Сардэчна запрашаем на 8-ы ўрок. Урок вельмі важны, т.я. пасля яго завяршэння вы ўжо зможаце наладзіць выхад у інтэрнэт для вашых карыстальнікаў! Трэба прызнаць, што многія на гэтым настройку і заканчваюць 🙂 Але мы не з іх ліку! І ў нас яшчэ шмат цікавага наперадзе. А зараз да тэмы нашага ўрока.
Як вы ўжо напэўна здагадаліся, казаць мы сёння будзем пра NAT. Упэўнены, што ўсе, хто глядзіць гэты ўрок, ведаюць, што такое NAT. Таму мы не будзем падрабязна распісваць, як гэта працуе. Я толькі яшчэ раз паўтару, што NAT гэта тэхналогія трансляцыі адрасоў, якая была прыдумана з мэтай эканоміі "белых", г.зн. публічных ip-шнікаў (тых адрасоў, якія маршрутызуюцца ў сетцы Інтэрнэт).
У папярэднім уроку вы напэўна ўжо паспелі заўважыць, што NAT уваходзіць у склад палітыкі Access Control. Гэта вельмі лагічна. У SmartConsole налады NAT вынесены ў асобную ўкладку. Мы сёння туды абавязкова зазірнем. У цэлым, у дадзеным уроку мы абмяркуем тыпы NAT, наладзім выхад у Інтэрнэт і разгледзім класічны прыклад з port forwarding. Г.зн. той функцыянал, які часцей за ўсё выкарыстоўваецца ў кампаніях. Прыступім.
Два спосабу наладкі NAT
Check Point падтрымлівае два спосабы наладкі NAT: Automatic NAT и Manual NAT. Пры гэтым для кожнага з гэтых спосабаў ёсць два тыпы трансляцыі: Hide NAT и Статычны NAT. У агульным выглядзе гэта выглядае як на гэтым малюнку:
Разумею, што хутчэй за ўсё цяпер усё выглядае вельмі складана, таму давайце разгледзім кожны тып крыху падрабязней.
Automatic NAT
Гэта самы хуткі і просты спосаб. Настройка NAT ажыццяўляецца літаральна ў два клікі. Усё, што трэба зрабіць, гэта адкрыць уласцівасці патрэбнага аб'екта (няхай гэта будзе gateway, network, host і г.д.), перайсці ва ўкладку NAT і паставіць галачку “Add automatic address translation rules”. Тут жа вы якраз і ўбачыце поле - метад трансляцыі. Іх, як ужо было сказана вышэй - два.
1. Aitomatic Hide NAT
Па дэфолце гэта Hide. Г.зн. у гэтым выпадку, наша сетка будзе "хавацца" за нейкім публічным ip-адрасам. Пры гэтым адрас можа быць узяты з вонкавага інтэрфейсу шлюза, або можна паказаць нейкі іншы. Такі тып NAT-а часта завуць дынамічным або many-to-one, т.я. некалькі ўнутраных адрасоў транслююцца ў адзін вонкавы. Натуральна, гэта магчыма за кошт выкарыстання розных партоў пры трансляцыі. Hide NAT працуе толькі ў адзін бок (знутры-вонкі) і ідэальна падыходзіць для лакальных сетак, калі трэба проста забяспечыць выйсце ў Інтэрнэт. Калі трафік будзе ініцыявацца са знешняй сеткі, то NAT натуральна не спрацуе. Атрымліваецца яшчэ дадатковая абарона ўнутраных сетак.
2. Automatic Static NAT
Hide NAT усім добры, але магчыма вам трэба забяспечыць доступ са знешняй сеткі да якога-небудзь унутранага сервера. Напрыклад да DMZ-серверу, як у нашым прыкладзе. У гэтым выпадку нам можа дапамагчы Static NAT. Наладжваецца ён таксама даволі проста. Досыць ва ўласцівасцях аб'екта змяніць метад трансляцыі на Static і паказаць публічны IP-адрас, які будзе выкарыстоўвацца для NAT-а (гл. малюнак вышэй). Г.зн. калі хтосьці з вонкавай сеткі звернецца да гэтага адрасу (па любым порце!), то запыт будзе перакінуты на сервер з ужо ўнутраным IP-шнікам. Пры гэтым калі сам сервер будзе выходзіць у Інтэрнэт, то яго IP-шнік таксама зменіцца на ўказаны намі адрас. Г.зн. гэта NAT ў абодва бакі. Яго яшчэ называюць адзін да аднаго і часам выкарыстоўваюць для публічных сервераў. Чаму "часам"? Таму што ў яго ёсць адзін вялікі недахоп - публічны ip-адрас займаецца цалкам (усе парты). Нельга выкарыстоўваць адзін публічны адрас пад розныя ўнутраныя серверы (з рознымі партамі). Напрыклад, HTTP, FTP, SSH, SMTP і г.д. Вырашыць гэтую праблему можа Manual NAT.
Manual NAT
Асаблівасць Manual NAT у тым, што неабходна самастойна ствараць правілы трансляцыі. У той самай укладцы NAT у Access Control Policy. Пры гэтым Manual NAT дазваляе ствараць больш складаныя правілы трансляцыі. Вам даступныя такія палі як: Original Source, Original Destination, Original Services, Translated Source, Translated Destination, Translated Services.
Тут таксама магчымыя два тыпу NAT – Hide і Static.
1. Manual Hide NAT
Hide NAT у дадзеным выпадку можа выкарыстоўвацца ў розных сітуацыях. Пара прыкладаў:
- Пры звароце да нейкага канкрэтнага рэсурсу з лакальнай сеткі вы хочаце выкарыстоўваць іншы адрас для трансляцыі (адрозны ад таго, які выкарыстоўваецца для ўсіх астатніх выпадкаў).
- У лакальнай сетцы велізарная колькасць кампутараў. Automatic Hide NAT тут не падыдзе, т.я. пры такой наладзе можна выставіць усяго адзін публічны IP-адрас, за якім будуць "хавацца" кампутары. Партоў для трансляцыі можа проста не хапіць. Іх, як вы памятаеце, крыху больш за 65 тысяч. Пры гэтым кожны кампутар можа генераваць сотні сесій. Manual Hide NAT дазваляе ў поле Translated Source выставіць пул публічных ip-адрасоў. Тым самым павялічыўшы колькасць магчымых NAT-трансляцый.
2. Manual Static NAT
Static NAT выкарыстоўваецца значна гушчару пры ручным стварэнні правіл трансляцыі. Класічны прыклад - пракід партоў. Выпадак, калі са знешняй сеткі звяртаюцца на публічны IP-адрас (які можа належаць шлюзу) па вызначаным порце і запыт транслюецца на ўнутраны рэсурс. У нашай лабараторнай працы мы пракінем 80 порт да DMZ сервера.
Відэа ўрок
Stay tuned for more and join our ????
Крыніца: habr.com