Добре дошли в урок 8. Урокът е много важен, защото... След завършване ще можете да конфигурирате достъп до Интернет за вашите потребители! Трябва да призная, че много хора спират да се настройват в този момент 🙂 Но ние не сме от тях! И все още ни предстоят много интересни неща. А сега към темата на нашия урок.
Както вероятно вече се досещате, днес ще говорим за NAT. Сигурен съм, че всеки, който гледа този урок, знае какво е NAT. Затова няма да описваме подробно как работи. Просто ще повторя още веднъж, че NAT е технология за превод на адреси, която е измислена, за да спести „бели пари“, т.е. публични IP адреси (тези адреси, които се маршрутизират в Интернет).
В предишния урок вероятно вече сте забелязали, че NAT е част от правилата за контрол на достъпа. Това е съвсем логично. В SmartConsole настройките за NAT са поставени в отделен раздел. Определено ще погледнем там днес. Като цяло в този урок ще обсъдим типовете NAT, ще конфигурираме достъпа до Интернет и ще разгледаме класическия пример за пренасочване на портове. Тези. функционалността, която най-често се използва в компаниите. Да започваме.
Два начина за конфигуриране на NAT
Check Point поддържа два начина за конфигуриране на NAT: Автоматичен NAT и Ръчен NAT. Освен това за всеки от тези методи има два вида превод: Скриване на NAT и Статичен NAT. Най-общо изглежда така на тази снимка:
Разбирам, че най-вероятно сега всичко изглежда много сложно, така че нека разгледаме всеки тип малко по-подробно.
Автоматичен NAT
Това е най-бързият и лесен начин. Конфигурирането на NAT става само с две кликвания. Всичко, което трябва да направите, е да отворите свойствата на желания обект (било то шлюз, мрежа, хост и т.н.), отидете в раздела NAT и проверете „Добавете правила за автоматичен превод на адреси" Тук ще видите полето - методът на превод. Има, както бе споменато по-горе, два от тях.
1. Автоматично скриване на NAT
По подразбиране е Скрий. Тези. в този случай нашата мрежа ще се „скрие“ зад публичен IP адрес. В този случай адресът може да бъде взет от външния интерфейс на шлюза или можете да посочите друг. Този тип NAT често се нарича динамичен или много към едно, защото Няколко вътрешни адреса се преобразуват в един външен. Естествено, това е възможно чрез използване на различни портове при излъчване. Hide NAT работи само в една посока (отвътре навън) и е идеален за локални мрежи, когато просто трябва да осигурите достъп до интернет. Ако трафикът е иницииран от външна мрежа, NAT естествено няма да работи. Оказва се допълнителна защита за вътрешните мрежи.
2. Автоматичен статичен NAT
Скриването на NAT е добро за всички, но може би трябва да предоставите достъп от външна мрежа до някакъв вътрешен сървър. Например към DMZ сървър, както в нашия пример. В този случай може да ни помогне Static NAT. Освен това е доста лесен за настройка. Достатъчно е да промените метода на транслация на Static в свойствата на обекта и да посочите публичния IP адрес, който ще се използва за NAT (вижте снимката по-горе). Тези. ако някой от външната мрежа получи достъп до този адрес (на произволен порт!), заявката ще бъде препратена към сървър с вътрешен IP. Освен това, ако самият сървър влезе онлайн, неговият IP също ще се промени на посочения от нас адрес. Тези. Това е NAT и в двете посоки. Нарича се още едно към едно и понякога се използва за публични сървъри. Защо "понякога"? Защото има един голям недостатък - публичният IP адрес е напълно зает (всички портове). Не можете да използвате един публичен адрес за различни вътрешни сървъри (с различни портове). Например HTTP, FTP, SSH, SMTP и др. Ръчният NAT може да реши този проблем.
Ръчен NAT
Особеността на Manual NAT е, че трябва сами да създадете правила за превод. В същия раздел NAT в правилата за контрол на достъпа. В същото време ръчният NAT ви позволява да създавате по-сложни правила за превод. Достъпни са ви следните полета: Оригинален източник, Оригинална дестинация, Оригинални услуги, Преведен източник, Преведена дестинация, Преведени услуги.
Тук също са възможни два вида NAT - скрит и статичен.
1. Ръчно скриване на NAT
Скриването на NAT в този случай може да се използва в различни ситуации. Няколко примера:
- Когато осъществявате достъп до определен ресурс от локалната мрежа, вие искате да използвате различен адрес за излъчване (различен от този, използван за всички останали случаи).
- В локалната мрежа има огромен брой компютри. Автоматичното скриване на NAT няма да работи тук, защото... С тази настройка е възможно да се зададе само един публичен IP адрес, зад който компютрите ще се „скрият“. Възможно е просто да няма достатъчно портове за излъчване. Има, както си спомняте, малко повече от 65 хиляди. Освен това всеки компютър може да генерира стотици сесии. Ръчното скриване на NAT ви позволява да зададете набор от публични IP адреси в полето Преведен източник. По този начин се увеличава броят на възможните NAT преводи.
2. Ръчен статичен NAT
Статичният NAT се използва много по-често при ръчно създаване на правила за превод. Класически пример е препращането на портове. Случаят, когато публичен IP адрес (който може да принадлежи на шлюз) е достъпен от външна мрежа на определен порт и заявката се превежда към вътрешен ресурс. В нашата лабораторна работа ще препратим порт 80 към DMZ сървъра.
Видео урок
Очаквайте още и се присъединете към нас ????
Източник: www.habr.com