NAT/NAPT/Multi-NAT. Przekierowywanie portów



Podobne dokumenty
Opis ogólny ustawień NAT na podstawie Vigora serii 2700

BRINET Sp. z o. o.

Zakresy prywatnych adresów IPv4: / / /24

ZiMSK NAT, PAT, ACL 1

Sieci Komputerowe Translacja adresów sieciowych

Przekierowanie portów w routerze - podstawy

OBSŁUGA I KONFIGURACJA SIECI W WINDOWS

IP: Maska podsieci: IP: Maska podsieci: Brama domyślna:

Przekierowanie portów w routerze TP-LINK na przykładzie kamery Kenik. Po co wykonujemy przekierowanie portów? Spójrzmy na rysunek

Przekierowanie portów w routerze TP-LINK na przykładzie kamery Kenik. Po co wykonujemy przekierowanie portów? Spójrzmy na rysunek poniżej:

Translacja adresów - NAT (Network Address Translation)

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

Instrukcja korzystania z systemu IPbaza. oraz konfiguracji urządzeń

Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).

4. Podstawowa konfiguracja

BRINET Sp. z o. o.

pasja-informatyki.pl

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

Zapory sieciowe i techniki filtrowania.

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat usługi DHCP.

Instrukcja oryginalna Urządzenie posiada oznaczenie MODUŁ KOMUNIKACYJNY CENTRAL WENTYLACYJNYCH. WebManipulator

Adresy w sieciach komputerowych

Na podstawie: Kirch O., Dawson T. 2000: LINUX podręcznik administratora sieci. Wydawnictwo RM, Warszawa. FILTROWANIE IP

Konfiguracja zapory Firewall w systemie Debian.

GPON Huawei HG8245/HG8245T/HG8245H

Router programowy z firewallem oparty o iptables

Akademickie Centrum Informatyki PS. Wydział Informatyki PS

Dodawanie kamer w rejestratorach z PoE

Przypisywanie adresów IP do MAC-adresów

MODEL WARSTWOWY PROTOKOŁY TCP/IP

Laboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark

SIECI KOMPUTEROWE Adresowanie IP

Telefon AT 530 szybki start.

NAT (Network Address Translation)

Zdalne zarządzanie systemem RACS 5

Windows W celu dostępu do i konfiguracji firewall idź do Panelu sterowania -> System i zabezpieczenia -> Zapora systemu Windows.

Podstawy Transmisji Danych. Wykład IV. Protokół IPV4. Sieci WAN to połączenia pomiędzy sieciami LAN

Laboratorium - Używanie programu Wireshark do obserwacji mechanizmu uzgodnienia trójetapowego TCP

Połączenie LAN-LAN ISDN

GPON Huawei HG8245/HG8245T/HG8245H/HG8546M/ HG8245Q/HS8546V/HS8145V

BROADBAND INTERNET ROUTER- INSTRUKCJA OBSŁUGI

Problemy techniczne SQL Server. Jak odblokować porty na komputerze-serwerze, aby umożliwić pracę w sieci?

Konfiguracja połączenia G.SHDSL punkt-punkt w trybie routing w oparciu o routery P-791R.

Problemy techniczne SQL Server

Systemy operacyjne i sieci komputerowe Szymon Wilk Adresowanie w sieciach Klasy adresów IP a) klasa A

Zapory sieciowe i techniki filtrowania danych

Struktura adresu IP v4

Zadanie z lokalnych sieci komputerowych. 1. Cel zajęć

Możesz podłączyć drukarkę do routera wykorzystując port USB. Wszystkie komputery podłączone do routera będą mogły drukować poprzez router.

WINDOWS Instalacja serwera WWW na systemie Windows XP, 7, 8.

Telefon IP 620 szybki start.

Uwaga: NIE korzystaj z portów USB oraz PWR jednocześnie. Może to trwale uszkodzić urządzenie ZyWALL.

INDUPROGRESS S.C., ul.zagórzańska 48e, WARSZAWA tel: , fax:

tel fax

Sieci komputerowe. Tadeusz Kobus, Maciej Kokociński Instytut Informatyki, Politechnika Poznańska

OUTSIDE /24. dmz. outside /24. security- level 50. inside security- level /16 VLAN /

Tworzenie maszyny wirtualnej

Instrukcje dotyczące funkcji zarządzania pasmem w urządzeniach serii ZyWALL.

