NAT loopback, NAT hairpinning veya NAT reflection

NAT loopback veya NAT reflection olarak da bilinen NAT hairpinning , [25] birçok tüketici yönlendiricisinde [26] , LAN üzerindeki bir makinenin LAN/yönlendiricinin harici IP adresi aracılığıyla LAN üzerindeki başka bir makineye erişebildiği bir özelliktir. (İstekleri LAN üzerindeki uygun makineye yönlendirmek için yönlendiricide bağlantı noktası yönlendirme ayarlı).

ADSL Router Loopback Problemi

Modemlerde yaşanan genel sorunlardan bir tanesi de eğer modeminize bağlı bir sunucuya DNS tanımlaması var ise (domain - alan adı), ağ içerisinden sunucu adı ile local sunucuya erişememenizdir. Yerel sunucunuza dış erişim bilgileri ile değil sadece yerel bağlantı bilgileri ile bağlanabilirsiniz. Örneğin yerel ağınızda bir web sunucunuz olsun. Bu sunucuya dışarıdan http://www.websayfam.net/ adresinden bağlanabilirsiniz ama yerel ağınızdaki bir bilgisayarınızdan http://www.websayfam.net/ adresi açılmaz.

Böyle bir durumda, dış erişim bilgileri ile (ip ve port) bağlanabilmek için loopback özellikli bir modem e ihtiyacınız olacaktır. Modeminizin loopback özelliğini açıp bağlantıyı sağlayabilirsiniz. Loopback özelliği sayesinde paketler internet ortamına çıkmadan yerel ağa geri gönderilir.

NAT loopback, NAT hairpinning veya NAT reflection

 

 

 

Aşağıda örnek bir ağ açıklanmaktadır:

  • Genel adres: 203.0.113.1 . Bu , yönlendiricideki WAN arayüzünün adresidir .
  • Yönlendiricinin dahili adresi: 192.168.1.1
  • Sunucunun adresi: 192.168.1.2
  • Yerel bilgisayarın adresi: 192.168.1.100

192.168.1.100 adresindeki bir bilgisayar tarafından 203.0.113.1'e bir paket gönderilirse , paket normalde varsayılan ağ geçidine (yönlendirici) yönlendirilir. [d] NAT geri döngü özelliğine sahip bir yönlendirici, 203.0.113.1'in adresi olduğunu algılar. WAN arayüzünü kullanır ve pakete sanki o arayüzden geliyormuş gibi davranır. Hedef için DNAT (port yönlendirme) kurallarına göre o paketin hedefini belirler. Veriler port 80'e gönderildiyse ve port 80 için 192.168.1.2'ye yönlendirilmiş bir DNAT kuralı mevcutsa , bu adresteki ana bilgisayar paketi alır.

Geçerli bir DNAT kuralı mevcut değilse yönlendirici paketi bırakır. ICMP Hedefine Ulaşılamıyor yanıtı gönderilebilir. Herhangi bir DNAT kuralı mevcutsa adres çevirisi hâlâ etkindir; yönlendirici hala paketteki kaynak IP adresini yeniden yazar. Yerel bilgisayar ( 192.168.1.100 ) paketi 192.168.1.100'den geliyormuş gibi gönderir , ancak sunucu ( 192.168.1.2 ) paketi 203.0.113.1'den geliyormuş gibi alır . Sunucu yanıt verdiğinde, süreç harici bir göndereninkiyle aynıdır. Böylece LAN ağındaki ana bilgisayarlar arasında genel IP adresi üzerinden iki yönlü iletişim mümkün olur.

Yerel ağ içinden genel IP adresi veya alan adı aracılığıyla bir hizmete erişime izin veren bir özellik tanımlayalım . Bu, bir web sitesi için genel ağ yerine ağ içindeki ana bilgisayarlar için ayrı alan adı çözümlemesi kullanma ihtiyacını ortadan kaldırır.

Örnek:

Genel adres: 202.96.128.5. Bu, yönlendiricideki WAN arayüzünün adresidir.

