Magánhálózat (RFC 1918): mi az? Privát IP-címek, NAT és működés
Ismerd meg az RFC 1918 szerinti magánhálózatokat, privát IP-címeket és NAT működését — egyszerű, gyakorlatias útmutató otthoni és irodai hálózatokhoz.
Az internetes terminológiában a magánhálózat (private network) jellemzően olyan hálózat, amely az RFC 1918 szabványt követve privát IP-címtartományt használ. A magánhálózatokon belüli számítógépek és eszközök ezeket a címeket kapják meg, ha belső (intranetes) kommunikációra van szükségük, de nincs minden eszköznek szüksége egyedi, nyilvános IP-címre az Internet protokoll-t használó kommunikációhoz.
RFC 1918 által meghatározott privát címtartományok
Az RFC 1918 három IPv4 címtartományt határoz meg, amelyeket a nyilvános interneten nem szabad továbbítani, és amelyeket belső hálózatok szabadon használhatnak:
- 10.0.0.0/8 (10.0.0.0 – 10.255.255.255)
- 172.16.0.0/12 (172.16.0.0 – 172.31.255.255)
- 192.168.0.0/16 (192.168.0.0 – 192.168.255.255)
Ezek a címek nem regisztrálhatók nyilvánosan, és az internetes útválasztók alapértelmezés szerint nem továbbítják az RFC 1918 tartományokba eső címeket a nyilvános hálózatokra.
Miért jöttek létre a privát címek?
A privát IP-címekre azért volt szükség, mert az IPv4 címtartomány korlátozott volt: nem volt elég cím minden eszköznek külön nyilvános címet adni. Az IPv6 ennek a problémának a megoldására is szolgál, de a gyakorlatban az IPv4 még mindig széles körben használatos, ezért a privát címek fontosak az otthoni és irodai helyi hálózatok (LAN) felépítésében.
Hogyan maradnak „privátok” ezek a hálózatok?
Az internetes útválasztókat úgy konfigurálják, hogy ne továbbítsák a privát tartományokból érkező csomagokat a nyilvános internet felé. Ez az elszigetelés alapvető védelmet nyújt: a külvilágból általában nem lehet közvetlenül elérni egy privát címet használó eszközt. Ennek következtében több szervezet is ugyanazt a privát címtartományt használhatja anélkül, hogy címütközések történnének a nyilvános interneten.
Kapcsolódás a nyilvános internethez: NAT és proxy
Ha egy magánhálózati eszköznek kommunikálnia kell a nyilvános internettel (pl. weboldalak elérése), akkor általában egy köztes eszközre van szükség, amely „valódi”, nyilvános címet használva képviseli a belső hálózatot. Ez az eszköz lehet:
- NAT (Network Address Translation) – a leggyakoribb megoldás; a belső (privát) címeket egy vagy több nyilvános címre fordítja.
- proxy-kiszolgáló – alkalmazásszinten képviseli a belső klienseket, gyakran tartalom-szűréssel és gyorsítótárazással.
A NAT különböző fajtái:
- Source NAT (SNAT) – a belső forráscímet cseréli nyilvános címre, majd a válaszokat visszamappeli.
- Destination NAT (DNAT) – külső forgalmat irányít át belső szerverekhez (port forwarding).
- Port Address Translation (PAT) vagy NAT overload – sok belső IP osztozik egyetlen nyilvános IP-n a portok segítségével; ez a házi routerek tipikus viselkedése.
A NAT lehetővé teszi, hogy sok eszköz „osztozzon” kevés nyilvános címen, azonban a NAT nem helyettesíti a tűzfalat: a NAT ugyan megnehezíti a kezdeményezett bejövő kapcsolatok létrehozását, de nem nyújt teljeskörű biztonságot.