ARP Address Resolution Protocol (RFC 826)

Instrukcja konfiguracji usługi DDNS na dedykowanym serwerze dla urządzeń Internec serii i7

Panel Konta - instrukcja. Warszawa, 2013 r

1 Moduł Diagnostyki Sieci

Konfiguracja i uruchomienie usługi Filtry adresów IP dla użytkowników Centrum Usług Internetowych dla Klientów Banku Spółdzielczego w Łęcznej.

Menu Status routera to pojedyncze okno, prezentujące aktualny stan oraz statystykę interfejsów z uwzględnieniem łącza dostępu do Internetu:

ZADANIE.10 DHCP (Router, ASA) 1,5h

PBS. Wykład Filtrowanie pakietów 2. Translacja adresów 3. authentication-proxy

Instrukcja konfiguracji funkcji skanowania

Zdalna obsługa transcievera. H A M R A D I O D E L U X E R e m o t e S e r v e r C o n f i g u r a t i o n

Konfiguracja IPSec Brama IPSec w Windows 2003 Server

Bramka IP 2R+L szybki start.

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat zapory sieciowej (firewall) oraz oprogramowania iptables.

Laboratorium - Przeglądanie tablic routingu hosta

Połączenie VPN LAN-LAN IPSec (tryb agresywny)

Rysunek 1: Okno z lista

Zarządzanie ruchem w sieci IP. Komunikat ICMP. Internet Control Message Protocol DSRG DSRG. DSRG Warstwa sieciowa DSRG. Protokół sterujący

Konwerter sieciowy RCP48LS

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

Linksys/Cisco SPA2102, SPA3102 Instrukcja Konfiguracji

11. Autoryzacja użytkowników

DOSTĘP ZDALNY PRZEZ DDNS

Konfiguracja poczty IMO dla urządzeń mobilnych z systemem ios oraz Android.

Serwer DHCP (dhcpd). Linux OpenSuse.

Internet. Bramka 1 Bramka 2. Tunel VPN IPSec

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

INSTRUKCJA INSTALACJI URUCHOMIENIA TYDOM 1.0

Skrócona instrukcja obsługi rejestratorów marki IPOX

Instrukcja dla instalatora systemu SMDP Enterprise/Professional

Połączenie VPN Host-LAN IPSec wykorzystaniem DrayTek Smart VPN Client

Sieci Komputerowe. Wykład 1: TCP/IP i adresowanie w sieci Internet

Połączenie VPN SSL Web Proxy. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Profile SSL Web Proxy 1.3. Konto SSL 1.4. Grupa użytkowników

IPSec over WLAN z wykorzystaniem DrayTek Smart VPN Client. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN. 3. Zainicjowanie połączenia

Instrukcja konfiguracji urządzenia Comarch TNA Gateway Plus

Posiadając dwa routery z serii Vigor 2200/2200X/2200W/2200We postanawiamy połączyć dwie odległe sieci tunelem VPN. Przyjmujemy następujące założenia:

ZiMSK dr inż. Łukasz Sturgulewski, DHCP

SZYBKI START MP01. Wersja: V1.0 PL

Połączenie VPN Host-LAN SSL z wykorzystaniem DrayTek Smart VPN Client. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2.

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

Obsługa poczty elektronicznej w domenie emeritus.ue.poznan.pl

Protokoły sieciowe - TCP/IP

Transkrypt:

