پیکربندی Port Forwarding در روتر سیسکو
در این مطلب میخواهیم در رابطه با پیکربندی Port Forwarding در روتر سیسکو صحبت کنیم. فرض کنید کارفرما و یا مشتری شما از شما میخواهد که یک راه حل مقرون به صرفه و آسان برای میزبانی سرور در دسترس عموم قرار دهید. راه حلهایی مانند وب سرور، سرور ایمیل،سرور VPN و یا غیره تنها با استفاده از یک روتر معمولی سیسکو.
پس اگر شما هم قصد چنین کاری را دارید و یا در این صفحه هستید تا پایان آموزش کانفیگ پورت فورواردینگ در روتر سیسکو با ما همراه باشید.
همانطور که میبینید در اکثر طراحیهای شبکه ،بهترین و معمول ترین روش برای محافظت از سرورهای Public، قرار دادن آنها در پشت فایروال شبکه مانند Palo Alto ، Checkpoint، Fortigate، Cisco ASA و غیره است. با این حال، در این مطلب به بررسی نحوه دستیابی به الزامات گفته شده در بالا با استفاده از Port Forwarding در روتر سیسکو را مورد بحث قرار خواهیم داد.
این گزینه در شبکههای کم هزینه مانند دفاتر کوچک و یا در شبکههای SMB که از نظر امنیت نیازمندی های بالایی ندارند بسیار مناسب است. در واقع پورت فورواردینگ یک ویژگیای است که میتواند برای دسترسی از اینترنت به سرورهای داخلی در یک شبکه محلی استفاده شود.
پورت فورواردینگ بر اساس NAT ایستا است که به موجوب آن آدرس IP عمومی اختصاص داده شده به رابط WAN خارجی روتر به یک آدرس IP خصوصی داخلی و پورت اختصاص داده شده به یک سرور داخلی ترجمه میشود.
همانطور که در شبکه بالا نشان داده شده است، ما یک شبکه LAN (192.168.1.0/24) با رایانههای چند کاربر و همینطور یک وب سرور داریم. هرچند میدانیم که موارد فوق از نظر امنیتی روشهای چندان مناسبی نیستند(زیرا باید از قرار دادن یک سرور قابل دسترس برای عموم در شبکه LAN داخلی خود اجتناب کنید) با این حال برای تعریف پورت فورواردینگ، تنظیمات فوق را در نظر میگیریم.
ما میخواهیم اجازه دسترسی از اینترنت به وب سرور (192.168.1.10) در پورت 80 را بدهیم. هرچند که میدانیم این روش صحیح نیست زیرا HTTP معمولی در پورت 80 رمزگذاری نشده است. و شما همیشه باید از HTTPها در پورت 443 استفاده کنید. اما برای سادگی فرض میکنیم یک وب سرور در پورت 80 داریم.
یکی دیگر از الزامات پیکربندی PAT برای اجازه دادن به ترافیک خروجی از شبکه LAN به سمت اینترنت است. بنابراین روتر دو نوع NAT خواهد داشت:
1- اضافه بار NAT یا PAT برای ترجمه تمام IPهای منبع (192.168.1.x) برای ترافیک خروجی با استفاده از IP عمومی WAN (50.50.50.1) که به رابط GeO/0 روتر اختصاص داده شده است.
2- Port Forwarding که IP مقصد و پورت 80 ترافیک ورودی از اینترنت را به IP خصوصی و پورت 80 وب سرور ترجمه می کند. این بدان معنی است که ترافیک ورودی که در پورت 80 به 50.50.50.1 رسیده است به IP مقصد 192.168.1.10 در پورت 80 (که آدرس وب سرور است) ترجمه میشود.
نحوه پیکربندی Port Forwarding در روتر سیسکو
کانفیگ 1
طبق دستور زیر عمل کنید.
توجه کنید
دستوری که Port Forwarding را پیکربندی میکند دارای فرمت زیر است:
ip nat inside source static { tcp | udp } local-ip local-port global-ip global-port [extendable]
بنابراین، از مثال پیکربندی بالا، global-ip (WAN IP) 50.50.50.1 و پورت 80 به پورت 80 local-ip 192.168.1.10 ترجمه خواهند شد.
