Prywatne adresy IP: definicja, zakresy RFC1918 i NAT

Dowiedz się, czym są prywatne adresy IP, zakresy RFC1918 i jak działa NAT — praktyczny przewodnik bezpieczeństwa i konfiguracji sieci domowych i firmowych.

Autor: Leandro Alegsa

W terminologii internetowej sieć prywatna to zwykle sieć wykorzystująca prywatną przestrzeń adresową IP, zgodnie ze standardem RFC 1918. Urządzenia w takiej sieci otrzymują adresy z tej puli, żeby mogły komunikować się ze sobą w obrębie intranetu (wewnętrznej sieci komputerowej wykorzystującej protokół internetowy), bez potrzeby uzyskiwania unikalnych, globalnie routowalnych adresów IP.

Dlaczego stosuje się prywatne adresy IP

Prywatne sieci są powszechne w środowiskach domowych i biurowych, zwłaszcza w sieciach lokalnych (LAN), ponieważ nie ma potrzeby przydzielania internetowych adresów publicznych dla każdego komputera, drukarki czy IoT. Prywatne adresy IP powstały z powodu ograniczonej puli adresów w IPv4. Jednym z powodów powstania IPv6 było rozwiązanie problemu wyczerpania adresów IPv4, lecz wdrażanie IPv6 nadal postępuje stopniowo i nie jest jeszcze uniwersalne.

Zakresy RFC 1918 (przestrzeń prywatna)

  • 10.0.0.0/8 — zakres od 10.0.0.0 do 10.255.255.255 (duża przestrzeń, często używana w dużych sieciach korporacyjnych).
  • 172.16.0.0/12 — zakres od 172.16.0.0 do 172.31.255.255 (częściej spotykany w sieciach średniej wielkości).
  • 192.168.0.0/16 — zakres od 192.168.0.0 do 192.168.255.255 (najczęściej używany w domowych routerach i małych sieciach).

Dodatkowo warto pamiętać o pokrewnych zarezerwowanych przestrzeniach, które nie są częścią RFC1918, ale mają znaczenie praktyczne:

  • 100.64.0.0/10 — przestrzeń zarezerwowana dla operatorów realizujących Carrier-Grade NAT (RFC 6598).
  • 169.254.0.0/16 — adresy link-local, przypisywane automatycznie, gdy nie ma serwera DHCP.
  • 127.0.0.0/8 — zakres loopback (lokalny host), nieużywany do komunikacji sieciowej z innymi urządzeniami.

Filtrowanie i izolacja

Routery i urządzenia sieciowe w publicznym Internecie zwykle są konfigurowane tak, by nie przekazywać pakietów, których źródłowy lub docelowy adres należy do przestrzeni RFC 1918. Taka praktyka (w połączeniu z mechanizmami anty‑spoofingowymi) zwiększa bezpieczeństwo i zapobiega pojawianiu się nieprawidłowych tras. W rezultacie urządzenia z prywatnymi adresami są w praktyce izolowane od bezpośredniego dostępu z zewnątrz — dostęp z Internetu do urządzeń wewnętrznych zwykle wymaga pośrednictwa bramy.

NAT — brama pośrednicząca

Gdy urządzenie w sieci prywatnej musi komunikować się z Internetem, używa się mechanizmu NAT (Network Address Translation) lub serwera proxy. NAT mapuje (tłumaczy) lokalne prywatne adresy i porty na publiczny adres IP (lub adresy), umożliwiając ruch wychodzący i przychodzący zgodnie z konfiguracją.

  • SNAT (Source NAT) — zmienia adres źródłowy pakietu wychodzącego do Internetu.
  • DNAT (Destination NAT) — zmienia adres docelowy pakietu przychodzącego (stosowane np. przy przekierowaniach portów).
  • PAT (Port Address Translation) / masquerading — wiele hostów współdzieli jeden publiczny adres, rozróżnianie po portach.

