NAT ve Port Forwarding

[olemp]

merhaba.
elimde bir cisco router var ve bir lan (e0) birde wan (e1) interface i var.
lan tarafında c klaslarla subnetlenmiş 10 lu Ip ler kullanılıyor (10.6.234.4 255.255.255.0 gibi - örneğin 500 kullanıcı olsun).
wan tarafıda internete bağlı.
burda şöyle bir konfigürasyon yapmak istiyorum.
wan çıkışında Nat yapılacak. nat aralığı 212.111.110.1 212.111.110.253
lan daki kullanıcılardan 10.10.8.17 255.255.255.0 kullanıcısınında herzaman aynı IP ye (212.111.110.1) NAT lanması gerekiyor.
ayrıca bu kullanıcı için port forwarding te yapılması gerekiyor. mesela udp 6000 tcp 5000 portları için.
aşağıdaki konfigürasyonu yaptım ama emin değilim, doğrumu?


----------------

interface ethernet 0
ip address 10.10.10.1 255.255.255.0
ip nat inside



interface ethernet 1
ip address 212.111.110.254 255.255.255.0
ip nat outside

ip nat pool nathvz 212.111.110.2 212.111.110.253 netmask 255.255.255.0

ip nat inside source list 7 pool nathvz overload

ip nat inside source static 10.10.8.17 212.111.110.1

access-list 7 permit 10.0.0.0 0.255.255.255

ip nat source static tcp 10.10.8.17 5000 212.111.110.1 5000 extendable
ip nat source static udp 10.10.8.17 6000 212.111.110.1 6000 extendable

[yaman]

Senin is tamamdir galiba,

configurasyon grafik'teki (en alta .doc farmatinda) network uzerine yapildi,

LAN_PC diye adlandirilan router herhangi bir PC/HOST olabilir, zaten adi onun icin LAN_PC, ortada NAT router var, ve en sonda ISP router, vede buna bagli bir loopback 100, bu loopback internetteki herhangi bir IP adresi temsil etmek icindir, ben bunun icin 217.10.10.169 adresini kullandim.

Ilk olarak senin NAT havuzunu olusturduk, adi "HAVUZ" eger bloka bakarsan bazi adresleri disladim cunki bu dislanan adresler networkun belirli yerlenide kullanilacak, mesala 212.111.110.1 TCP ve UDP port tercumelrinde static olarak kullanilicak, IP adres 212.111.110.254 zaten inetrface e0/1 WAN interface verilecek. 212.111.110.253'te ISP'nin sana baglana WAN IP adresi, onun icin bulari nat havuzundan uzak tutmak gerek.

Asagida havuzu yaratiyoruz.

!
ip nat pool HAVUZ 212.111.110.2 212.111.110.252 prefix-length 24
!

Simdi "HAVUZ" isimli NAT icin belirleyici unsyrlari ekliyoruz, NAT match unsurlarini belirlemek icin burada bir standard named ACL kulanicagiz

!
ip nat inside source list ALL_LAN pool HAVUZ
!

Simdi senin staic TCP ve UDP portalrini belirliyoruz, sen 10.10.8.17 IP adresinden bahs ediyrdun ben burada bunun yerine IP adres 10.10.1.100'u kullandim ama fark etmez ###Birde ben sadece TCP icin test ettim UDP'de ayni sekilde ama ben yapmadim####

!
ip nat inside source static tcp 10.10.1.100 5000 212.111.110.1 5000 extendable
!

Bu asagidakide "HAVUZ" hangi network segment kullanabilir diyor, bak burada dikatli ol cunki LANdaki kullanici sayisi NAT havuzunu tasariabilir, cunkisi ortada LAN'da 500'den fazla user var, Havuzunda 251 adres var, bunu onlemek icin nat poolunu genisletebilirsin yada PAT kulanabilirsin.

!
ip access-list standard ALL_LAN
permit 10.10.0.0 0.0.3.255
!

#####Burandan sonraki gosterimler ayni pakein desik noktalrda goruntulenmis hali########


Simdi gorelim, asagida LAN_PC'de TCP debug ediyoruz ve goruldugu gibi bir TCP port acmak icin talep geliyor, atlep IP "10.10.1.100(5000)" talepte blunan IP adresi "217.10.10.169(56461)" bu IP adres ISP'deki herhagi bir internet IP diye belirledigimiz loopback 100 adresi. Yane TCP port 5000 talebi bize dogru sekilde ulasti.Bu guzel.