بیایید با مشاهده جدول ترجمه nat، ارسال پورت را تایید کنیم:
جدول NAT بالا نشان میدهد که پورت 80 با IP 50.50.50.1 به 192.168.1.10:80 داخلی محلی ترجمه شده است.
همچنین جدول بالا نشان می دهد که یک میزبان اینترتی (60.60.60.2) نشان داده شده به عنوان Outside global قبلا به وب سرور دسترسی داشته و یک ورودی NAT در جدول ایجاد کرده است.
دومین سناریوی شبکه
بیایید اکنون توپولوژی کمی متفاوت با استفاده از پورت فورواردینگ را ببینیم:
در شبکه بالا دو سرور داخلی داریم که باید از اینترنت به آنها دسترسی داشته باشیم. وب سرور اصلی (192.168.1.10) که در مثال قبلی و یک سرور SMTP جدید (192.168.1.11) دیدهایم.
ما ارسال پورت را روی روتر سیسکو پیکربندی می کنیم تا ترافیکی که به IP عمومی 50.50.50.1 در پورت 80 برخورد می کند. به سرور وب و ترافیک وارد شده به IP WAN در پورت 25 (برای SMTP) به سرور SMTP هدایت میشود.
پیکربندی پورت فورواردینگ 2
پیکربندی اولیه آدرس های PAT ، IP و غیره مانند مثال قبلی است. بیایید فقط نحوه پیکربندی Port Forwarding برای دو سرور داخلی را ببینیم.
R1(config)#ip nat inside source static tcp 192.168.1.10 80 50.50.50.1 80 <– Port Forwarding for Web Server
R1(config)#ip nat inside source static tcp 192.168.1.11 25 50.50.50.1 25 <– Port Forwarding for SMTP Server
تایید
بیایید بار دیگر با مشاهده جدول ترجمه nat، ارسال پورت را تایید کنیم:
R1#show ip nat translations
Pro Inside global Inside local Outside local Outside global
tcp 50.50.50.1:25 192.168.1.11:25 — —
tcp 50.50.50.1:25 192.168.1.11:25 65.12.60.10:1028 65.12.60.10:1028
tcp 50.50.50.1:80 192.168.1.10:80 — —
tcp 50.50.50.1:80 192.168.1.10:80 60.60.60.2:1026 60.60.60.2:1026
همانطور که در خروجی بالا نشان داده شده است، ورودیهای NAT برای پورت (25) 50.50.50.1 به پورت (25) 192.168.1.11 ترجمه شده است.
همچنین آدرس 50.50.50.1 پورت 80 به 192.168.1.10 پورت 80 ترجمه شده است.
سایر گزینههای پیکربندی
یکی دیگر از گزینههای پیکربندی با ارسال پورت این است که یک پورت خارجی متفاوت به پورت داخلی دیگری در سرور ارسال شود.
R1(config)#ip nat inside source static tcp 192.168.1.10 80 50.50.50.1 8080
موارد فوق نشان میدهد که ترافیکی که به IP عمومی 50.50.50.1 در پورت 8080 برخورد میکند، به IP خصوصی 192.168.1.10 در پورت 80 ترجمه میشود.
روش دیگر این است که دو پورت عمومی مختلف به دو پورت متفاوت اما در یک سرور داخلی یکسان ارسال شوند:
R1(config)#ip nat inside source static tcp 192.168.1.10 80 50.50.50.1 80
R1(config)#ip nat inside source static tcp 192.168.1.10 22 50.50.50.1 22
گزینه بالا زمانی مفید است که همان سرور داخلی (192.168.1.10) دو سرویس مختلف را اجرا کند، به عنوان مثال یک وب سرور (پورت 80) و یک سرور SSH (پورت 22).
پاک کردن جدول ترجمههای NAT
اگر قصد دارید جدول ترجمههای NAT را پاک کنید، از موارد زیر استفاده کنید:
*R1#clear ip nat translation
کلام آخر
در این مطلب نحوه پیکربندی Port Forwarding در روتر سیسکو را به شما عزیزان آموزش دادیم و روش های مختلف پورت فورواردینگ در روترهای سیسکو را برایتان شرح دادیم امیدواریم این مطلب برای شما مفید بوده باشد. برای خواندن مطالب بیشتر شبکه دیده بان را دنبال کنید.