Przykład działania: host 192.168.1.10 wysyła żądanie HTTP; router NAT zmienia jego adres źródłowy na publiczny adres ISP i zapisuje translację. Odpowiedź z Internetu wraca do tego publicznego adresu, router odtwarza powiązanie i przekazuje pakiet do 192.168.1.10. Aby umożliwić inicjowanie połączeń z Internetu do hosta wewnętrznego, potrzebne są reguły DNAT / przekierowania portów lub statyczne mapowanie.

Ograniczenia i wady NAT

  • Utrudniona inicjacja połączeń z Internetu do hostów prywatnych bez dodatkowej konfiguracji (przekierowania portów, VPN, STUN/TURN itp.).
  • Problemy z protokołami, które umieszczają adresy IP w treści pakietów (np. niektóre protokoły VoIP), wymagające ALG lub dodatkowej translacji.
  • Utrata przejrzystości end-to-end i komplikacje przy śledzeniu połączeń/logowaniu.

Kolizje adresowe i łączenie sieci

Gdy dwie organizacje próbują połączyć swoje sieci (np. przez VPN) i obie używają tych samych prywatnych zakresów (np. obie mają 192.168.0.0/24), pojawią się kolizje i problemy z routingiem. Rozwiązania obejmują:

  • zmianę numeracji (reasignację jednego z zakresów),
  • stosowanie NAT między łączonymi sieciami (tzw. NAT między stronami VPN),
  • tunneling z translacją adresów po drodze,
  • planowanie adresacji z myślą o przyszłej integracji (unikalne, dobrze udokumentowane podsieci).

IPv6 i przestrzenie lokalne

IPv6 oferuje znacznie większą pulę adresów i eliminuje potrzebę stosowania NAT na takim poziomie jak w IPv4. Dla adresów lokalnych IPv6 zdefiniowano m.in. ULA (Unique Local Addresses) (RFC 4193) — odpowiednik prywatnych adresów IPv4, zwykle zaczynających się od fc00::/7. Mimo zalet IPv6 jego wdrożenie bywa stopniowe, dlatego NAT i RFC1918 są nadal powszechne.

Najlepsze praktyki

  • Dokumentuj i planuj przestrzeń adresową w organizacji, aby uniknąć konfliktów przy integracji z innymi sieciami.
  • Stosuj NAT i przekierowania portów tylko tam, gdzie to konieczne, i rozważ VPN lub publiczne adresy dla usług wymagających bezpośredniego dostępu z Internetu.
  • Filtruj ruch RFC1918 na granicach sieci publicznej i wdrażaj mechanizmy anty‑spoofingu.
  • Rozważ migrację krytycznych usług do IPv6 tam, gdzie to możliwe i opłacalne.

Powyższe informacje poszerzają podstawowy opis sieci prywatnych i mechanizmów związanych z RFC1918 oraz NAT, które umożliwiają korzystanie z ograniczonej puli adresów IPv4 w codziennych sieciach domowych i korporacyjnych.

Internet Assigned Numbers Authority (IANA) adresy prywatne

Internet Assigned Numbers Authority (IANA) to jednostka, która zarządza globalnym przydzielaniem adresów IP, zarządzaniem strefą główną DNS, rodzajami mediów i innymi przydziałami protokołów internetowych. Jest on obsługiwany przez ICANN.

Dla kogoś, kto zna granice skutecznego adresowania, ważne jest, aby zauważyć, że chociaż zakres RFC 1918 wynoszący 172.16.0.0-172.31.255.255 mieści się w tradycyjnym zakresie klasy B, blok adresów zarezerwowanych nie jest /16, ale /12. To samo dotyczy zakresu 192.168.0.0-192.168.255.255; blok ten nie jest /24, lecz /16. Ktoś może jednak nadal (i wiele osób zwykle to robi) korzystać z adresów z tych bloków CIDR i zastosować maskę podsieci odpowiednią dla tradycyjnej, udanej granicy adresu.

