NAT ve Port Forwarding
CLI Guru - Cisco Eğitim ve Danışmanlık Merkezi |

2007 yılından bu yana aktif olan ciscotr.com, artık " www.bilisim.pro " olarak devam edecektir.  
Mevcut mesajlarınız ve kullanıcı bilgilerinizle sitemizde katılıma devam edebilirsiniz.

+ Konuyu Cevapla
Toplam 4 sonuçtan 1 ile 4 arasındakiler gösteriliyor.
NAT ve Port Forwarding

merhaba. elimde bir cisco router var ve bir lan (e0) birde wan (e1) interface i var. lan tarafında c klaslarla subnetlenmiş 10 lu Ip ler kullanılıyor (10.6.234.4 255.255.255.0 gibi -

  1. #1
    olemp isimli Üye şimdilik offline konumundadır Junior Member
    Üyelik tarihi
    Aug 2008
    Mesajlar
    23

    Standart NAT ve Port Forwarding

    merhaba.
    elimde bir cisco router var ve bir lan (e0) birde wan (e1) interface i var.
    lan tarafında c klaslarla subnetlenmiş 10 lu Ip ler kullanılıyor (10.6.234.4 255.255.255.0 gibi - örneğin 500 kullanıcı olsun).
    wan tarafıda internete bağlı.
    burda şöyle bir konfigürasyon yapmak istiyorum.
    wan çıkışında Nat yapılacak. nat aralığı 212.111.110.1 212.111.110.253
    lan daki kullanıcılardan 10.10.8.17 255.255.255.0 kullanıcısınında herzaman aynı IP ye (212.111.110.1) NAT lanması gerekiyor.
    ayrıca bu kullanıcı için port forwarding te yapılması gerekiyor. mesela udp 6000 tcp 5000 portları için.
    aşağıdaki konfigürasyonu yaptım ama emin değilim, doğrumu?


    ----------------

    interface ethernet 0
    ip address 10.10.10.1 255.255.255.0
    ip nat inside



    interface ethernet 1
    ip address 212.111.110.254 255.255.255.0
    ip nat outside

    ip nat pool nathvz 212.111.110.2 212.111.110.253 netmask 255.255.255.0

    ip nat inside source list 7 pool nathvz overload

    ip nat inside source static 10.10.8.17 212.111.110.1

    access-list 7 permit 10.0.0.0 0.255.255.255

    ip nat source static tcp 10.10.8.17 5000 212.111.110.1 5000 extendable
    ip nat source static udp 10.10.8.17 6000 212.111.110.1 6000 extendable

  2. #2
    yaman isimli Üye şimdilik offline konumundadır Senior Member
    Üyelik tarihi
    Dec 2007
    Bulunduğu yer
    Londra
    Mesajlar
    245

    Standart

    Senin is tamamdir galiba,

    configurasyon grafik'teki (en alta .doc farmatinda) network uzerine yapildi,

    LAN_PC diye adlandirilan router herhangi bir PC/HOST olabilir, zaten adi onun icin LAN_PC, ortada NAT router var, ve en sonda ISP router, vede buna bagli bir loopback 100, bu loopback internetteki herhangi bir IP adresi temsil etmek icindir, ben bunun icin 217.10.10.169 adresini kullandim.

    Ilk olarak senin NAT havuzunu olusturduk, adi "HAVUZ" eger bloka bakarsan bazi adresleri disladim cunki bu dislanan adresler networkun belirli yerlenide kullanilacak, mesala 212.111.110.1 TCP ve UDP port tercumelrinde static olarak kullanilicak, IP adres 212.111.110.254 zaten inetrface e0/1 WAN interface verilecek. 212.111.110.253'te ISP'nin sana baglana WAN IP adresi, onun icin bulari nat havuzundan uzak tutmak gerek.

    Asagida havuzu yaratiyoruz.

    !
    ip nat pool HAVUZ 212.111.110.2 212.111.110.252 prefix-length 24
    !

