Om een heel bedrijf een apart Internet IP adres te geven kan zeer kostig zijn. Tevens elke...
13
heel bedrijf een apart Internet IP adres te geven kan zeer kostig Tevens elke bedrijfsPC direct op het internet niet erg veilig Om een heel netwerk op Internet te zetten via het LAN is een systeem bedacht Deze werkwijze maakt het mogelijk om via 1 IP adres een heel netwerk op het internet te zetten. Dit heet NAT (Network Address Translation) C om puter Laptop S erve r W o rksta tion R outer C om puter W orksta tion Minicomputer S a te llite d ish S atellite Internet LAN 1 9 2.1 68 .1 0 .0 1 92 .1 68 .1 0 .2 192.168.10.37 192.168.10.6 192.168.10.218 192.168.10.1 195.241.50.21 In te rn e t IP
-
Upload
hanne-vermeiren -
Category
Documents
-
view
216 -
download
1
Transcript of Om een heel bedrijf een apart Internet IP adres te geven kan zeer kostig zijn. Tevens elke...
Om een heel bedrijf een apart Internet IP adres te geven kan zeer kostig zijn.Tevens elke bedrijfsPC direct op het internet niet erg veilig
Om een heel netwerk op Internet te zetten via het LAN is een systeem bedachtDeze werkwijze maakt het mogelijk om via 1 IP adres een heel netwerk op het internet te zetten.
Dit heet NAT (Network Address Translation)
Com puter
Laptop
Server W orkstation
Router
Com puterW orkstation
Minicom puter
Satellite dish
Satellite
In ternetLAN
192.168.10.0
192.168.10.2192.168.10.37 192.168.10.6
192.168.10.218 192.168.10.1 195.241.50.21In ternet IP
Network Address Translation
Static NATStatic NAT one-to-one-mapping. Je hebt zodoende
een echt IP-adres nodig voor iedere host van je netwerk
Dynamic NATDynamic NAT ieder ongeregistreerd adres heeft een
geregistreerd adres uit een pool van adressen
NAT overloadNAT overload alle ongeristreerde adressen maken
gebruik van één geregistreerd adres
Network Address Translation:
192.168.1.2
192.168.1.3
192.168.1.4
192.168.1.1
138.76.29.7
lokaal netwerk(bvb., huis netwerk)
192.168.1.0/24
rest vanInternet
Datagrammen met bron of doel in dit netwerk
hebben 192.168.1/24 adres als bron, doel (als gewoonlijk)
Alle datagrammen die het lokale netwerkverlaten hebben het zelfde bron NAT IP adres: 138.76.29.7,
verschillende bron poort nummers
Een lokaal netwerk gebruikt slechts één publiek IP adres, voor zover het de buitenwereld betreft. Ieder toestel in het lokale netwerk krijgt een privaat adres toegewezen.
Network Address Translation
192.168.1.2
S: 192.168.1.2, 3345D: 128.119.40.186, 80 1
192.168.1.1
138.76.29.7
1: host 192.168.1.2 zendt datagram naar 128.119.40.186, 80
NAT translatie tabelWAN-kant adres LAN-kant adres
138.76.29.7, 5001 192.168.1.2, 3345…… ……
S: 128.119.40.186, 80 D: 192.168.1.2, 3345
4
S: 138.76.29.7, 5001D: 128.119.40.186, 80
2
2: NAT routerverandert datagrambronadres van192.168.1.2, 3345 naar138.76.29.7, 5001,update de tabel
S: 128.119.40.186, 80 D: 138.76.29.7, 5001
3
3: Antw komt aan doeladres: 138.76.29.7, 5001
4: NAT routerverandert datagramdoeladres van138.76.29.7, 5001 naar 192.168.1.2, 3345
192.168.1.3
192.168.1.4
DA
DA
DABA
10.1.1.1
10.1.1.3
10.1.1.2
63.41.7.3
63.40.7.3
BA
10.1.1.1
10.1.1.1170.168.2.2
170.168.2.2
170.168.2.2
Protocol Interne lokale IP
adres: poort
Interne globale IP
adres: poort
Externe globale IP
adres: poort
TCP 10.1.1.3:1723 170.168.2.2:1492 63.41.7.3:23
TCP 10.1.1.2:1723 170.168.2.2:1723 63.41.7.3:23
TCP 10.1.1.1:1024 170.168.2.2:1024 63.40.7.3:23
NAT tabel
DABA
10.1.1.1
10.1.1.3
10.1.1.2
BA
10.1.1.1
10.1.1.1170.168.2.2
Protocol Interne lokale IP
adres: poort
Interne globale IP
adres: poort
Externe globale IP
adres: poort
TCP 10.1.1.3:1723 170.168.2.2:1492 63.41.7.3:23
TCP 10.1.1.2:1723 170.168.2.2:1723 63.41.7.3:23
TCP 10.1.1.1:1024 170.168.2.2:1024 63.40.7.3:23
