Egyszerú irányítás-következő ugrás(hop) szomszédos bemenő interface
ip route 0.0.0.0 0.0.0.0 12.10.1.1
NAT konfiguráció három belső hálózattal
! — Belső LAN alinterfészekinterface GigabitEthernet0/0.10 encapsulation dot1Q 10 ip address 192.102.10.1 255.255.255.0 ip nat inside no shutdown interface GigabitEthernet0/0.20 encapsulation dot1Q 20 ip address 192.102.20.1 255.255.255.0 ip nat inside no shutdown interface GigabitEthernet0/0.30 encapsulation dot1Q 30 ip address 192.102.30.1 255.255.255.0 ip nat inside no shutdown ! — Külső interfész (WAN)interface GigabitEthernet1/0 ip address 12.10.1.2 255.255.255.252 ip nat outside no shutdown ! — Access-listák a NAT-hoz (három belső hálóra)access-list 1 permit 192.102.10.0 0.0.0.255access-list 2 permit 192.102.20.0 0.0.0.255access-list 3 permit 192.102.30.0 0.0.0.255 ! — NAT Overload szabályokip nat inside source list 1 interface GigabitEthernet1/0 overloadip nat inside source list 2 interface GigabitEthernet1/0 overloadip nat inside source list 3 interface GigabitEthernet1/0 overload
- Kommunikáció az első routerrel (2.2.2.2 ID)
- Az első router csak azt fogja látni, amit a második router OSPF-ben hirdet.
- Jelenleg a 2. router a 192.102.0.0/24 hálózatot hirdeti → tehát az első router NEM fog tudni a 192.102.10.0/24-ről, mert az nem része a meghirdetett tartománynak.
- Ezért a 192.102.10.0/24-ből induló forgalom nem fog visszajutni az első routerhez, hacsak:
- Nem hirdeted külön az OSPF-ben.
- Nem konfigurálsz valamilyen statikus route-ot rá.
- Vagy nincs NAT a 192.102.0.0 hálózat mögött, ami elrejti a 192.102.10.0-at.
Cisco routeren, hogy a 192.102.10.0/24 hálózat is tudjon kommunikálni az első router (és azon keresztül a hálózat) felé.
1️⃣ NAT alapelv
- A belső hálózat (pl. 192.102.10.0/24) címét a router átalakítja egy másik IP-re (pl. 192.102.0.0/24-ből egy publikusabb címre).
- A forgalom kifelé mehet, befelé viszont csak akkor, ha statikus NAT vagy port forward van beállítva.
2️⃣ NAT konfiguráció lépései
Tegyük fel:
- A belső LAN: 102.10.0/24
- A kifelé menő interfész (pl. az első router felé): mondjuk GigabitEthernet 0/0 (1/0) , ami a 10.1.0/30-on van
- A belső interfész (LAN): mondjuk GigabitEthernet0/1, (0/0.10) ami a 102.10.0/24 hálózatot szolgálja ki
Konfiguráció
! 1. ACL készítése, hogy mit NAT-oljonaccess-list 1 permit 192.102.10.0 0.0.0.255 ! 2. NAT engedélyezése a belső hálóraip nat inside source list 1 interface GigabitEthernet0/0 (1/0) overload ! 3. Interfészek jelöléseinterface GigabitEthernet0/0 (1/0) ip nat outside interface GigabitEthernet0/1 (0/0.10) ip nat inside
3️⃣ Mit csinál ez?
- Az ACL (1-es) kijelöli: a 192.102.10.0/24 hálózatot NAT-olni kell.
- Az ip nat inside source list 1 interface G0/0 overload azt mondja:
- minden 192.102.10.0/24-es forgalom, ami kimegy a G0/0 interfészen, vegye fel annak az IP-jét (pl. a 12.10.1.2-t).
- az overload kulcsszó = PAT (Port Address Translation), vagyis több belső gép is tud ugyanazon az IP-n keresztül kimenni.
- Az interfészeknél beállítod, melyik inside (LAN), melyik outside (WAN/OSPF link).
✅ Eredmény:
- A 102.10.0/24 kliensei ki tudnak menni az OSPF hálózat felé úgy, hogy a külvilág felől úgy tűnik, mintha a 192.102.0.0/24 vagy a 12.10.x.x interfész címe lenne a forrás.
- Az első router felől nézve így már lesz kommunikáció.
LG_03>ena
Password:
LG_03#conf t
Enter configuration commands, one per line. End with CNTL/Z.