    Simdi "HAVUZ" isimli NAT icin belirleyici unsyrlari ekliyoruz, NAT match unsurlarini belirlemek icin burada bir standard named ACL kulanicagiz

    !
    ip nat inside source list ALL_LAN pool HAVUZ
    !

    Simdi senin staic TCP ve UDP portalrini belirliyoruz, sen 10.10.8.17 IP adresinden bahs ediyrdun ben burada bunun yerine IP adres 10.10.1.100'u kullandim ama fark etmez ###Birde ben sadece TCP icin test ettim UDP'de ayni sekilde ama ben yapmadim####

    !
    ip nat inside source static tcp 10.10.1.100 5000 212.111.110.1 5000 extendable
    !


    Bu asagidakide "HAVUZ" hangi network segment kullanabilir diyor, bak burada dikatli ol cunki LANdaki kullanici sayisi NAT havuzunu tasariabilir, cunkisi ortada LAN'da 500'den fazla user var, Havuzunda 251 adres var, bunu onlemek icin nat poolunu genisletebilirsin yada PAT kulanabilirsin.

    !
    ip access-list standard ALL_LAN
    permit 10.10.0.0 0.0.3.255
    !

    #####Burandan sonraki gosterimler ayni pakein desik noktalrda goruntulenmis hali########


    Simdi gorelim, asagida LAN_PC'de TCP debug ediyoruz ve goruldugu gibi bir TCP port acmak icin talep geliyor, atlep IP "10.10.1.100(5000)" talepte blunan IP adresi "217.10.10.169(56461)" bu IP adres ISP'deki herhagi bir internet IP diye belirledigimiz loopback 100 adresi. Yane TCP port 5000 talebi bize dogru sekilde ulasti.Bu guzel.

    Bu durum test etmek icin LAN_PC routeride bir ACL olutur

    LAN_PC#sh debugging
    TCP:
    TCP Packet debugging is on for incoming packets


    *Mar 1 01:12:02.335: %SEC-6-IPACCESSLOGP: list TCP_500_TEST permitted tcp 217.10.10.169(56461) (Ethernet0/0 cc01.0c6c.0000) -> 10.10.1.100(5000), 1 packet
    *Mar 1 01:12:02.339: tcp0: I LISTEN 217.10.10.169:56461 10.10.1.100:5000 seq 1687699927
    OPTS 4 SYN WIN 4128
    *Mar 1 01:12:02.339: TCP: sent RST to 217.10.10.169:56461 from 10.10.1.100:5000
    LAN_PC#


    Bu yukaridaki durumu test etmek icin LAN_PC routeride bir ACL olutur, aynen alttaki gibi ve bunu cikis interface'sine "INBOUND" olarak ekle

    !
    ip access-list extended TCP_500_TEST
    permit tcp any any eq 5000 log-input
    permit ip any any
    !

    ################################################## ###################

    Asagida ise, sana iki ornek var birncisi static NAT mappingi gosteriyor, ikicis ise ISP'den baslatgimiz TCP port 5000 talebine karsilik NATlamis oldugunu kanitliyor.

    NAT#show ip nat translations
    Pro Inside global Inside local Outside local Outside global
    tcp 212.111.110.1:5000 10.10.1.100:5000 217.10.10.169:20477 217.10.10.169:20477
    tcp 212.111.110.1:5000 10.10.1.100:5000 --- ---
    NAT#


    ################################################## ###################

    Bu kisim ise ISP'den nasil TCP test paketi gonderdigimizi gosteriyor, gonderdigimiz adres senin istedigin gibi IP 212.111.110.1 yane NATlanmis hali ile (10.10.1.100 veya "10.10.8.17" ikicisi senin dedgin adresti ama ben degistirmistim unutma) 5000 rakkami TCP -port 5000

    ISP#telnet 212.111.110.1 5000 /source-interface loopback 100
    Trying 212.111.110.1, 5000 ...
    % Connection refused by remote host
    >>>>Bu mesaja aldirma cunki bu sadece bilgi amacali<<<<

    ISP#
    *Mar 1 01:18:42.531: tcp0: O CLOSED 212.111.110.1:5000 217.10.10.169:20477 seq 1752825115
    OPTS 4 SYN WIN 4128
    ISP#

    ################################################## ###################
    ################################################## ###################
    ################################################## ###################

    Simdi ise diger normal IP NAT'in calisip calismadigina bakalim, bunun icin ise LAN_PC'den normal bir ping yolladik, son durak IP adresi 217.10.10.169, yane ISP'deki herhangi bir internet adresi, paket 100% basari ile yerine ulasiyor.

    LAN_PC#ping 217.10.10.169

    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 217.10.10.169, timeout is 2 seconds:
    .!!!!
    Success rate is 80 percent (4/5), round-trip min/avg/max = 36/95/180 ms
    LAN_PC#


    Simdi tekrar NAT routerinde NAT tercumelrine bakiyoruz ve goruyoruzki TCP NAT'lamsi disinda, icmp 212.111.110.3:10 seklinde yeni bir NAT'lama var ve bu NAT'lama senin NAT havuzuda uygulamis oldugun sekilde isliyor


    NAT#show ip nat translations
    Pro Inside global Inside local Outside local Outside global
    icmp 212.111.110.3:10 10.10.1.100:10 217.10.10.169:10 217.10.10.169:10
    --- 212.111.110.3 10.10.1.100 --- ---
    tcp 212.111.110.1:5000 10.10.1.100:5000 --- ---
    NAT#

    Simdi ise ICMP debug sonuclari, ve gorululdugu uzere NAT'lanmis IP adres 212.111.110.3'e cevpa gonderliyor

    ISP#debug ip icmp
    ICMP packet debugging is on
    ISP#
    *Mar 1 01:21:43.367: ICMP: echo reply sent, src 217.10.10.169, dst 212.111.110.3
    *Mar 1 01:21:43.575: ICMP: echo reply sent, src 217.10.10.169, dst 212.111.110.3
    *Mar 1 01:21:43.643: ICMP: echo reply sent, src 217.10.10.169, dst 212.111.110.3
    *Mar 1 01:21:43.747: ICMP: echo reply sent, src 217.10.10.169, dst 212.111.110.3
    *Mar 1 01:21:43.791: ICMP: echo reply sent, src 217.10.10.169, dst 212.111.110.3


    Yane senin demek istedin isi bu seklde basarbiliyoruz, umarim analsilir olduk, ama yapmis oldugun cogu sey zaten dogru ben sana sadece nasil calisp calismadigini anlamn icin senin ornegin uaerinde deneme yaptim...

    Umarim isini gorur.
    Eklenmiş Dosya Eklenmiş Dosya
    Konu yaman tarafından (26.10.2008 Saat 11:47 ) değiştirilmiştir.
    Yaman

  3. #3
    yaman isimli Üye şimdilik offline konumundadır Senior Member
    Üyelik tarihi
    Dec 2007
    Bulunduğu yer
    Londra
    Mesajlar
    245

    Standart

    Evet untugum birseyde, senin 10.10.8.17 adresinin staticleme, ama ben bunun uzerinde fazla durmadim, ben unuttum sen unutma.
    Yaman

  4. #4
    olemp isimli Üye şimdilik offline konumundadır Junior Member
    Üyelik tarihi
    Aug 2008
    Mesajlar
    23

    Standart

    teşekkür ederim, çok faydalı oldu....

    gns3 oldukça işe yarıyor gördüğüm kadarıyla, bende bu gazla kurcalamaya başlıyayım

    kolay gelsin...

+ Konuyu Cevapla

Bu Konuyu Paylaşın !

Bu Konuyu Paylaşın !

Yetkileriniz

  • Konu Acma Yetkiniz Yok
  • Cevap Yazma Yetkiniz Yok
  • Eklenti Yükleme Yetkiniz Yok
  • Mesajınızı Değiştirme Yetkiniz Yok