Dobrodošli na lekciju 8. Lekcija je veoma važna, jer... Po završetku, moći ćete konfigurirati pristup Internetu za svoje korisnike! Moram priznati da mnogi ljudi prestaju sa postavljanjem u ovom trenutku 🙂 Ali mi nismo jedni od njih! A pred nama je još puno zanimljivih stvari. A sada na temu naše lekcije.
Kao što ste vjerovatno već pretpostavili, danas ćemo govoriti o NAT-u. Siguran sam da svi koji gledaju ovu lekciju znaju šta je NAT. Stoga nećemo detaljno opisivati kako to funkcionira. Samo ću još jednom ponoviti da je NAT tehnologija prevođenja adresa koja je izmišljena da uštedi "bijeli novac", tj. javne IP adrese (one adrese koje se rutiraju na Internetu).
U prethodnoj lekciji ste verovatno već primetili da je NAT deo politike kontrole pristupa. Ovo je sasvim logično. U SmartConsole, NAT postavke su smještene u posebnu karticu. Danas ćemo tamo svakako pogledati. Općenito, u ovoj lekciji ćemo raspravljati o NAT tipovima, konfigurirati pristup Internetu i pogledati klasični primjer prosljeđivanja portova. One. funkcionalnost koja se najčešće koristi u kompanijama. Hajde da počnemo.
Dva načina za konfiguraciju NAT-a
Check Point podržava dva načina za konfiguraciju NAT-a: Automatski NAT и Manual NAT. Štaviše, za svaku od ovih metoda postoje dvije vrste prijevoda: Sakrij NAT и Statički NAT. Generalno to izgleda ovako:
Razumijem da najvjerovatnije sada sve izgleda vrlo komplikovano, pa hajde da pogledamo svaki tip malo detaljnije.
Automatski NAT
Ovo je najbrži i najlakši način. Konfigurisanje NAT-a se vrši u samo dva klika. Sve što treba da uradite je da otvorite svojstva željenog objekta (bilo da je to gateway, mreža, host itd.), idite na karticu NAT i označite „Dodajte pravila za automatsko prevođenje adresa" Ovdje ćete vidjeti polje - metoda prijevoda. Postoje, kao što je gore pomenuto, dva.
1. Aitomatic Sakrij NAT
Podrazumevano je Sakrij. One. u ovom slučaju, naša mreža će se „sakriti“ iza neke javne IP adrese. U ovom slučaju, adresa se može preuzeti sa eksternog interfejsa gateway-a, ili možete odrediti neku drugu. Ovaj tip NAT-a se često naziva dinamičkim ili više na jedan, jer Nekoliko internih adresa se prevodi u jednu eksternu. Naravno, to je moguće korištenjem različitih portova prilikom emitiranja. Hide NAT radi samo u jednom smjeru (iznutra prema van) i idealan je za lokalne mreže kada samo trebate omogućiti pristup Internetu. Ako je promet pokrenut iz vanjske mreže, tada NAT naravno neće raditi. Ispostavilo se da je to dodatna zaštita za interne mreže.
2. Automatski statički NAT
Sakrij NAT je dobro za sve, ali možda trebate omogućiti pristup sa vanjske mreže nekom internom serveru. Na primjer, na DMZ server, kao u našem primjeru. U ovom slučaju nam može pomoći statički NAT. Takođe je prilično jednostavan za postavljanje. Dovoljno je promijeniti metod prevođenja u Static u svojstvima objekta i navesti javnu IP adresu koja će se koristiti za NAT (pogledajte sliku iznad). One. ako neko iz eksterne mreže pristupi ovoj adresi (na bilo kom portu!), onda će zahtev biti prosleđen serveru sa internom IP-om. Štaviše, ako sam server bude na mreži, njegov IP će se takođe promeniti na adresu koju smo naveli. One. Ovo je NAT u oba smjera. Takođe se zove jedan-na-jedan a ponekad se koristi za javne servere. Zašto “ponekad”? Jer ima jedan veliki nedostatak - javna IP adresa je potpuno zauzeta (svi portovi). Ne možete koristiti jednu javnu adresu za različite interne servere (sa različitim portovima). Na primjer HTTP, FTP, SSH, SMTP, itd. Ručni NAT može riješiti ovaj problem.
Manual NAT
Posebnost ručnog NAT-a je da morate sami kreirati pravila prevođenja. Na istoj kartici NAT u Politici kontrole pristupa. Istovremeno, Manual NAT vam omogućava da kreirate složenija pravila prevođenja. Dostupna su vam sljedeća polja: Originalni izvor, Originalno odredište, Originalne usluge, Prevedeni izvor, Prevedeno odredište, Prevedene usluge.
Ovdje su također moguće dvije vrste NAT-a - Hide i Static.
1. Ručno Sakrij NAT
Sakrij NAT u ovom slučaju se može koristiti u različitim situacijama. par primjera:
- Kada pristupate određenom resursu iz lokalne mreže, želite da koristite drugu adresu emitovanja (različitu od one koja se koristi za sve ostale slučajeve).
- Postoji ogroman broj računara na lokalnoj mreži. Automatsko sakrivanje NAT-a ovdje neće raditi, jer... Ovim podešavanjem moguće je postaviti samo jednu javnu IP adresu iza koje će se računari „skrivati“. Možda jednostavno nema dovoljno portova za emitovanje. Ima ih, kao što se sjećate, nešto više od 65 hiljada. Štaviše, svaki računar može generirati stotine sesija. Ručno sakrivanje NAT-a vam omogućava da postavite skup javnih IP adresa u polju Translated Source. Time se povećava broj mogućih NAT prijevoda.
2.Ručni statički NAT
Statički NAT se mnogo češće koristi kada se ručno kreiraju pravila prevođenja. Klasičan primjer je prosljeđivanje portova. Slučaj kada se javnoj IP adresi (koja može pripadati gateway-u) pristupa sa eksterne mreže na određenom portu i zahtjev se prevodi na interni resurs. U našem laboratorijskom radu, port 80 ćemo proslijediti na DMZ server.
Video lekcija
Pratite nas za više i pridružite nam se 🙂
izvor: www.habr.com