Benvingut a la lliçó 8. La lliçó és molt important, perquè... Un cop finalitzat, podreu configurar l'accés a Internet per als vostres usuaris! He de reconèixer que molta gent deixa de muntar-se en aquest moment 🙂 Però no som un d'ells! I encara tenim moltes coses interessants per davant. I ara al tema de la nostra lliçó.
Com segurament ja has endevinat, avui parlarem de NAT. Estic segur que tothom que vegi aquesta lliçó sap què és el NAT. Per tant, no descriurem amb detall com funciona. Només repetiré una vegada més que NAT és una tecnologia de traducció d'adreces que es va inventar per estalviar "diners blancs", és a dir. IP públiques (aquelles adreces que s'encaminen a Internet).
A la lliçó anterior, probablement ja us heu adonat que NAT forma part de la política de control d'accés. Això és força lògic. A SmartConsole, la configuració de NAT es col·loca en una pestanya independent. Segur que avui hi mirarem. En general, en aquesta lliçó parlarem dels tipus de NAT, configurarem l'accés a Internet i veurem l'exemple clàssic de reenviament de ports. Aquells. la funcionalitat que s'utilitza més sovint a les empreses. Comencem.
Dues maneres de configurar NAT
Check Point admet dues maneres de configurar NAT: NAT automàtic и Manual NAT. A més, per a cadascun d'aquests mètodes hi ha dos tipus de traducció: Amaga el NAT и NAT estàtic. En general, sembla aquesta imatge:
Entenc que el més probable és que ara tot sembli molt complicat, així que mirem cada tipus amb una mica més de detall.
NAT automàtic
Aquesta és la manera més ràpida i senzilla. La configuració de NAT es fa amb només dos clics. Tot el que heu de fer és obrir les propietats de l'objecte desitjat (ja sigui passarel·la, xarxa, host, etc.), aneu a la pestanya NAT i marqueu "Afegiu regles de traducció automàtica d'adreces" Aquí veureu el camp: el mètode de traducció. N'hi ha, com s'ha dit anteriorment, dos d'ells.
1. Aitomatic Hide NAT
Per defecte és Oculta. Aquells. en aquest cas, la nostra xarxa s'"amagarà" darrere d'alguna adreça IP pública. En aquest cas, l'adreça es pot prendre des de la interfície externa de la passarel·la, o podeu especificar-ne una altra. Aquest tipus de NAT sovint s'anomena dinàmic o molts a un, perquè Diverses adreces internes es tradueixen a una de externa. Naturalment, això és possible utilitzant diferents ports durant l'emissió. Hide NAT només funciona en una direcció (des de dins cap a fora) i és ideal per a xarxes locals quan només necessiteu proporcionar accés a Internet. Si el trànsit s'inicia des d'una xarxa externa, NAT, naturalment, no funcionarà. Resulta ser una protecció addicional per a les xarxes internes.
2. NAT estàtic automàtic
Ocultar NAT és bo per a tothom, però potser haureu de proporcionar accés des d'una xarxa externa a algun servidor intern. Per exemple, a un servidor DMZ, com en el nostre exemple. En aquest cas, la NAT estàtica ens pot ajudar. També és bastant fàcil de configurar. N'hi ha prou amb canviar el mètode de traducció a Static a les propietats de l'objecte i especificar l'adreça IP pública que s'utilitzarà per a NAT (vegeu la imatge de dalt). Aquells. si algú de la xarxa externa accedeix a aquesta adreça (a qualsevol port!), aleshores la sol·licitud es reenviarà a un servidor amb una IP interna. A més, si el servidor mateix es connecta, la seva IP també canviarà a l'adreça que hem especificat. Aquells. Això és NAT en ambdues direccions. També s'anomena un a un i de vegades s'utilitza per a servidors públics. Per què "de vegades"? Com que té un gran inconvenient: l'adreça IP pública està completament ocupada (tots els ports). No podeu utilitzar una adreça pública per a diferents servidors interns (amb ports diferents). Per exemple, HTTP, FTP, SSH, SMTP, etc. El NAT manual pot resoldre aquest problema.
Manual NAT
La particularitat de Manual NAT és que cal que creeu les regles de traducció vosaltres mateixos. A la mateixa pestanya NAT a Política de control d'accés. Al mateix temps, Manual NAT us permet crear regles de traducció més complexes. Teniu a la vostra disposició els camps següents: Font original, Destinació original, Serveis originals, Font traduïda, Destinació traduïda, Serveis traduïts.
També hi ha dos tipus de NAT possibles aquí: amagar i estàtic.
1. Manual Amaga NAT
Ocultar NAT en aquest cas es pot utilitzar en diferents situacions. Un parell d'exemples:
- Quan accediu a un recurs específic des de la xarxa local, voleu utilitzar una adreça de difusió diferent (diferent de la que s'utilitza per a la resta de casos).
- Hi ha un gran nombre d'ordinadors a la xarxa local. L'ocultació automàtica de NAT no funcionarà aquí, perquè... Amb aquesta configuració, només és possible establir una adreça IP pública, darrere de la qual els ordinadors s'"amagaran". És possible que no hi hagi prou ports per a la transmissió. N'hi ha, com recordeu, una mica més de 65 mil. A més, cada ordinador pot generar centenars de sessions. Manual Hide NAT us permet establir un conjunt d'adreces IP públiques al camp Font traduïda. Augmentant així el nombre de traduccions NAT possibles.
2.NAT estàtic manual
La NAT estàtica s'utilitza molt més sovint quan es crea manualment regles de traducció. Un exemple clàssic és el reenviament de ports. El cas quan s'accedeix a una adreça IP pública (que pot pertànyer a una passarel·la) des d'una xarxa externa en un port específic i la sol·licitud es tradueix a un recurs intern. En el nostre treball de laboratori, reenviarem el port 80 al servidor DMZ.
Vídeo tutorial
Estigueu atents per a més i uneix-te a nosaltres 🙂
Font: www.habr.com