Pobierz prezentację
Pobieranie prezentacji. Proszę czekać
1
Network Address Translation
2
Materiały: http://www.openbsd.org/faq/pf/pl/nat.html
Konfiguracja pracujących urządzeń
3
Wprowadzenie Translacja adresów (ang. Network Address Translation - NAT) daje możliwość zmapowania całej sieci (lub wielu sieci) do pojedynczego adresu IP (bądź grupy adresów IP). NAT jest niezbędny, gdy liczba adresów IP przydzielonych przez Dostawcę Usług Internetowych (ISP) jest mniejsza niż całkowita liczba maszyn, który mają mieć dostęp do Internetu. NAT jest opisany w RFC 1631.
4
Zarezerwowane bloki adresów:
NAT pozwala korzystać z dobrodziejstw zarezerwowanych bloków adresów zdefiniowanych w RFC Zwykle, wewnętrzna sieć będzie skonfigurowana przy użyciu jednego lub więcej z tych bloków, a są to: /8 ( ) /12 ( ) /16 ( ) Maszyna realizująca NAT będzie miała co najmniej dwa adaptery sieciowe, jeden do Internetu, drugi do sieci wewnętrznej. NAT będzie tłumaczył wywołania z sieci wewnętrznej tak, aby wydawało się, że pochodzą one z maszyny realizującej NAT.
5
Jak działa NAT Gdy klient w sieci wewnętrznej łączy się z maszyną w Internecie, wysyła pakiety IP zaadresowane do tej maszyny. Pakiety te zawierają wszystkie informacje adresowe, niezbędne aby dotrzeć do celu. NAT zajmuje się następującymi danymi: Źródłowy adres IP (na przykład, ) Źródłowy port TCP lub UDP (na przykład, 2132)
6
Jak działa NAT Gdy pakiety przechodzą przez bramkę NAT, są modyfikowane tak aby wydawały się pochodzić z samej bramki (ang. gateway) NAT. Bramka NAT zapamiętuje zmiany, wykonywane na pakietach, w swojej tabeli stanów, aby móc: a) odwrócić zmiany w powracających pakietach oraz b) zapewnić, że powracające pakiety są przepuszczane przez firewall i nie są blokowane. Na przykład, mogą wystąpić następujące zmiany: Źródłowe IP: zamienione na zewnętrzny adres bramki (na przykład, ) Źródłowy port: zamieniony na losowo wybrany, nieużywany port na bramce (na przykład, 53136)
7
Jak działa NAT Ani wewnętrzna maszyna, ani host w Internecie nie obawiają się tych translacji. Dla komputera z sieci lokalnej, system realizujący NAT jest po prostu bramką. Dla hosta w Internecie, pakiety wydają się pochodzić wprost z systemu, na którym realizowany jest NAT; nawet nie zdaje sobie sprawy, że wewnętrzne stacje robocze w ogóle istnieją.
8
Jak działa NAT Kiedy host w Internecie odpowiada na pakiety wewnętrznej maszyny, są one adresowane do zewnętrznego IP bramki realizującej NAT ( ) i na przetłumaczony port (53136). Bramka NAT przeszuka wówczas tabelę stanów, aby sprawdzić, czy powracające pakiety pasują do jakiegoś już nawiązanego połączenia. Niepowtarzalne dopasowanie zostaje dokonane na podstawie kombinacji IP/port, która mówi, że datagarmy należą do połączenia zainicjowanego przez wewnętrzną maszynę Bramka NAT wykona wówczas odwrócone zmiany w stosunku do wychodzących pakietów i przekaże je do maszyny w sieci wewnętrznej.
9
Dostęp do sieci za NAT-em
Realizacja translacji adresów umożliwia także przekazywanie pakietów z zewnątrz (najczęściej sieć Internet) do wnętrza sieci przy zastosowaniu mapowania portów, bądź mapowania adresów.
10
Dostęp do sieci za NAT-em
Jeśli dysponujemy więcej niż jednym zewnętrznym adresem IP możemy powiązać ten adres z pojedynczym adresem IP z sieci wewnętrznej. Takie powiązanie spowoduje, że jeśli pojawi się próba nawiązania nowego połączenia do adresu IP zewnętrznego, to zostanie ono po modyfikacji nagłówka przekazane do wskazanej stacji w sieci wewnętrznej (mapowanie 1:1).
11
Dostęp do sieci za NAT-em
Jeśli nie chcemy z powodów bezpieczeństwa używać mapowania 1:1, bądź dysponujemy pojedynczym adresem IP dla całej sieci wewnętrznej możemy skorzystać z mapowania poszczególnych portów, a nie całych adresów IP.
12
Ciekawostki: Protokoły FTP, H.323, irc, etc. a NAT, Wielokrotny NAT,
Sposób znalezienia własnego IP, Tunelowanie a NAT, Ograniczenia technologii NAT, Forwarding pakietów,
13
Przykład konfiguracji routera CISCO
interface Ethernet0 ip address ip nat inside ! interface Serial0 ip address ip nat outside ip nat pool maskara netmask ip nat inside source list 5 pool maskara overload ip nat inside source static tcp extendable ip route access-list 5 permit
14
Przykład konfiguracji Linux
iptables -t nat -A POSTROUTING -s /16 -j SNAT --to iptables -t nat -A POSTROUTING -s /16 -d ! /24 -j SNAT --to iptables -t nat -A PREROUTING -p tcp -d dport 80 -j DNAT --to :80 echo "1" > /proc/sys/net/ipv4/ip_forward modprobe ip_nat_ftp modprobe ip_nat_irc modprobe ip_conntrack_ftp modprobe ip_conntrack_irc sysctl -a | grep conntrack net.ipv4.ip_conntrack_max = net.ipv4.netfilter.ip_conntrack_buckets = net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 86400 …..
15
Przykład konfiguracji FreeBSD(1/2)
options IPFILTER /sbin/ipnat -f /usr/local/etc/ipnat.conf cat /usr/local/etc/ipnat.conf map bge /24 -> /32 bimap bge /32 -> /32 sysctl net.inet.ip.forwarding=1 ipnat -l List of active MAP/Redirect filters: List of active sessions: MAP <- -> [ ] MAP <- -> [ ] MAP <- -> [ ]
16
Przykład konfiguracji FreeBSD(2/2)
options IPFIREWALL options IPDIVERT sysctl net.inet.ip.forwarding=1 natd –n sis0 –u –s ipfw add divert natd all from any to any natd -n sis0 -u -s -redirect_port tcp : :22
Podobne prezentacje
© 2024 SlidePlayer.pl Inc.
All rights reserved.