AlegsaOnline.com

Magánhálózat (RFC 1918): mi az? Privát IP-címek, NAT és működés

Ismerd meg az RFC 1918 szerinti magánhálózatokat, privát IP-címeket és NAT működését — egyszerű, gyakorlatias útmutató otthoni és irodai hálózatokhoz.

Szerző: Leandro Alegsa Létrehozás dátuma: 2021. június 20. Utolsó frissítés: 2026. január 13.

Az internetes terminológiában a magánhálózat (private network) jellemzően olyan hálózat, amely az RFC 1918 szabványt követve privát IP-címtartományt használ. A magánhálózatokon belüli számítógépek és eszközök ezeket a címeket kapják meg, ha belső (intranetes) kommunikációra van szükségük, de nincs minden eszköznek szüksége egyedi, nyilvános IP-címre az Internet protokoll-t használó kommunikációhoz.

RFC 1918 által meghatározott privát címtartományok

Az RFC 1918 három IPv4 címtartományt határoz meg, amelyeket a nyilvános interneten nem szabad továbbítani, és amelyeket belső hálózatok szabadon használhatnak:

10.0.0.0/8 (10.0.0.0 – 10.255.255.255)
172.16.0.0/12 (172.16.0.0 – 172.31.255.255)
192.168.0.0/16 (192.168.0.0 – 192.168.255.255)

Ezek a címek nem regisztrálhatók nyilvánosan, és az internetes útválasztók alapértelmezés szerint nem továbbítják az RFC 1918 tartományokba eső címeket a nyilvános hálózatokra.

Miért jöttek létre a privát címek?

A privát IP-címekre azért volt szükség, mert az IPv4 címtartomány korlátozott volt: nem volt elég cím minden eszköznek külön nyilvános címet adni. Az IPv6 ennek a problémának a megoldására is szolgál, de a gyakorlatban az IPv4 még mindig széles körben használatos, ezért a privát címek fontosak az otthoni és irodai helyi hálózatok (LAN) felépítésében.

Hogyan maradnak „privátok” ezek a hálózatok?

Az internetes útválasztókat úgy konfigurálják, hogy ne továbbítsák a privát tartományokból érkező csomagokat a nyilvános internet felé. Ez az elszigetelés alapvető védelmet nyújt: a külvilágból általában nem lehet közvetlenül elérni egy privát címet használó eszközt. Ennek következtében több szervezet is ugyanazt a privát címtartományt használhatja anélkül, hogy címütközések történnének a nyilvános interneten.

Kapcsolódás a nyilvános internethez: NAT és proxy

Ha egy magánhálózati eszköznek kommunikálnia kell a nyilvános internettel (pl. weboldalak elérése), akkor általában egy köztes eszközre van szükség, amely „valódi”, nyilvános címet használva képviseli a belső hálózatot. Ez az eszköz lehet:

NAT (Network Address Translation) – a leggyakoribb megoldás; a belső (privát) címeket egy vagy több nyilvános címre fordítja.
proxy-kiszolgáló – alkalmazásszinten képviseli a belső klienseket, gyakran tartalom-szűréssel és gyorsítótárazással.

A NAT különböző fajtái:

Source NAT (SNAT) – a belső forráscímet cseréli nyilvános címre, majd a válaszokat visszamappeli.
Destination NAT (DNAT) – külső forgalmat irányít át belső szerverekhez (port forwarding).
Port Address Translation (PAT) vagy NAT overload – sok belső IP osztozik egyetlen nyilvános IP-n a portok segítségével; ez a házi routerek tipikus viselkedése.

A NAT lehetővé teszi, hogy sok eszköz „osztozzon” kevés nyilvános címen, azonban a NAT nem helyettesíti a tűzfalat: a NAT ugyan megnehezíti a kezdeményezett bejövő kapcsolatok létrehozását, de nem nyújt teljeskörű biztonságot.

Gyakori problémák és megoldások

Bizonyos helyzetekben nehézségek adódhatnak:

Többszörös (double) NAT – amikor egymás mögött több NAT-eszköz van (például ISP modem + otthoni router). Ez okozhat problémákat port forwardingnál, VOIP és online játékoknál. Megoldás: bridge mód, DMZ, vagy mindkét eszköz megfelelő konfigurálása.
Átfedő privát címek – két összekapcsolni kívánt hálózat ugyanazt a privát tartományt használja. Ez megnehezíti az útválasztást és VPN-ek létrehozását. Megoldások lehetnek: hálózatok átstrukturálása (renumbering), NAT alapú címfordítás (NAT on VPN), vagy címprefixel történő átalakítás (address translation).
Peer-to-peer és NAT traversal – közvetlen kapcsolatot igénylő alkalmazások (pl. videohívás) problémákkal találkozhatnak NAT mögött. Megoldások: STUN/TURN/ICE protokollok, port forwarding, UPnP (biztonsági kockázatokkal).

Biztonsági megjegyzések

A privát hálózatok elkülönítése nem helyettesíti a biztonsági intézkedéseket. Fontos megjegyezni:

A privát címzés nem biztonsági határ: a helyi hálózaton belül rosszindulatú kód vagy jogosulatlan felhasználó továbbra is kárt okozhat.
Minden belső hálózatnál ajánlott tűzfal, hozzáférés-szabályozás és naplózás használata.
Port forwardingot csak indokolt esetben, minimális nyitással és alapos naplózással alkalmazzunk.

IPv6 és alternatív megközelítések

Az IPv6 nagy cíztartománya csökkenti az igényt a NAT iránt: az IPv6 esetén minden eszköznek lehetne saját globálisan egyedi címe. Azonban az IPv6 átállás lassan halad, és a gyakorlatban továbbra is sok hálózat használ IPv4-et és RFC 1918 tartományokat. Az IPv6-nak vannak saját privát megoldásai is (ULA — Unique Local Addresses, fc00::/7), amelyek belső célokra szolgálnak és hasonló koncepciót nyújtanak.

Hasznos gyakorlati tanácsok

Tervezés: nagyobb szervezeteknél érdemes egy átgondolt címzési tervet (IP addressing plan) készíteni, hogy elkerüljük az átfedéseket.
Kerüljük a túl gyakori alapértelmezett tartományokat (például sok otthoni router a 192.168.0.0/24-et használja) ha távoli hozzáférésre vagy VPN-ekre számítunk.
Dokumentáljuk a DHCP- és statikus címkiosztást, valamint a port forwarding szabályokat.
Ha lehetőség van rá, tervezzük meg az IPv6 bevezetését hosszú távon.

Összefoglalva: a magánhálózatok és az RFC 1918 privát IP-címei nélkül ma sok eszköz nem férne hozzá megbízhatóan az internethez. A NAT és a proxy-k hidat képeznek a belső hálózatok és a nyilvános internet között, de ezek használata tervezést és tudatosságot igényel a címütközések, a dupla NAT és a biztonsági kihívások elkerülése érdekében.

Internet Assigned Numbers Authority (IANA) magáncímek

Az Internet Assigned Numbers Authority (IANA) az a szervezet, amely a globális IP-címkiosztást, a DNS gyökérzónák kezelését, a médiatípusok és más internetes protokollok kiosztását kezeli. Ezt az ICANN működteti.

Aki ismeri az osztályos címzés határait, annak fontos megjegyeznie, hogy bár az RFC 1918 172.16.0.0-172.31.255.255.255 tartománya a hagyományos B osztályú tartományba esik, a lefoglalt címek blokkja nem /16, hanem /12-es. Ugyanez vonatkozik a 192.168.0.0-192.168.255.255.255 tartományra is; ez a blokk nem /24, hanem /16-os. Valaki azonban még mindig használhat (és sokan jellemzően így is tesznek) címeket ezekből a CIDR-blokkokból, és alkalmazhat a cím hagyományos osztályos határainak megfelelő alhálózati maszkot.

A jelenlegi IANA privát internetes (más néven nem routingolható) címek a következők:

Név	IP-címtartomány	címek száma	osztályos leírás	legnagyobb CIDR-blokk	meghatározva a
24 bites blokk	10.0.0.0 – 10.255.255.255	16,777,216	egyetlen A osztály, 256 egybefüggő B osztály	10.0.0.0/8	RFC 1597 (elavult), RFC 1918
20 bites blokk	172.16.0.0 – 172.31.255.255	1,048,576	16 egybefüggő B osztály	172.16.0.0/12
16 bites blokk	192.168.0.0 – 192.168.255.255	65,536	egyetlen B osztály, 256 egybefüggő Cs osztály	192.168.0.0/16

Az ilyen IP-címek fordított DNS-keresése által a root névszerverekre nehezedő terhelés csökkentése érdekében az AS112 névszerverek "fekete lyukak" rendszerét biztosítja az anycast hálózat.

Kapcsolódó oldalak

Internet protokollcsomag
Kommunikációs protokoll

Kérdések és válaszok

K: Mi az a magánhálózat?

V: A magánhálózat olyan számítógépes hálózat, amely az RFC 1918 szabványt követve magán IP-címtartományt használ. Általában egy szervezeten belüli belső hálózatokra vagy otthoni és irodai helyi hálózatokra (LAN) használják.

K: Mi volt az oka a privát IP-címek létrehozásának?

V: A privát IP-címeket az IPv4 szabvány által létrehozott, nyilvánosan regisztrált IP-címek hiánya miatt hozták létre. Az IPv6 létrehozásának egyik oka az IPv4 szabvány e korlátjának kiküszöbölése.

K: Hogyan biztosítja a magánhálózatok biztonságát az elszigetelés?

V: Az elszigetelés a magánhálózatok biztonságának egy alapvető formáját adja, mivel a külső eszközök általában nem tudnak közvetlenül kapcsolatot létesíteni az ilyen magáncímeket használó gépekkel. Az interneten lévő útválasztókat úgy kell beállítani, hogy az ilyen címeket tartalmazó csomagokat elvetik, hogy biztosítsák ezt a védelmet.

K: Hogyan használhatják különböző szervezetek ugyanazt a privát címtartományt anélkül, hogy címkonfliktusokat kockáztatnának?

V: Mivel az interneten keresztül nem lehet kapcsolatot létesíteni különböző magánhálózatok között, a különböző szervezetek ugyanazt a magáncímtartományt használhatják anélkül, hogy címkonfliktusokat (az azonos IP-címet használó harmadik fél elérése által okozott kommunikációs baleseteket) kockáztatnának.

K: Milyen típusú eszközre van szükség, ha egy magánhálózaton lévő eszköznek más hálózatokkal kell kommunikálnia?

V: Ha egy magánhálózaton lévő eszköznek más hálózatokkal kell kommunikálnia, akkor egy "közvetítő átjáróra" (köztes átjáróra) van szükség, amely biztosítja, hogy a külső eszközök olyan címet kapjanak, amely nyilvánosan elérhető, hogy az internetes útválasztók engedélyezzék a kommunikációt. Ez az átjáró általában NAT-eszköz vagy proxy-kiszolgáló.

K: A nyilvános internet-routereknek szükségük van-e további konfigurációra az RFC 1918-as címekkel rendelkező csomagok továbbításához?

V: A nyilvános internetes útválasztók alapértelmezés szerint nem továbbítják az RFC 1918-as címeket tartalmazó csomagokat, és további konfigurációra van szükségük ahhoz, hogy ezt megtegyék. A belső útválasztóknak azonban nincs szükségük további konfigurációra ahhoz, hogy továbbítsák ezeket a csomagokat, ami problémákat okozhat két különböző hálózat összekapcsolásakor, amelyek hasonló IP-címzési sémát használnak.

Szerző

AlegsaOnline.com - Magánhálózat - Leandro Alegsa

Létrehozás dátuma: 2021. június 20.
Utolsó frissítés: 2026. január 13.

URL: https://hu.alegsaonline.com/art/79275