Yönlendiricinin dahili adresi: 192.168.2.1

Sunucunun adresi: 192.168.2.10 harici port :  80

Yerel bilgisayarın adresi: 192.168.2.3

Bir paket 192.168.2.3 adresindeki bir bilgisayar tarafından genel adrese gönderilirse, bilgisayarın yönlendirme tablolarında açık bir yol ayarlanmadığı sürece paket normalde varsayılan ağ geçidine (yönlendirici) yönlendirilir. NAT geri döngü özelliğine sahip bir yönlendirici, 202.96.128.5'in WAN arayüzünün adresi olduğunu algılar ve paketi bu arayüzden geliyormuş gibi ele alır. Hedef için DNAT (port yönlendirme) kurallarına göre o paketin hedefini belirler. Veriler 80 numaralı bağlantı noktasına gönderilmişse ve 192.168.2.10'a yönlendirilmiş 80 numaralı bağlantı noktası için bir DNAT kuralı mevcutsa bu adresteki ana bilgisayar paketi alır.

Geçerli bir DNAT kuralı mevcut değilse yönlendirici paketi bırakır. ICMP Hedefine Ulaşılamıyor yanıtı gönderilebilir. Herhangi bir DNAT kuralı mevcutsa adres çevirisi hâlâ etkindir; yönlendirici hala paketteki kaynak IP adresini yeniden yazar. Yerel bilgisayar (192.168.2.3) paketi 192.168.2.3'ten geliyormuş gibi gönderir, ancak sunucu (192.168.2.10) paketi 202.96.128.5'ten geliyormuş gibi alır. Sunucu yanıt verdiğinde, süreç harici bir göndereninkiyle aynıdır. Böylece LAN ağındaki ana bilgisayarlar arasında genel IP adresi üzerinden iki yönlü iletişim mümkün olur.

Sorun giderme:

1. Sunucunun yerel ağ içinden erişilebilir olup olmadığını kontrol edin ve emin olun.  LAN IP + Bağlantı Noktasını kullanarak ağ içindeki bir ana bilgisayardan sunucuya erişme 

2. Sunucunun güvenlik duvarı tarafından engellenip engellenmediğini veya bağlantı noktası yönlendirmenin geçersiz olup olmadığını kontrol edin

    > WAN IP + Bağlantı Noktasını kullanarak sunucuya ağ dışındaki bir ana bilgisayardan erişin 

    > Sunucudaki güvenlik duvarını kapatın ve sunucuya erişemezseniz tekrar deneyin

    > DMZ'yi etkinleştirmeyi deneyin ve tekrar deneyin

3. NAT geridöngüsünün düzgün çalışıp çalışmadığını kontrol edin

    > WAN etki alanı adı + Bağlantı Noktasını kullanarak sunucuya ağ içindeki bir ana bilgisayardan erişin 

    > WAN IP + Bağlantı Noktasını kullanarak ağ içindeki bir ana bilgisayardan sunucuya erişin 

    > Sunucuya alan adı aracılığıyla erişim başarısız olduysa ancak sunucuya WAN IP aracılığıyla erişim başarılı olduysa, sunucu alan adı tarafından çözümlenen IP adresinin doğru olup olmadığını kontrol etmek için ping komutunu kullanın.

    >Sunucuya hem alan adı hem de WAN IP üzerinden erişilemediyse, bu SSS'ye başvurmak için bağlantı noktası yönlendirmenin geçerli olup olmadığını kontrol edin

 

Vaka Paylaşımı:

Bir müşterinin bir FTP sunucusu ve bir Posta sunucusu vardır, LAN IP'si 192.168.1.100'dür, ağdan uzakta WAN adresi üzerinden bağlanabilmektedir.

Ancak yerel ağdayken sunucuya bağlanmaya çalışırsa işe yaramıyor gibi görünüyor.

FTP sunucusu, Harici bağlantı noktasını 21'den 2121'e değiştirdikten sonra iyi çalışıyor . Harici bağlantı noktası 21'in yönlendiricinin FTP hizmeti bağlantı noktası 21 ile çakıştığını tespit ettik. Harici bağlantı noktasını 2121 olarak değiştirdikten sonra müşteri sunucuya erişebilir.

 

Kaynaklar

 

Yorumunuzu Ekleyin


Yükleniyor...
Yükleniyor...