19/9/2009 - NAT Network Address Translation

NAT (Network Address Translation)

Network içerisinde kullanılan bir IP adresinin başka bir network içerisinde bilinen başka bir IP adresine çevirilmesidir. Bu işlemde bir network iç network, diğer biri de dış network olarak belirtilir. Tipik olarak, bir firma giden paketler için kendi içindeki local network adreslerini bir veya daha fazla dış global IP adresine dönüştürüp gelen paketlerde de global IP adreslerinin lokal IP adreslerine geri donüşümünü sağlar. Bu metodla gelen veya giden her istek çeviri işleminden geçecegi için güvenligin saglanmasına da yardımcı olunur

NAT ayrıca firmaların gloabal IP adreslerini idareli bir şekilde kullanabilmelerine olanak verir.

Nat' da tanımlanabilecek 4 çeşit Ip vardır.

Inside local address: İç ağdaki bir cihaza atanmış olan IP adresi
Inside global address: İç ağımızı dış ağa tanıtacak,dışarıda yönlendirilebilir adres.
Outside local address: Bu kavram kafamı karıştırmıştı.Bu adres aslında dış ağdaki bir cihaza ait.
Fakat içerdeymiş gibi görünüyor.Siz bu adrese istek gönderdiğinizde (yapılandırma sonrası) paketiniz dış ağa paslanıyor.Direk çevirirsek daha basit oluyor.Dıştaki bir hostun içerdeki yerel adresi.
Outside global address: İşte bu basit.Dış ağdaki bir cihazıın IP adresi.

ip nat inside

1. İçerden dışarı giden paketin kaynak IP sini değiştirmek için

2. Dışardan içeri gelen paketin hedef IP sini değiştmek için

ip nat outside

1. Dışardan içeri gelen paketin kaynak IPsini değiştirmek için

2. İçerden dışarı giden paketin hedek IP sini değiştirmek için kullanılır.

Not: inside ve outside tan kasıt ip nin geliş ve gidiş yönüdür. Hangi tarafın Nat' landığı belirtilir.

19/9/2009 - Dinamik Dynamic NAT

Dynamic NAT

Global Ip adres havuzundan bir Ip ye local IP çevirlir. Hiçbir zaman aynı local IP aynı global IP ye çevrilmemelidir. Bu seçim dinamik olmaktadır. Ayrıca hangi ip ilk önce eşleşirse ilk önce internete o çıkar.

1. Dinamik nat yaparken ilk önce default yönlendirme yazılır ( Uygun bir static yönlendirme de yazılabilir ), böylece router'a clientlardan gelen (hedef adresi bilinmeyen paketlerin) istekleri servis sağlayıca yönlendirlmiş olur.
2. Uygun bir access-list yazılır.
3. Clientlara verelicek reel ip aralagımızı tanımlayacagımız komut söz dizimi yazılır. Bu komut söz dizimi aşağıdaki gibidir

router(config)#ip nat pool [pool adı] [Reel IP aralığı] Netmask Mask

4. inside ve outside interface' ler tanımlanır.

Örnek:

router(config)#ip route 0.0.0.0 0.0.0.0 [destination ip]
router(config)#ip nat pool internetim 192.168.3.170 192.168.3.199 netmask 255.255.255.0
router(config)#access-list 10 permit any
router(config)#int e0
router(config-if)#ip nat inside
router(config-if)#exit
router(config)#int s0
router(config-if)#ip nat outside
router(config-if)#exit
router(config)#ip not inside source list 10 pool internetim

İlk önce NAT IP havuzumuzu yarattık,sonrasında içeriden çıkabilecek IP adreslerine izin verdik.

Asıl komutumuzda ise access-list numaramızı ve havuz adımızı belirtmiş olduk.En son işlemde hangi interface'lerin iç ve dış olduğunu belirtmek oldu. Fakat bir sorun var... Buradaki 24 saatlik timeout süresi dinamik mantık için çok uzun.Onu biraz kısaltalım

Not : Bu tip translation'da NAT tablomuzdaki değerlerin bir zaman aşımı süresi bulunmakta.Translation yapacağımız, adreslere herhangi bir trafik isteği gelmediği taktirde,bu adresleri "show ip nat translations" çıktısında göremeyiz.

Not: Varsayılan zaman aşımı süresi 24 saat.

router(config)#ip nat translation timeout 7200
Burada belittigimiz 7200 değeri saniye cinsinden:)

Not: Router#Show ip nat translation - Bu komut ile client' ların hangi reel ip' yi aldığı gözlenir.

19/9/2009 - Static NAT Statik

Static NAT

1 local IP adresi 1 global IP adresine çevirilir. Her zaman aynı local IP aynı Global IP ye çevrilir

router(config)#ip nat inside source list static [Client Local IP'si] [Nat Reel IP'si]

router#configure terminal
router(config)#ip nat inside source static 192.168.1.2 144.122.50.1
router(config)#interface ethernet 0
router(config-if)#ip nat inside
router(config-if)#interface serial 0
router(config-if)#ip nat outside

Görüldüğü gibi, 192.168.1.2 IP'li cihazın dış dünyaya 144.122.50.1 olarak çıkmasını sağladık.

Bunun için ayrıca hangi interface'in inside hangisinin outside olduğunuda belirttik.Burada

#show ip nat translations

Komutunu yazdığımızda translation tablosunu şu şekilde görmemiz lazım.

Pro Inside global Inside local Outside local Outside global
--- 144.122.50.1 192.168.1.2 --- ---

28/11/2008 - NAT Overloading

Overloading

Eğer ISP bize 4 Reel IP vermiş ise ama networkumuzde internete çıkacak ip sayısı 4' den fazla ise Dinamik Nat yaparız ama overload ile.

Bu tip NAT işleminde ise NAT router'ı TCP ve UDP port numaralarını translation tablosunda tutar. Bu şekilde IP ve port çiftlerini bir diğer çifte eşleme işlemindeki kayıta "extended table entry" denmektedir

Nat overload : Pat (Port Address Translation)

İlk önce 254 adreslik bir bloğu 30 adreslik bir dış bloktan çıkarmayı görücez.

router#configure terminal
router(config)#ip nat pool MYPOOL 144.122.60.1 144.122.60.30 netmask 255.255.255.0
router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
router(config)#ip nat inside source list 1 pool MYPOOL overload
router(config)#interface ethernet 0
router(config-if)#ip nat inside
router(config-if)#interface serial 0
router(config-if)#ip nat outside

Şimdiki yapacağımız ise 254 adreslik bloğu tek adres üzerinden çıkarmak olacak.

router(config)#ip route 0.0.0.0 0.0.0.0 [destination ip]
router(config)#access-list 10 permit any
router(config)#interface fa0/4
router(config-if)#ip nat inside
router(config-if)#exit
router(config)#interface s0
router(config-if)#ip nat outside
router(config-if)#exit
router(config)#ip nat inside source list 10 interface S0 overload