NAT ser usado de uma forma ou de outra.
Enquanto o IP one-to-one para associação de usuários é ridiculamente incomum para comunicações via internet, eles são muito mais comuns para a comunicação intranet . Vários gateways NAT dentro de uma rede não são comuns, mas também não são desconhecidos. Nos casos em que você encontra o NAT interno, é provável que duas entidades (talvez devido a fusões) tenham seu próprio acesso independente à Internet e mantenham um link dedicado para falar com a outra entidade, e esse link provavelmente será protegido por um firewall / NAT.
Mesmo que uma empresa tenha muitos endereços IP públicos, eles agora preferem NAT para ocultar sua estrutura de rede interna por motivos de segurança. A maioria das empresas usará caixas de combinação que fornecem funcionalidade NAT e firewall. Assim, você pode seguramente assumir que o NAT está nas redes das empresas 99,99% do tempo. Se você está desenvolvendo aplicações que requerem conexão com computadores dentro de uma empresa, então você definitivamente precisa considerar uma das várias técnicas de "NAT Traversal". Veja link (não muito fácil de trabalhar, mas uma necessidade do mal).
É extremamente comum. Se já é parte integrante da sua aplicação, então talvez você possa alterá-la para usar o soquete (ou seja, o endereço IP e o número da porta que nat atribuiu)?
Bem, se você estiver escrevendo um aplicativo da Web, poderá pelo menos tentar obter o X-Forwarded-For HTTP Header que os proxies (normalmente) definem para seus clientes internos. Não é incomum que as mesmas organizações que usam NAT usem proxies HTTP para acesso externo, para que você possa trabalhar com um External IP:Internal IP par ou hash.
Mas sim, não conte com a exclusividade do endereço IP na palavra de hoje, o NAT é bastante comum e os proxies continuarão a ser quando o ipv6 estiver totalmente implementado.
Costumava ser muito mais comum, nos primórdios da internet, ter um grande bloco externo de IPs. Minha própria empresa acabou de migrar de um bloco / 16. Eu costumava trabalhar em uma universidade que tinha dois / 8 blocos.
Mas hoje em dia é muito incomum uma empresa não usar um NAT. Grandes blocos IP externos simplesmente não são tão úteis. Minha empresa atual, (a que acabou de sair do / 16), montou uma WAN interna em 10.0.0.0/8, e isso permite que cada computador na empresa tenha um IP "exclusivo" (embora, admito, não uma acessível externamente), a um custo muito menor do que pagamos pelo nosso bloco original.
Existe algo que é único - a combinação de endereço IP e número de porta. Em um ambiente NAT, vários clientes internos parecem ter o mesmo IP quando vistos de fora, mas cada um deles tem um número de porta diferente, emparelhado com esse endereço IP. (Tudo isso está falando sobre o IPv4.)
Mas tenha cuidado, porque o emparelhamento (endereço, porta) é válido apenas enquanto a conexão é estabelecida. Se a conexão for fechada e reaberta, uma nova porta pode ser emparelhada mesmo para o mesmo cliente.
Existem sistemas que usam isso, como o LogMeIn, que exigem que o cliente contate um servidor central e, em seguida, roteie todas as comunicações através do servidor central e retorne ao cliente por meio da conexão aberta nessa porta.
Embora o NAT seja comum, outro cenário comumente encontrado é o requisito de fazer proxy de todo o tráfego HTTP através de um único conjunto de proxies, para que todo o tráfego HTTP / HTTPS pareça vir de um pequeno conjunto de endereços IP.
Um escritório em que trabalhei para uma empresa grande (com mais de 50.000 funcionários) tinha cada desktop atribuído a um endereço IP público. No entanto, toda a entrada de tráfego foi bloqueada (exceto estabelecida) e todo o tráfego de saída nas portas 80/443 também foi bloqueado. Então, embora eu pudesse enviar o SSH para qualquer endereço IP na Internet diretamente da minha área de trabalho, toda a navegação na Web nas portas regulares tinha que ser conduzida por meio do proxy.
Uma empresa diferente que eu vi adotou uma abordagem diferente - cada cliente interno tinha um endereço RFC1918 alocado, mas não havia roteamento para a Internet. Como antes, os proxies da Web eram usados para obter tráfego HTTP para os clientes, mas não havia roteamento NAT acontecendo.
Tags nat