Publiek IP-nummer gebruiken in NAT-netwerk

Het Grote Poortmappingsverhaal

Je haalt wat dingen door elkaar volgens mij...

SteeringWheel schreef op dinsdag 11 maart 2008 @ 16:21:
Het Grote Poortmappingsverhaal

Je haalt wat dingen door elkaar volgens mij...

Met enkel het grote poortmappingsverhaal gaat hij er niet geraken als hij een ip subblock gekregen heeft. Dat ga je met een huis-tuin-en-keuken routertje al niet opzetten om dan IP adressen te koppelen. Dan ga je afhankelijk van je apparatuur moeten gaan kiezen voor virtual IP's of mapped IP's (dan spreek ik dus niet over enkel poorten mappen).

Ga je voor een mapped ip dan ga je op je router een ip adres bijhangen op een externe interface dat volledig wordt doorgemapped naar een IP adres intern. Dit in tegenstelling tot een virtual ip adres waarbij je enkel port forwarding kan gebruiken. Veel hangt dus af van de apparatuur die de TS heeft.

Geen idee wat de mogelijkheden van zo'n oude Mac zijn trouwens. Ik zou persoonlijk in deze situatie eerst voor een degelijke firewall/router zoeken die overweg kan met deze situatie (dus een eigen ip block, DMZ, ...).

Zeker als je servers wil gaan draaien die publiek toegankelijk moeten zijn kan je niet zonder fatsoenlijke firewall/router. Eens je die hebt kan je dan ook de keuzes gaan maken tussen MIPs en VIPs (geen idee of al de merken dit ondersteunen, ik ben meer thuis in Juniper).

De TS zit ook een beetje in de knoop met al z'n termen denk ik. DHCP/NAT/port forwarding/... wordt hier allemaal op een hoopje gegooid.

Voor een server zorg je sowieso al dat die een vast IP adres heeft. Dat ga je al niet @ random uitdelen via dhcp. Hoogstens een statische mapping via DHCP, en dat kan dan zelfs nog problemen geven bij bepaalde services.

Ga je voor een mapped IP dan ga je je router/firewal vertellen dat WAN adres X gelijk is aan LAN adres Y. Komt er verkeer binnen, op eender welke poort voor adres X, dan stuurt de router/firewal dit meteen door naar adres Y intern. Server Y kan op die manier ook standaard "naar buiten gaan" via adres X. Dit is zeer belangrijk voor bepaalde services, onder andere webservers en mailservers. Met een gewone poortmap (gebruikt bij VIP) zal je server "naar buiten gaan" via de "egress interface". Dat is meestal je eerste IP adres. Bij bepaalde services loopt dit gegarandeerd fout als clients ip adres X opvragen en reactie terugkrijgen van ip adres Y.

Ga je voor een virtueel IP dan kom je terecht bij NAT port forwarding. De router/firewal ziet dat er verkeer binnenkomt op IP X en een bepaalde poort. Hij weet dat die poort op dat IP adres moet doorgestuurd worden naar een bepaalde poort (moet niet dezelfde zijn) op server Y intern.

Wat meer info van de TS over gebruikt apparatuur en mogelijkheden, services die publiek wilen bereikbaar zijn, netwerk setup,... zou dus best handig zijn.

[ Voor 6% gewijzigd door DinX op 11-03-2008 16:45 ]

Address mapping is inderdaad de goede weg op.

Ik neem aan dat je zoiets hebt ? http://zywall70utmdemo.zyxel.com/AddrMapping.html
Dan ga je eerst al moeten zorgen dat je server een vast ip adres heeft. Die dus gewoon geen dhcp laten gebruiken maar een vast ip geven in dezelfde range (een blokje ip adressen niet gebruiken dus voor dhcp en daar 1 van aan je server geven).

Je kan in dit gevaldan een One-to-One mapping instellen. Als Local IP geef jedan het LAN adres vanje server op (wat je net ingesteld hebt). Global IP dan 1 van je 15 WAN adressen.
Voor de server loont het dan trouwens hem in een DMZ te steken.

Stel dan trouwenswel goed je firewall in dat er enkel maar de nodige services binnen en buiten kunnen. En in het geval van een malserver, zet het pas open als je zeker weet dat hijgoed ingesteld is. Niks zo lullig om een open relay aan het internet te hangen. binnen de 10 minuten ben je geblacklist.

[ Voor 19% gewijzigd door DinX op 11-03-2008 17:04 ]

Anoniem: 193467 schreef op dinsdag 11 maart 2008 @ 16:57:
Wellicht kan ik hier iets mee:
Op de modem/router staat bij NAT "SUA Only" ingesteld. Mogeljk moet ik "Full Feature" gebruiken omdat ik meerdere IP-adressen tot mijn beschikking heb en met Adress Mapping in de weer moet. Is dat de goede weg?

Eens... Het enige wat je moet doen is zorgen dat de router het door jou gekozen publieke adres forward naar het (vaste) interne adres van je server (zoals Dinx het al een stuk uitgebreider zei dus).

Het is ook op te lossen als je de NAT functie kunt 'beperken'. In een Cisco geef je de eth/vlan interface een publiek IP, een privaat secundary, vervolgens stel je nat in voor alleen de publieke reeks.

Op die manier kun je apparaten voorzien van een publiek IP uit je reeks, die dan ongefilterd/on-genat internet heeft, terwijl je andere apparaten (bv via dhcp) een intern IP kunnen hebben.