LG_03(config)#access-list 1 permit 192.102.30.0 0.0.0.255
LG_03(config)#ip nat inside source list 1 interface GigabitEthernet7/0 overload
LG_03(config)#int gi 7/0
LG_03(config-if)#ip nat outside
LG_03(config-if)#int gi 8/0.30
LG_03(config-subif)#ip nat inside
LG_03(config-subif)#
LG_03(config-subif)#exit
LG_03(config)#access-list 1 permit 192.102.30.0 0.0.0.255
LG_03(config)#ip nat inside source list 1 interface GigabitEthernet6/0 overload
LG_03(config)#int gi 6/0
LG_03(config-if)#ip nat outside
LG_03(config-if)#int gi 8/0.30
LG_03(config-subif)#ip nat inside
LG_03(config-subif)#exit
Értem 👍 akkor vegyünk egy konkrét példát a te adataiddal, és nézzük meg, hogyan működik a port forward ezen a hálózaton.
Kiinduló helyzet
- LAN hálózat: 102.10.0/24
(pl. belső kliens vagy szerver: 192.102.10.100) - Router belső interfész (LAN felé): GigabitEthernet0/1 → 102.10.1
- Router külső interfész (ISP / másik router felé): GigabitEthernet0/0 → 10.1.2
(a túloldalon az első router/ISP pl. 12.10.1.1)
Port forward példa
Tegyük fel, hogy van egy webszerver a belső hálózaton:
- IP: 102.10.100
- Port: 80 (HTTP)
Azt szeretnénk, hogy kívülről, a publikus címen keresztül (mondjuk a 12.10.1.2 címen) elérhető legyen.
Beállítás logikája
- Kívülről: ha valaki kéri a 10.1.2:8080-at →
- Router: port forward szabály szerint → továbbítja a csomagot a 102.10.100:80-ra.
Mi történik a csomaggal?
- Külső kliens (pl. 0.113.5) küld egy TCP SYN-t:
- Forrás IP/port: 0.113.5:50000
- Cél IP/port: 10.1.2:8080
- Router 12.10.1.2-n megkapja, megnézi a NAT/port forward táblát:
- 10.1.2:8080 → 192.102.10.100:80
- Router módosítja a csomagot:
- Forrás IP/port: 0.113.5:50000 (nem változik)
- Cél IP/port: 102.10.100:80
- Csomag átmegy a belső interfészen (102.10.1) → eljut a szerverhez.
- Szerver válasza:
- Forrás IP/port: 102.10.100:80
- Cél IP/port: 0.113.5:50000
- Router NAT visszafordítja:
- Forrás IP/port: 10.1.2:8080
- Cél IP/port: 0.113.5:50000
- Külső kliens úgy látja, mintha közvetlenül a 10.1.2:8080-al beszélne.
👉 Tehát a packetben ez a hatás látszik:
- Kívülről sosem látszik a belső IP (192.102.10.100),
- belül viszont a csomag már úgy jelenik meg, mintha közvetlenül a szerverhez ment volna.
Szeretnéd, hogy rajzoljak erről egy kis hálózati ábrát csomagfolyammal (nyilakkal és IP/port címkékkel), hogy még szemléletesebb legyen?
Ezt mondtad:
parancssort mutass hozzá
A ChatGPT ezt mondta:
Rendben 👍 Tegyük fel, hogy Cisco IOS-szerű routerről van szó (mert az interfészeket is így írtad: GigabitEthernet0/0, 0/1). Akkor a port forwardhoz (NAT + ACL) nagyjából így nézne ki a parancssor:
Példa: HTTP port forward (külső 8080 → belső 80)
! Külső interfész (ISP felé)interface GigabitEthernet0/0 ip address 12.10.1.2 255.255.255.252 ip nat outside no shutdown ! Belső interfész (LAN felé)interface GigabitEthernet0/1 ip address 192.102.10.1 255.255.255.0 ip nat inside no shutdown ! Port forward szabály (NAT)ip nat inside source static tcp 192.102.10.100 80 12.10.1.2 8080
Magyarázat
- ip nat inside → a LAN felőli interfészre tesszük.
- ip nat outside → a WAN felőli interfészre tesszük.
- ip nat inside source static tcp 192.102.10.100 80 12.10.1.2 8080
- 102.10.100 80 → belső szerver címe és portja (HTTP).
- 10.1.2 8080 → a router külső címe és az a port, amin kívülről elérhető lesz.