ip nat pool globalnet 170.168.2.1. 170.168.2.1netmask 255.255.255.0ip nat inside source list 1 pool globalnet overload!interface Ethernet 0/0ip address 10.0.0.10 255.255.255.0ip nat inside!interface Serial 0/0ip address 170.168.2.1 255.255.255.0ip nat outside!access-list 1 permit 10.1.1.0 0.0.0.255
PROGRAMMERING
NAT Port forwardingNAT Port forwardingHet kan voorkomen dat een bedrijf zelf een webserver heeft staanEen mogelijkheid is dan hiervoor een apart IP adres aan te vragen, aangezien de router op hethuidige IP adres staat. Nadeel is natuurlijk wel dat dit extra kosten meebrengt
Een andere mogelijkheid is om al het INKOMENDE verkeer van de webserver (al het inkomende verkeer op poort 80, de WWW poort) door te sturen naar de webserver.Zo is het mogelijk op het interne LAN servers te hebben die met 1 of meer poorten gelijk ophet buitennetwerk staat (virtueel gezien dan)
Eenvoudiger gezegd: De router zal een directe link leggen
tussen het Internet en de Webserver op poort 80
In ternetLAN
W ebserver
Com puter
Com puter
Router
V irtue le link op poort 80
NAT Port forwardingNAT Port forwarding
In ternetLAN
W ebserver
Com puter
Com puter
Router
www.mijnbedrijf.be
Voorbeeld
Com puter
Tikt http://www.mijnbedrijf.be/ in
(poort 80 verzoek)Virtuele link op poort 80
Antwoord op poort 80
En dus krijgt de PC de site van het bedrijf te zien
De ROUTER heeft het IP adres van www.mijnbedrijf.be, niet de webserver
FirewallsFirewallsEen firewall zorgt ervoor dat ongewenst verkeer vanaf het Internet niet op het LAN terecht komt, maar deze zorgt er ook voor dat bepaalde gegevens niet op het Internet komen.
Een firewall kan worden gezien als een filter, alles wat er niet door mag word eruit gefilterd
Als er op een netwerk bijvoorbeeld geen IRC (Chat) naar het internet mag worden gebruikt, is het mogelijk om de uitgaande IRC poort (6667) dicht te zetten voor verkeer.
De instelbare firewall regels zijn erg flexibel, het is bijvoorbeeld mogelijk om een bepaalde Interne IP range alleen maar toegang tot het chatten te geven.
Een ander voorbeeld is dat een bepaalde IP range niet op de webserver mag kijken en dus wordt geblokkeerd
De meeste tegenwoordige routers hebben een ingebouwde firewall functie
TCP- en UDP-poorten
Werking Eén enkele computer kan meerdere
sessies tegelijkertijd onderhouden die verbonden zijn met verschillende andere computers. Elke sessie wordt gedefinieerd met een bepaalde poortnummer. Al deze sessies worden dan via multiplexing door dezelfde netwerkaansluiting gestuurd.
TCP- en UDP-poorten Werking
In TCP en UDP is een poort een 16-bit-waarde. Er zijn dus in principe 65535 mogelijke TCP- of UDP-poorten. Een bepaald soort programma's (server of daemon genaamd) kan luisteren op een bepaalde poort, dit betekent wachten tot ze een aanvraag krijgen op die poort. Vervolgens kunnen ze op deze aanvraag reageren, bijvoorbeeld door het verzenden van een antwoord aan het programma dat de aanvraag heeft gestuurd. Een webserver werkt op deze manier, met name door te luisteren op TCP-poort 80 (HTTP).
TCP- en UDP-poorten Poort types
Bekende poorten: Gaande van 0 tot en met 1023, worden gebruikt voor fundamentele applicaties en worden toegekend door IANA.
Geregistreerde poorten: Gaande van 1024 tot en met 49151, worden gebruikt door applicaties en moeten geregistreerd worden bij IANA.
Dynamisch geassigneerde poorten: Gaande van 49152 tot en met 65535, worden dynamisch toegekend voor de duur van een bepaalde sessie en mogen vrij gebruikt worden.
TCP- en UDP-poorten
Vaak gebruikte poorten Een aantal vaak gebruikte poortnummers zijn:
21/TCP : FTP (File Transfer Protocol) 22/TCP : SSH 23/TCP : Telnet 25/TCP : SMTP (Simple Mail Transfer Protocol) 53/UDP : DNS (Domain Name Service) 53/TCP : (idem) 80/TCP : HTTP (Hyper Text Transfer Protocol) 110/TCP: POP3 (Post Office Protocol versie 3) 119/TCP: NNTP (Network News Transfer Protocol) 443/TCP: HTTPS