Routery Vigor mogą obsługiwać dwie niezależne podsieci IP w ramach sieci LAN (patrz opis funkcji związanych z routingiem IPv4). Podsieć pierwsza przeznaczona jest dla realizacji mechanizmu NAT, aby umożliwić komputerom korzystanie z tzw. prywatnych adresów IP. Adresy prywatne to grupy adresów wydzielone w ramach klas adresów A, B i C, nieobsługiwane przez urządzenia publicznej Sieci (czyli nie można się za ich pomocą komunikować w Internecie). Adresy prywatne mogą za to być wielokrotnie wykorzystywane w lokalnych, zamkniętych sieciach różnych organizacji (tzw. Intranetach), a ich użycie jest dowolne i nie wymaga uzyskania oficjalnego zezwolenia czy przydziału. Pomysł ten zrodził się jako jeden z środków zaradczych wobec kurczenia się puli adresów IP w latach intensywnego rozwoju Internetu. Został wykorzystany przez producentów urządzeń, którzy opracowali sposób na dostęp do Internetu dla maszyn zaadresowanych z puli prywatnej translację adresów. NAT (ang. Network Address Translation) pozwala na wykorzystanie jednego bądź kilku adresów publicznych do obsłużenia całej komunikacji pomiędzy siecią prywatną a Internetem. Pakiety wychodzące z sieci prywatnej do Internetu muszą mieć adres źródłowy podmieniony na adres publiczny, aby mogły osiągnąć cel. Dzięki temu możliwa będzie odpowiedź systemu zdalnego i wzajemna komunikacja przez Internet. Dlatego kiedy pakiet opuszcza podsieć 1, router Vigor w polu jego adresu źródłowego umieszcza adres publiczny uzyskany od operatora. Kiedy przychodzi odpowiedź, jest ona zaadresowana na ten właśnie adres własny routera, a komputer odpowiadający nie wie jaki jest rzeczywisty adres maszyny prowadzącej dialog. Przekazanie pakietu do właściwego komputera jest już lokalną sprawą routera NAT. Aby obsłużyć wiele niezależnych procesów komunikacji na raz, stosuje się odwzorowywanie portów źródłowych na tzw. pseudo-porty, wybierane przez router z określonego zakresu. Do tego dochodzą różne operacje dodatkowe, mające na celu usprawnienie mechanizmu translacji adresów. Ponieważ podsieć prywatna jest ukryta za pojedynczym adresem routera, nie jest możliwe wysyłanie pakietów z Internetu bezpośrednio na adresy poszczególnych komputerów, a jedynie na adres routera. Każdy pakiet przychodzący, który nie jest wysłany w odpowiedzi na inny pakiet w ramach sesji wymiany zainicjowanej przez lokalny komputer, będzie zawsze odrzucony przez router. Ma to swoje zalety w postaci domyślnego maskowania sieci, jednak z drugiej strony ogranicza możliwości korzystania z usług i zasobów sieci prywatnej. Jednak wykorzystując pewne informacje pomocnicze, jak numery portów protokołów, można zdefiniować reguły kierowania określonego ruchu na dane adresy prywatne. Proces ten jest określany jako NAPT (Network Address & Port Translation) i funkcjonuje w routerach Vigor w kilku odmianach, opisanych dalej. Przekierowywanie portów Ustawienia te dotyczą ruchu przychodzącego od strony sieci publicznej, zaadresowanego na określony numer portu protokołu TCP bądź UDP. Istnieje tutaj możliwość skierowania takiego ruchu na ten sam bądź inny port docelowy funkcjonujący na wybranej maszynie należącej do sieci prywatnej. Możliwe jest zatem publiczne udostępnianie różnych usług, działających na tym samym bądź różnych serwerach w sieci LAN. Warto zauważyć, że wystarczy do tego jeden publiczny adres IP przydzielony od strony interfejsu WAN. Istotną zaletą jest też bezpieczeństwo wewnętrzny rozkład ruchu i rzeczywista struktura sieci są ukryte przez mechanizm NAT: 1

Okno pokazuje udostępnienie na zewnątrz popularnych usług dzięki przekierowaniu portów: Nr numer przekierowania (1-10) Nazwa usługi dowolny komentarz administratora, np. www, ftp. Protokół należy wybrać protokół, który ma być przekierowany (TCP lub UDP) Port zewnętrzny oryginalny numer portu, oczekiwany dla danej usługi (np. 80, 23, 25, 21 itd). Należy pamiętać, że pewne usługi korzystają z więcej niż jednego portu np. ftp. Jeżeli w grę wchodzą całe grupy portów można wykorzystać opcję Sterowanie portami (patrz dalej). Adres lokalny prywatny adres maszyny-serwera w sieci lokalnej, na który zostanie skierowany ruch Port wewnętrzny rzeczywisty numer portu, na którym funkcjonuje usługa (niekoniecznie standardowy, jeżeli serwer pozwala użyć innego i na takim porcie oczekuje na zgłoszenia klientów). Aktywne włączenie danego przekierowania Analogicznie możliwe jest też przekierowywanie portów wewnętrznych, tzn. realizacja odwzorowania portów pomiędzy dwoma adresami IP z sieci prywatnej, np. dla ukrycia rzeczywistego adresu/portu serwera obsługującego lokalnych użytkowników. 2