Bu durum test etmek icin LAN_PC routeride bir ACL olutur

LAN_PC#sh debugging
TCP:
TCP Packet debugging is on for incoming packets


*Mar 1 01:12:02.335: %SEC-6-IPACCESSLOGP: list TCP_500_TEST permitted tcp 217.10.10.169(56461) (Ethernet0/0 cc01.0c6c.0000) -> 10.10.1.100(5000), 1 packet
*Mar 1 01:12:02.339: tcp0: I LISTEN 217.10.10.169:56461 10.10.1.100:5000 seq 1687699927
OPTS 4 SYN WIN 4128
*Mar 1 01:12:02.339: TCP: sent RST to 217.10.10.169:56461 from 10.10.1.100:5000
LAN_PC#

Bu yukaridaki durumu test etmek icin LAN_PC routeride bir ACL olutur, aynen alttaki gibi ve bunu cikis interface'sine "INBOUND" olarak ekle

!
ip access-list extended TCP_500_TEST
permit tcp any any eq 5000 log-input
permit ip any any
!

################################################## ###################

Asagida ise, sana iki ornek var birncisi static NAT mappingi gosteriyor, ikicis ise ISP'den baslatgimiz TCP port 5000 talebine karsilik NATlamis oldugunu kanitliyor.

NAT#show ip nat translations
Pro Inside global Inside local Outside local Outside global
tcp 212.111.110.1:5000 10.10.1.100:5000 217.10.10.169:20477 217.10.10.169:20477
tcp 212.111.110.1:5000 10.10.1.100:5000 --- ---
NAT#

################################################## ###################

Bu kisim ise ISP'den nasil TCP test paketi gonderdigimizi gosteriyor, gonderdigimiz adres senin istedigin gibi IP 212.111.110.1 yane NATlanmis hali ile (10.10.1.100 veya "10.10.8.17" ikicisi senin dedgin adresti ama ben degistirmistim unutma) 5000 rakkami TCP -port 5000

ISP#telnet 212.111.110.1 5000 /source-interface loopback 100
Trying 212.111.110.1, 5000 ...
% Connection refused by remote host >>>>Bu mesaja aldirma cunki bu sadece bilgi amacali<<<<

ISP#
*Mar 1 01:18:42.531: tcp0: O CLOSED 212.111.110.1:5000 217.10.10.169:20477 seq 1752825115
OPTS 4 SYN WIN 4128
ISP#
################################################## ###################
################################################## ###################
################################################## ###################

Simdi ise diger normal IP NAT'in calisip calismadigina bakalim, bunun icin ise LAN_PC'den normal bir ping yolladik, son durak IP adresi 217.10.10.169, yane ISP'deki herhangi bir internet adresi, paket 100% basari ile yerine ulasiyor.

LAN_PC#ping 217.10.10.169

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 217.10.10.169, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 36/95/180 ms
LAN_PC#


Simdi tekrar NAT routerinde NAT tercumelrine bakiyoruz ve goruyoruzki TCP NAT'lamsi disinda, icmp 212.111.110.3:10 seklinde yeni bir NAT'lama var ve bu NAT'lama senin NAT havuzuda uygulamis oldugun sekilde isliyor


NAT#show ip nat translations
Pro Inside global Inside local Outside local Outside global
icmp 212.111.110.3:10 10.10.1.100:10 217.10.10.169:10 217.10.10.169:10
--- 212.111.110.3 10.10.1.100 --- ---
tcp 212.111.110.1:5000 10.10.1.100:5000 --- ---
NAT#

Simdi ise ICMP debug sonuclari, ve gorululdugu uzere NAT'lanmis IP adres 212.111.110.3'e cevpa gonderliyor

ISP#debug ip icmp
ICMP packet debugging is on
ISP#
*Mar 1 01:21:43.367: ICMP: echo reply sent, src 217.10.10.169, dst 212.111.110.3
*Mar 1 01:21:43.575: ICMP: echo reply sent, src 217.10.10.169, dst 212.111.110.3
*Mar 1 01:21:43.643: ICMP: echo reply sent, src 217.10.10.169, dst 212.111.110.3
*Mar 1 01:21:43.747: ICMP: echo reply sent, src 217.10.10.169, dst 212.111.110.3
*Mar 1 01:21:43.791: ICMP: echo reply sent, src 217.10.10.169, dst 212.111.110.3

Yane senin demek istedin isi bu seklde basarbiliyoruz, umarim analsilir olduk, ama yapmis oldugun cogu sey zaten dogru ben sana sadece nasil calisp calismadigini anlamn icin senin ornegin uaerinde deneme yaptim...

Umarim isini gorur.

[yaman]

Evet untugum birseyde, senin 10.10.8.17 adresinin staticleme, ama ben bunun uzerinde fazla durmadim, ben unuttum sen unutma.

[olemp]

teşekkür ederim, çok faydalı oldu....

gns3 oldukça işe yarıyor gördüğüm kadarıyla, bende bu gazla kurcalamaya başlıyayım

kolay gelsin...