NAT (network address translator)
외부(사설) IP를 공인 IP로 바꾸어 사용
내부 네트워크에서는 공인IP 주소(유일한 IP)를 사용하고, 외부(인터넷)로 나갈때만 외부 IP 사용
ex) 내 pc에서 사용하는 ip를 모르게 하기 위해 내 pc에서 사용하는 사설ip를 외부에서 공인ip로 보여지게함
사설 IP 범위 (RFC1918 규약)
A 클래스 대역
10.0.0.0 ~ 10.255.255.255
B 클래스 대역
172.16.0.0 ~ 172.31.255.255
C 클래스 대역
192.168.0.0 ~ 192.168.255.255
NAT 을 사용하는 이유
- 공인 ip를 절약 가능
모든사람들이 개인 pc에 공인 ip를 사용하면 ip가 부족함
- 보안
정적 NAT
내가 보안하려는 ip
inside 설정
외부 네트워크로 나가는 ip (내가 밖으로 보여질 ip)
outside 설정
동적 NAT
dhcp 처럼 pool을 만들어서 배포
GNS 3로 연습하기
R1(config)#int g0/0
R1(config-if)#ip nat insdie
R1(config-if)#int g1/0
R1(config-if)#ip nat inside
R1(config-if)#int g2/0
R1(config-if)#ip nat inside
ip inside 설정
R1(config-if)#int 3/0
R1(config-if)#ip add dhcp
R1(config-if)#ip nat outside
dhcp로 ip를 할당받고
ip outside 설정
R1(config)#ip nat inside source list 1 interface g3/0
R1(config)#access-list 1 permit any
내부 네트워크의 IP 주소들을 외부 네트워크로 나가는 동안 변환할 때 사용하는 규칙을 정의
access-list 1을 참조하고, int g3/0이 외부 네트워크로 나가는 인터페이스로 사용된다
내부 네트워크에서 나가는 모든 IP 주소가 변환 대상이 된다는 의미
PC1 에서 8.8.8.8로 핑테스트
R1 에서 확인하기
R1#sh ip nat translations
PC1 10.1.1.126 (Inside local) 에서 8.8.8.8(Outside local) 로 보낸 핑이
외부에서는 (Inside global) 192.168.122.85 보인다
+ NAT로 설정한 PC1 이 해당 IP로 DDOS 공격을 받을까?
X, 사설 IP가 인터넷에서 라우팅 되지 않기 때문에 대상이 될 수 없음,
공격대상이 가능한건 R1 라우터, 공인IP로 설정되었기 때문
NAT는 주소 절약 + 은닉 용도
❌ 공격 탐지 / 원인 분리는 목적 아님