Sterowanie portami Ta opcja NAT pozwala przeadresować ruch dla pewnego ciągłego zakresu portów, wysyłając go na określony prywatny adres IP. Można to wykorzystać na przykład do upublicznienia usług korzystających z kilku kolejnych portów, czy też odsłonięcia wybranego, niestandardowego zakresu portów na danym hoście w celach szczególnych np. do testowania własnych aplikacji sieciowych. W oknie głównym powyżej wyświetlane są stany bieżących profili: Nr numer reguły (1-10) Komentarz pomocniczy ciąg znaków wprowadzony dla opisu Adres lokalnego hosta adres IP hosta, na który skierowano ruch Status pozycja aktywna bądź nie Anuluj rezygnacja z zatwierdzenia zmian i wyjście z menu Wyczyść wszystko sprowadzenie wszystkich wpisów do stanu wyjściowego, równoznaczne z usunięciem zdefiniowanych przekierowań 3

Po kliknięciu na wybraną cyfrę otwiera się okno definicji reguły: Włącz profil uaktywnienie danej reguły Komentarz dowolny komentarz administratora Host lokalny docelowy adres IP można wybrać z listy bądź wpisać w odpowiednie pola w oknie Możliwe jest wybranie do 10 zakresów portów dla protokołów TCP jak i UDP: Protokół protokół transportowy (TCP lub UDP) Port początkowy pierwszy port definiowanego zakresu Port końcowy ostatni port definiowanego zakresu Anuluj rezygnacja z zatwierdzenia zmian i wyjście z menu Wyczyść wszystko sprowadzenie wszystkich wpisów do stanu wyjściowego, równoznaczne z usunięciem zdefiniowanych przekierowań Warto zwrócić uwagę na fakt, iż nie ma tutaj możliwości odwzorowania oryginalnych portów wyznaczonych ruchem przychodzącym na inne, niestandardowe. Dokonuje się raczej otwarcia zakresów portów na danym hoście lokalnym. Za to można za pomocą pojedynczej reguły otworzyć dowolną liczbę portów (w maksymalnie 10 osobnych zakresach) na dowolnym serwerze w sieci prywatnej. Takich reguł można zdefiniować do 10, podobnie jak w opcji poprzedniej. 4

Host DMZ Funkcja ta pozwala na nadanie wybranej maszynie w sieci lokalnej statusu tzw. strefy zdemilitaryzowanej (ang. DMZ - Demilitarized Zone). Komputer taki nie jest osłonięty mechanizmem NAT w tym sensie, że następuje proste przekierowanie wszystkich możliwych portów na ten właśnie adres IP. Od strony sieci publicznej host taki jest zatem dostępny tak samo jak gdyby to on posiadał publiczny adres IP w rzeczywistości przypisany do interfejsu routera. Istotne jest jednak to, że router nadal zapewnia ochronę za pomocą reguł filtrowania ruchu i alarmowania o różnego rodzaju podejrzanej aktywności od strony Internetu (patrz dalej Filtr/Firewall). DMZ może służyć do zastosowań generujących duży ruch i korzystających z wielu portów np. wielofunkcyjne komunikatory typu NetMeeting, gry internetowe typu Quake, Starcraft itp. Opcja DMZ jest też przydatna dla zapewnienia komunikacji aplikacjom, które nie działają prawidłowo z mechanizmem NAT w pełnym wydaniu (NAPT). Włącz uruchomienie strefy zdemilitaryzowanej dla danego adresu IP IP hosta lokalnego adres IP można wybrać z listy bądź wpisać w odpowiednie pola w oknie. Dla uniknięcia niejednoznaczności wszystkie funkcje związane z przeadresowywaniem ruchu przychodzącego ustawione są według przyznanych im priorytetów ważności. Układ priorytetów jest niezmienny i wygląda następująco: Przekierowywanie portów Sterowanie portami Host DMZ W konsekwencji, dla danego pakietu przychodzącego jako pierwsze brane są pod uwagę ustawienia funkcji Przekierowanie portów i następuje obsługa pakietu zgodnie z zawartą tam regułą. Jeżeli dla pakietu nie istnieje tam żadna reguła, następuje przejście do funkcji Sterowanie portami. Jeżeli żadna z reguł tej funkcji nie pasuje do odebranego pakietu, zaczyna się poszukiwanie adresu IP Hosta DMZ. Jeżeli tylko jest on aktywny, pakiet zostanie wysłany na jego adres (niezależnie od numeru portu docelowego patrz opis DMZ). Jeżeli strefa DMZ nie została uruchomiona, pakiet zostanie odrzucony. Tak rozbudowana i zróżnicowana struktura mechanizmu NAPT gwarantuje administratorom wysoki stopień elastyczności podczas planowania udostępniania usług i aplikacji. 5