Gyakori problémák és megoldások
Bizonyos helyzetekben nehézségek adódhatnak:
- Többszörös (double) NAT – amikor egymás mögött több NAT-eszköz van (például ISP modem + otthoni router). Ez okozhat problémákat port forwardingnál, VOIP és online játékoknál. Megoldás: bridge mód, DMZ, vagy mindkét eszköz megfelelő konfigurálása.
- Átfedő privát címek – két összekapcsolni kívánt hálózat ugyanazt a privát tartományt használja. Ez megnehezíti az útválasztást és VPN-ek létrehozását. Megoldások lehetnek: hálózatok átstrukturálása (renumbering), NAT alapú címfordítás (NAT on VPN), vagy címprefixel történő átalakítás (address translation).
- Peer-to-peer és NAT traversal – közvetlen kapcsolatot igénylő alkalmazások (pl. videohívás) problémákkal találkozhatnak NAT mögött. Megoldások: STUN/TURN/ICE protokollok, port forwarding, UPnP (biztonsági kockázatokkal).
Biztonsági megjegyzések
A privát hálózatok elkülönítése nem helyettesíti a biztonsági intézkedéseket. Fontos megjegyezni:
- A privát címzés nem biztonsági határ: a helyi hálózaton belül rosszindulatú kód vagy jogosulatlan felhasználó továbbra is kárt okozhat.
- Minden belső hálózatnál ajánlott tűzfal, hozzáférés-szabályozás és naplózás használata.
- Port forwardingot csak indokolt esetben, minimális nyitással és alapos naplózással alkalmazzunk.
IPv6 és alternatív megközelítések
Az IPv6 nagy cíztartománya csökkenti az igényt a NAT iránt: az IPv6 esetén minden eszköznek lehetne saját globálisan egyedi címe. Azonban az IPv6 átállás lassan halad, és a gyakorlatban továbbra is sok hálózat használ IPv4-et és RFC 1918 tartományokat. Az IPv6-nak vannak saját privát megoldásai is (ULA — Unique Local Addresses, fc00::/7), amelyek belső célokra szolgálnak és hasonló koncepciót nyújtanak.
Hasznos gyakorlati tanácsok
- Tervezés: nagyobb szervezeteknél érdemes egy átgondolt címzési tervet (IP addressing plan) készíteni, hogy elkerüljük az átfedéseket.
- Kerüljük a túl gyakori alapértelmezett tartományokat (például sok otthoni router a 192.168.0.0/24-et használja) ha távoli hozzáférésre vagy VPN-ekre számítunk.
- Dokumentáljuk a DHCP- és statikus címkiosztást, valamint a port forwarding szabályokat.
- Ha lehetőség van rá, tervezzük meg az IPv6 bevezetését hosszú távon.
Összefoglalva: a magánhálózatok és az RFC 1918 privát IP-címei nélkül ma sok eszköz nem férne hozzá megbízhatóan az internethez. A NAT és a proxy-k hidat képeznek a belső hálózatok és a nyilvános internet között, de ezek használata tervezést és tudatosságot igényel a címütközések, a dupla NAT és a biztonsági kihívások elkerülése érdekében.
Internet Assigned Numbers Authority (IANA) magáncímek
Az Internet Assigned Numbers Authority (IANA) az a szervezet, amely a globális IP-címkiosztást, a DNS gyökérzónák kezelését, a médiatípusok és más internetes protokollok kiosztását kezeli. Ezt az ICANN működteti.
Aki ismeri az osztályos címzés határait, annak fontos megjegyeznie, hogy bár az RFC 1918 172.16.0.0-172.31.255.255.255 tartománya a hagyományos B osztályú tartományba esik, a lefoglalt címek blokkja nem /16, hanem /12-es. Ugyanez vonatkozik a 192.168.0.0-192.168.255.255.255 tartományra is; ez a blokk nem /24, hanem /16-os. Valaki azonban még mindig használhat (és sokan jellemzően így is tesznek) címeket ezekből a CIDR-blokkokból, és alkalmazhat a cím hagyományos osztályos határainak megfelelő alhálózati maszkot.
A jelenlegi IANA privát internetes (más néven nem routingolható) címek a következők:
| Név | IP-címtartomány | címek száma | osztályos leírás | legnagyobb CIDR-blokk | meghatározva a |
| 24 bites blokk | 10.0.0.0 – 10.255.255.255 | 16,777,216 | egyetlen A osztály, 256 egybefüggő B osztály | 10.0.0.0/8 | RFC 1597 (elavult), RFC 1918 |
| 20 bites blokk | 172.16.0.0 – 172.31.255.255 | 1,048,576 | 16 egybefüggő B osztály | 172.16.0.0/12 | |
| 16 bites blokk | 192.168.0.0 – 192.168.255.255 | 65,536 | egyetlen B osztály, 256 egybefüggő Cs osztály | 192.168.0.0/16 |
Az ilyen IP-címek fordított DNS-keresése által a root névszerverekre nehezedő terhelés csökkentése érdekében az AS112 névszerverek "fekete lyukak" rendszerét biztosítja az anycast hálózat.
Kapcsolódó oldalak
- Internet protokollcsomag
- Kommunikációs protokoll
Kérdések és válaszok
K: Mi az a magánhálózat?
V: A magánhálózat olyan számítógépes hálózat, amely az RFC 1918 szabványt követve magán IP-címtartományt használ. Általában egy szervezeten belüli belső hálózatokra vagy otthoni és irodai helyi hálózatokra (LAN) használják.
K: Mi volt az oka a privát IP-címek létrehozásának?
V: A privát IP-címeket az IPv4 szabvány által létrehozott, nyilvánosan regisztrált IP-címek hiánya miatt hozták létre. Az IPv6 létrehozásának egyik oka az IPv4 szabvány e korlátjának kiküszöbölése.
K: Hogyan biztosítja a magánhálózatok biztonságát az elszigetelés?
V: Az elszigetelés a magánhálózatok biztonságának egy alapvető formáját adja, mivel a külső eszközök általában nem tudnak közvetlenül kapcsolatot létesíteni az ilyen magáncímeket használó gépekkel. Az interneten lévő útválasztókat úgy kell beállítani, hogy az ilyen címeket tartalmazó csomagokat elvetik, hogy biztosítsák ezt a védelmet.
K: Hogyan használhatják különböző szervezetek ugyanazt a privát címtartományt anélkül, hogy címkonfliktusokat kockáztatnának?
V: Mivel az interneten keresztül nem lehet kapcsolatot létesíteni különböző magánhálózatok között, a különböző szervezetek ugyanazt a magáncímtartományt használhatják anélkül, hogy címkonfliktusokat (az azonos IP-címet használó harmadik fél elérése által okozott kommunikációs baleseteket) kockáztatnának.
K: Milyen típusú eszközre van szükség, ha egy magánhálózaton lévő eszköznek más hálózatokkal kell kommunikálnia?
V: Ha egy magánhálózaton lévő eszköznek más hálózatokkal kell kommunikálnia, akkor egy "közvetítő átjáróra" (köztes átjáróra) van szükség, amely biztosítja, hogy a külső eszközök olyan címet kapjanak, amely nyilvánosan elérhető, hogy az internetes útválasztók engedélyezzék a kommunikációt. Ez az átjáró általában NAT-eszköz vagy proxy-kiszolgáló.
K: A nyilvános internet-routereknek szükségük van-e további konfigurációra az RFC 1918-as címekkel rendelkező csomagok továbbításához?
V: A nyilvános internetes útválasztók alapértelmezés szerint nem továbbítják az RFC 1918-as címeket tartalmazó csomagokat, és további konfigurációra van szükségük ahhoz, hogy ezt megtegyék. A belső útválasztóknak azonban nincs szükségük további konfigurációra ahhoz, hogy továbbítsák ezeket a csomagokat, ami problémákat okozhat két különböző hálózat összekapcsolásakor, amelyek hasonló IP-címzési sémát használnak.
Keres