Ahhoz,hogy NAT-ot csináljunk azonosítani kell ,hogy melyik interfész a belső,
melyik a külső.
NAT_Router(config)#interface fastethernet0
NAT_Router(config-if)#ip nat inside
NAT_Router(config-if)#exit
NAT_Router(config)#interface serial0
NAT_Router(config-if)#ip nat outside
NAT_Router(config-if)#exit
1.statikus NAT (egy belső ip hozzákötése egy külső ip-hez)
NAT_Router(config)#ip nat inside source static 192.168.1.50 5.1.1.10
vagy csak a 25-ös portot (port redirection):
NAT_Router(config)#ip nat inside source static tcp 192.168.1.100 25 5.1.1.10 25
beállítások lekérdezése:
NAT_Router#show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- 5.1.1.10 192.168.1.50 --- ---
tcp 5.1.1.10:25 192.168.1.100:25 --- ---
2.dinamikus NAT
Ekkor annyira nem számít melyik abelső és külső oldal, mivel csak privát IP-ket fog
átfordítani.
NAT_Router(config)#ip nat pool NETWORK1 192.168.1.200 192.168.1.225 prefix-length 24
NAT_Router(config)#ip nat pool NETWORK2 192.168.2.200 192.168.2.225 prefix-length 24
Létre kell még hozni ACL-t, hogy engedélyezzük is
NAT_Router(config)#access-list 50 permit 192.168.1.0 0.0.0.255
NAT_Router(config)#access-list 51 permit 192.168.2.0 0.0.0.255
Majd létre kell hozni a NAT-ot:
NAT_Router(config)#ip nat outside source list 51 pool NETWORK1
NAT_Router(config)#ip nat inside source list 50 pool NETWORK2
És még egy pár szót az acl-ekről.
ACL mire is használható:
-csomagszűrés (általában)
-QoS
-DDR Dial-on-Demand route
-NAT
-Route szűrés
Egyszerű acl-ek:
Neo(config)#access-list <1..99> [permit|deny|remark] forrás
forrás formátuma lehet: any, host ip, ip [mask]
majd hozzá kell kötnünk egy interfészhez:
Router(config-if)#ip access-group
telnethez a következőképp rendelhetünk acl-t:
Marge(config)#access-list 55 permit host 172.16.70.100
Marge(config)#line vty 0 4
Marge(config-line)#access-class 55 in
Ha távolról menedzseljük a routert és acl-eket állítunk be akkor érdemes használni
a következő trükköt:
Router# reload 5
ami arra utasítja a routert hogy induljon 5 perc mulva úra, ezért ha valamit
sikerült úgy elrontanunk, hogy kizártuk magunkat a routerből akkor majd újraindítás
után a helyes startup-configgal újraprobálkozhatunk.
Kiterjesztett acl-ek<100-199,2000-2699>:
Neo(config)#access-list 150 permit ?
<0-255> An IP protocol number
ahp Authentication Header Protocol
eigrp Cisco's EIGRP routing protocol
esp Encapsulation Security Payload
gre Cisco's GRE tunneling
icmp Internet Control Message Protocol
igmp Internet Gateway Message Protocol
ip Any Internet Protocol
ipinip IP in IP tunneling
nos KA9Q NOS compatible IP over IP tunneling
ospf OSPF routing protocol
pcp Payload Compression Protocol
pim Protocol Independent Multicast
tcp Transmission Control Protocol
udp User Datagram Protocol
Neo(config)#access-list 150 permit tcp host 10.1.1.5 ?
A.B.C.D Destination address
any Any destination host
eq Match only packets on a given port number
gt Match only packets with a greater port number
host A single destination host
lt Match only packets with a lower port number
neq Match only packets not on a given port number
range Match only packets in the range of port numbers
Neo(config)#access-list 150 permit tcp host 10.1.1.5 any ?
ack Match on the ACK bit
dscp Match packets with given dscp value
eq Match only packets on a given port number
established Match established connections
fin Match on the FIN bit
fragments Check non-initial fragments
gt Match only packets with a greater port number
log Log matches against this entry
log-input Log matches against this entry, including input interface
lt Match only packets with a lower port number
neq Match only packets not on a given port number
precedence Match packets with given precedence value
psh Match on the PSH bit
range Match only packets in the range of port numbers
rst Match on the RST bit
syn Match on the SYN bit
time-range Specify a time-range
tos Match packets with given TOS value
urg Match on the URG bit
A következő portokat azért érdemes fejből tudni:
TCP Ports:
Port 21: FTP
Port 23: Telnet
Port 25: SMTP
Port 53: DNS
Port 80: HTTP
Port 443: HTTPS
UDP Ports:
Port 53: DNS
Port 69: TFTP