Multi-NAT (wielokrotny NAT) Do interfejsu WAN routera Vigor, oprócz podstawowego adresu IP przydzielanego statycznie bądź dynamicznie przez operatora, można przypisać kilka zakupionych dodatkowo adresów stałych. Będą to tak zwane aliasy IP, czyli swego rodzaju adresy dodatkowe, traktowane przez router podobnie jak adres podstawowy. Ich obecność poszerza możliwości komunikacyjne, co widać szczególnie w przypadku funkcji NAT (patrz opis dalej). Dodatkowe adresy przypisuje się w tym samym menu co adres podstawowy przy konfiguracji Dostępu do Internetu. Należy wybrać pole Alias IP interfejsu WAN, pokazane na rysunku dla dostępu MPoA. To samo pole jest dostępne również w innych opcjach dostępu szerokopasmowego: Po kliknięciu na wskazane pole otwiera się okno, w którym można zarządzać dodatkowymi adresami IP (następny rysunek). Pierwszy adres na liście (adres podstawowy) staje się tam obecny w sposób automatyczny po poprawnej konfiguracji połączenia z Internetem, i automatycznie staje się adresem NAT. Kolejne adresy aliasy należy wprowadzić ręcznie. Dzięki większej liczbie adresów NAT można realizować przekierowanie ruchu w zależności od tego, na który z adresów WAN routera został on wysłany. W praktyce otwiera to możliwość wyznaczenia wielu stref DMZ, czy też uruchomienia w sieci prywatnej kilku publicznych serwerów tej samej usługi. Oba przypadki pokazano na przykładzie. Bazuje on na założeniu, że operator przydzielił publiczną podsieć 80.55.79.88/29, przy czym do dyspozycji użytkownika pozostają adresy 80.55.79.90-94. Adres pierwszy posłużył jako podstawowy, i został na trwałe przypisany do interfejsu WAN. Następnie dodano jeszcze adresy 80.55.79.91 i 92 jako aliasy. 6

W efekcie przypisania dodatkowego adresu publicznego do puli NAT, w ramach funkcji DMZ możliwy jest wybór różnych hostów: 7

Analogicznie, po wejściu w menu Sterowanie portami widać, jak router poszerzył swoją ofertę o dodatkowe adresy publiczne jako potencjalne adresy, na które można kierować ruch z zewnątrz. Prezentowany przykład zawiera propozycję uruchomienia pod adresem 80.55.79.90 (w rzeczywistości 192.168.1.7) pary serwerów www i ftp. Jednocześnie pod adresem 80.55.79.91 (191.168.1.9) następuje udostępnienie oddzielnej pary serwerów (patrz ilustracja dalej). W rezultacie można by tutaj uruchomić serwisy o przykładowych nazwach ftp.firma.com i www.firma.com jak również ftp.prywftep.pl i www.mojastrona.pl: 8

Zarówno aktualne sesje NAT, inicjowane z sieci prywatnej, jak i aktywne przekierowania można monitorować z poziomu interfejsu użytkownika: Dodatkowo, dzięki obsłudze standardu UpnP (ang. Universal Plug and Play), niektóre aplikacje mogą same otwierać porty dla swoich potrzeb bez ingerencji użytkownika. 9

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres