Вітаю! Сардэчна запрашаем на пяты ўрок курса . На мы разабраліся з працай палітык бяспекі. Цяпер прыйшоў час выпусціць лакальных карыстальнікаў у Інтэрнет. Для гэтага на дадзеным уроку мы разгледзім працу механізма NAT.
Апроч выпуску карыстачоў у Інтэрнэт, мы таксама разгледзім метад публікацыі ўнутраных сэрвісаў. Пад катом прадстаўлена кароткая тэорыя з відэа, а таксама сам відэа ўрок.
Тэхналогія NAT (Network Address Translation) уяўляе сабой механізм пераўтварэння IP адрасоў сеткавых пакетаў. У тэрмінах Fortinet NAT падзяляецца на два тыпу: Source NAT і Destination NAT.
Назвы кажуць самі за сябе - пры выкарыстанні Source NAT змяняецца адрас крыніцы, пры выкарыстанні Destination NAT - адрас прызначэння.
Акрамя гэтага, варыянтаў налады NATа таксама некалькі – Firewall Policy NAT і Central NAT.
Пры выкарыстанні першага варыянту Source і Destination NAT павінны быць наладжаны для кожнай палітыкі бяспекі. У такім разе Source NAT выкарыстоўвае альбо IP адрас выходнага інтэрфейсу, альбо наладжаны IP Pool. Destination NAT выкарыстоўвае наладжаны аб'ект (так званы VIP - Virtual IP) у якасці адрасу прызначэння.
Пры выкарыстанні Central NAT канфігурацыя Source і Destination NAT вырабляецца адразу для ўсёй прылады (ці віртуальнага дамена). У такім разе, параметры NAT ужываюцца да ўсіх палітыкаў, у залежнасці ад правіл Source NAT і Destination NAT.
Правілы Source NAT наладжваюцца ў цэнтральнай палітыцы Source NAT. Destination NAT канфігуруецца з меню DNAT з выкарыстаннем IP адрасоў.
У дадзеным уроку мы разгледзім толькі Firewall Policy NAT – як паказвае практыка, гэты варыянт канфігурацыі сустракаецца нашмат часцей, чым Central NAT.
Як я ўжо казаў, пры канфігурацыі Firewall Policy Source NAT ёсць два варыянты налады: замена IP адраса на адрас выходнага інтэрфейсу, альбо на IP адрас з наўпарадкаванага пула IP адрасоў. Выглядае гэта прыкладна так, як паказана на малюнку ніжэй. Далей я коратка распавяду пра магчымыя пулы, але на практыцы мы з вамі разгледзім толькі варыянт з адрасам выходнага інтэрфейсу – на нашым макеце пулы IP адрасоў нам ні навошта.
IP пул вызначае адзін ці некалькі IP адрасоў, якія будуць выкарыстоўвацца як адрас крыніцы на працягу сесіі. Гэтыя IP адрасы будуць выкарыстоўвацца замест IP адрасы выходнага інтэрфейсу FortiGate.
Існуе 4 тыпу IP пулаў, якія могуць быць настроены на FortiGate:
- Перагрузка
- Адзін-на-адзін
- Fixed Port Range
- Port block allocation
Overload гэта асноўны IP пул. У ім IP адрасы пераўтворацца па схеме шмат да аднаго ці шмат да некалькіх. Таксама выкарыстоўваецца трансляцыя партоў. Разгледзім схему, паказаную на малюнку ніжэй. У нас ёсць пакет з пэўнымі палямі Source і Destination. Пры трапленні пад палітыку міжсеткавага экранавання, якая дазваляе гэтаму пакету доступ у знешнюю сетку, да яго прымяняецца правіла NATа. Па выніку ў дадзеным пакеце поле Source замяняецца на адзін з IP адрасоў, указаных у IP пуле.
У пуле тыпу One to One таксама вызначаецца мноства вонкавых IP адрасоў. Пры трапленні пакета пад палітыку міжсеткавага экранавання з уключаным правілам NAT IP адрас у поле Source змяняецца на адзін з адрасоў, прыналежных дадзенаму пулу. Замена адбываецца па правіле - "першы паступіў, першы абслужаны". Каб стала больш зразумела, разгледзім на прыкладзе.
Кампутар з лакальнай сеткі з IP адрасам 192.168.1.25 адсылае пакет у вонкавую сетку. Ён пападае пад правіла NATа, і поле Source змяняецца на першы IP адрас з пула, у нашым выпадку гэта 83.235.123.5. Варта адзначыць, што пры выкарыстанні дадзенага IP пула трансляцыя портаў не выкарыстоўваецца. Калі пасля гэтага кампутар з той жа лакальнай сеткі, з адрасам, дапусцім, 192.168.1.35 адправіць пакет у вонкавую сетку і таксама трапіць пад дадзенае правіла NAT, IP адрас у поле Source гэтага пакета зменіцца на 83.235.123.6. Калі адрасоў у пуле больш не застанецца, наступныя падключэнні будуць адхіляцца. Гэта значыць, у дадзеным выпадку пад наша правіла NAT адначасова можа патрапіць 4 кампутара.
FIxed Port Range звязвае паміж сабой унутраныя і вонкавыя дыяпазоны IP адрасоў. Трансляцыя партоў таксама адключана. Гэта дазваляе фіксавана звязаць пачатак ці канец пула ўнутраных IP адрасоў з пачаткам ці канцом пула вонкавых IP адрасоў. У прыкладзе, прыведзеным ніжэй, унутраны пул адрасоў 192.168.1.25 - 192.168.1.28 ставіцца ў адпаведнасць са знешнім пулам адрасоў 83.235.123.5 - 83.235.125.8.
Port Block Allocation - гэты IP пул выкарыстоўваецца для вылучэння блока партоў для карыстальнікаў IP пула. Акрамя самога IP пула, тут таксама павінны быць указаны два параметры - памер блока і колькасць блокаў, якія выдзяляюцца для кожнага карыстальніка.
Цяпер разгледзім тэхналогію Destination NAT. Яна заснавана на аснове віртуальных IP адрасоў (VIP). У пакетаў, якія трапляюць пад правілы Destination NAT змяняецца IP адрас у поле Destination: звычайна публічны інтэрнэт адрас мяняецца на прыватны адрас сервера. Віртуальныя IP адрасы выкарыстоўваюцца ў палітыках міжсеткавага экранавання ў якасці поля Destination.
Стандартны тып віртуальных IP адрасоў - Static NAT. Гэта адпаведнасць вонкавых і ўнутраных адрасоў адзін да аднаго.
Замест Static NAT віртуальныя адрасы можна абмежаваць пракідам пэўных партоў. Напрыклад, падлучэнні да вонкавага адрасу па порце 8080 асацыяваць з падлучэннем да ўнутранага IP адрасу па 80 порце.
У прыкладзе, прыведзеным ніжэй, кампутар з адрасам 172.17.10.25 спрабуе атрымаць доступ да адрасу 83.235.123.20 па 80 порце. Дадзенае злучэнне пападае пад правіла DNAT, таму IP адрас прызначэння змяняецца на 10.10.10.10.
У відэа разгледжана тэорыя, а таксама прыведзены практычныя прыклады налады Source і Destination NAT.
На наступных уроках мы пяройдзем да забеспячэння бяспекі карыстальнікаў на абшарах Інтэрнэту. Менавіта ў наступным уроку будзе разгледжаны функцыянал вэб фільтрацыі і кантролю прыкладанняў. Каб не прапусціць яго, сачыце за абнаўленнямі на наступных каналах:
Крыніца: habr.com