Aktualne prywatne adresy internetowe IANA (nazywane również nierozłącznymi) są:

Nazwa

Zakres adresów IP

liczba adresów

udany opis

największy blok CIDR

zdefiniowany w

24-bitowy blok

10.0.0.0 – 10.255.255.255

16,777,216

pojedyncza klasa A, 256 przylegająca klasa Bs

10.0.0.0/8

RFC 1597 (przestarzała), RFC 1918

20-bitowy blok

172.16.0.0 – 172.31.255.255

1,048,576

16 sąsiednich klas Bs

172.16.0.0/12

16-bitowy blok

192.168.0.0 – 192.168.255.255

65,536

pojedyncza klasa B, 256 przylegająca klasa Cs

192.168.0.0/16

Aby zmniejszyć obciążenie serwerów nazw korzeni spowodowanych przez odwrotne wyszukiwanie DNS tych adresów IP, system "czarnych dziur" serwerów nazw jest dostarczany przez sieć anycast AS112.

Powiązane strony

  • Zestaw protokołów internetowych
  • Protokół komunikacyjny

Pytania i odpowiedzi

P: Co to jest sieć prywatna?


O: Sieć prywatna to sieć komputerowa, która wykorzystuje prywatną przestrzeń adresową IP, zgodnie ze standardem RFC 1918. Stosuje się ją zazwyczaj w sieciach wewnętrznych organizacji lub domowych i biurowych sieciach lokalnych (LAN).

P: Jaki był powód stworzenia prywatnych adresów IP?


O: Prywatne adresy IP powstały z powodu niedoboru publicznie zarejestrowanych adresów IP stworzonych przez standard IPv4. Jednym z powodów, dla których stworzono IPv6, jest pokonanie tego ograniczenia standardu IPv4.

P: W jaki sposób izolacja zapewnia bezpieczeństwo sieciom prywatnym?


O: Izolacja daje sieciom prywatnym podstawową formę bezpieczeństwa, ponieważ zazwyczaj urządzenia zewnętrzne nie mogą nawiązać połączenia bezpośrednio z maszynami korzystającymi z tych prywatnych adresów. Routery w Internecie powinny być skonfigurowane tak, aby odrzucały wszelkie pakiety zawierające te adresy w celu zapewnienia tej ochrony.

P: Jak różne organizacje mogą korzystać z tego samego zakresu adresów prywatnych bez ryzyka konfliktu adresów?


O: Ponieważ pomiędzy różnymi sieciami prywatnymi nie można nawiązywać połączeń przez Internet, różne organizacje mogą korzystać z tego samego zakresu adresów prywatnych bez ryzyka wystąpienia konfliktów adresowych (wypadków komunikacyjnych spowodowanych dotarciem do osoby trzeciej za pomocą tego samego adresu IP).

P: Jaki typ urządzenia jest potrzebny, jeżeli urządzenie w sieci prywatnej musi komunikować się z innymi sieciami?


O: Jeżeli urządzenie w sieci prywatnej musi komunikować się z innymi sieciami, potrzebna jest "brama pośrednicząca" (in-between gateway), aby zapewnić, że urządzenia zewnętrzne otrzymają adres, który jest publicznie osiągalny, tak aby routery internetowe zezwoliły na komunikację. Taką bramą jest zazwyczaj urządzenie NAT lub serwer proxy.

P: Czy publiczne routery internetowe wymagają dodatkowej konfiguracji, aby mogły przekazywać pakiety z adresami RFC 1918?


O: Publiczne routery internetowe domyślnie nie przekazują pakietów z adresami RFC 1918 i wymagają dodatkowej konfiguracji, aby to robiły. Natomiast routery wewnętrzne nie potrzebują żadnej dodatkowej konfiguracji, aby przekazywać te pakiety, co może powodować problemy przy łączeniu dwóch oddzielnych sieci, które używają podobnych schematów adresowania IP.


Przeszukaj encyklopedię
AlegsaOnline.com - 2020 / 2025 - License CC3