Ezzel elérjük, hogy ha valaki kívülről a 12.10.1.2:8080-ra csatlakozik, a router automatikusan továbbküldi a csomagot a 192.102.10.100:80 címre.
Szeretnéd, hogy készítsek egy teljes konfigurációs példát NAT-tal + alap tűzfal (ACL), ami megengedi ezt a forgalmat, de közben a többit blokkolja?
Ezt mondtad:
a 8080-as port a külső interfész: GigabitEthernet0/0 → IP: 12.10.1.2 hálózat felé?
A ChatGPT ezt mondta:
Pontosan 🙌
Amikor azt írod be:
ip nat inside source static tcp 192.102.10.100 80 12.10.1.2 8080
akkor a 12.10.1.2 a külső interfész (GigabitEthernet0/0) IP címe.
Ez az az IP, amin az internet / upstream router felől látják a csomagokat.
Tehát:
- Külső kliens → 10.1.2:8080
- Router (Gi0/0) fogadja → NAT szabály alapján továbbítja a belső szervernek (102.10.100:80).
- A válaszcsomag visszafelé ugyanígy NAT-olva megy ki a 10.1.2:8080 címen.
👉 Magyarán a 8080-as port a Gi0/0 interfész IP-jén él, nem a belső LAN-on.
Szeretnéd, hogy mutassak egy show ip nat translations példát is, hogy lásd, hogyan jelenik meg a táblában a port forward működés közben?
Ezt mondtad:
mit jelöl a 8080
A ChatGPT ezt mondta:
Nagyon jó kérdés 👌
A 8080 ebben az esetben a külső (public) portszámot jelöli, amin a router (külső interfész, pl. GigabitEthernet0/0 – IP: 12.10.1.2) fogadja a kérést.
NAT szabályban:
ip nat inside source static tcp 192.102.10.100 80 12.10.1.2 8080
Ez pontosan ezt jelenti:
- Belső szerver:
- IP: 102.10.100
- Port: 80 (HTTP)
- Külső (publikus) cím + port:
- IP: 10.1.2 (a Gi0/0 interfész címe)
- Port: 8080
Mit jelent ez a gyakorlatban?
- Ha valaki kívülről csatlakozik a 10.1.2:8080 címhez → a router átirányítja a forgalmat a belső 192.102.10.100:80 címre.
- A kliens nem tudja, hogy valójában a 80-as porton lévő webszerverhez kapcsolódik, ő csak azt látja, hogy a 8080 portot nyitotta meg a 10.1.2 IP-n.
💡 Összefoglalva:
- 8080 = külső port, amin a router hallgat a publikus interfészen.
- 80 = belső port, amin a szerver valóban fut a LAN-on.
Szeretnéd, hogy mutassak egy példát show ip nat translations kimenetre, ahol konkrétan látszik, hogy a 12.10.1.2:8080 NAT-olva van a 192.102.10.100:80-ra?
Ezt mondtad:
honna tudom hogy az én estemben is ez a száma
A ChatGPT ezt mondta:
Nagyon jó, hogy rákérdezel 👍 mert a külső portszám (példánkban 8080) nem fixen adott – azt mindig te állítod be a NAT (port forward) szabályban.
Hogyan tudod meg, hogy nálad mi a szám?
- Router konfigurációból:
Ha megnézed a NAT beállításokat, ott szerepel, milyen külső portot használsz:
2. show running-config | include ip nat
Például:
ip nat inside source static tcp 192.102.10.100 80 12.10.1.2 8080
→ itt látszik, hogy a 8080 a külső port.
- Aktív NAT tábla:
Ha van már kapcsolat, megnézheted:
4. show ip nat translations
Például:
Pro Inside global Inside local Outside local Outside globaltcp 12.10.1.2:8080 192.102.10.100:80 203.0.113.5:50500 203.0.113.5:50500
Itt a 12.10.1.2:8080 mutatja, hogy a router 8080-ason hallgat.
- Dokumentáció / admin döntés:
A 8080-at gyakran alternatív HTTP portként szokták választani (mert a 80-as port sokszor foglalt, vagy nem lehet közvetlenül kinyitni).
De ez lehetne bármilyen más port is (pl. 8888, 2222, 5000 stb.).
👉 Tehát a számot nem a rendszer adja magától, hanem a konfigurációban te (vagy az admin) állítja be, amikor létrehozod a port forward szabályt.
Szeretnéd, hogy írjak neked egy mini parancslépés-listát, hogyan tudod a saját routereden megnézni, mely portok vannak NAT-olva?