Vítejte v lekci 8. Lekce je velmi důležitá, protože... Po dokončení budete moci nakonfigurovat přístup k internetu pro vaše uživatele! Musím přiznat, že mnoho lidí v tuto chvíli přestává nastavovat 🙂 Ale my mezi ně nepatříme! A ještě nás čeká spousta zajímavých věcí. A nyní k tématu naší lekce.
Jak už asi tušíte, dnes budeme mluvit o NAT. Jsem si jistý, že každý, kdo sleduje tuto lekci, ví, co je NAT. Proto nebudeme podrobně popisovat, jak to funguje. Jen ještě jednou zopakuji, že NAT je technologie překladu adres, která byla vynalezena za účelem úspory „bílých peněz“, tzn. veřejné IP (ty adresy, které jsou směrovány na internetu).
V předchozí lekci jste si pravděpodobně již všimli, že NAT je součástí zásad řízení přístupu. To je celkem logické. V SmartConsole jsou nastavení NAT umístěna na samostatné kartě. Dnes se tam určitě podíváme. Obecně v této lekci probereme typy NAT, nakonfigurujeme přístup k internetu a podíváme se na klasický příklad přesměrování portů. Tito. funkcionalitu, která se ve firmách používá nejčastěji. Začněme.
Dva způsoby konfigurace NAT
Check Point podporuje dva způsoby konfigurace NAT: Automatický NAT и Manuální NAT. Navíc pro každou z těchto metod existují dva typy překladu: Skrýt NAT и Statický NAT. Obecně to vypadá takto:
Chápu, že s největší pravděpodobností nyní vše vypadá velmi složitě, takže se na každý typ podíváme trochu podrobněji.
Automatický NAT
Toto je nejrychlejší a nejjednodušší způsob. Konfigurace NAT se provádí pouhými dvěma kliknutími. Vše, co musíte udělat, je otevřít vlastnosti požadovaného objektu (ať už je to brána, síť, hostitel atd.), přejít na kartu NAT a zaškrtnout „Přidejte pravidla automatického překladu adres" Zde uvidíte pole – metoda překladu. Jsou, jak již bylo zmíněno výše, dva.
1. Aitomatic Hide NAT
Ve výchozím nastavení je to Skrýt. Tito. v tomto případě se naše síť „schová“ za nějakou veřejnou IP adresu. V tomto případě může být adresa převzata z externího rozhraní brány, nebo můžete zadat jinou. Tento typ NAT je často nazýván dynamickým resp mnoho ku jedné, protože Několik interních adres je přeloženo do jedné externí. Přirozeně je to možné použitím různých portů při vysílání. Hide NAT funguje pouze v jednom směru (zevnitř ven) a je ideální pro místní sítě, když potřebujete pouze poskytnout přístup k internetu. Pokud je provoz zahájen z externí sítě, NAT přirozeně nebude fungovat. Ukázalo se, že jde o další ochranu vnitřních sítí.
2. Automatický statický NAT
Hide NAT je dobré pro každého, ale možná budete muset poskytnout přístup z externí sítě na nějaký interní server. Například na server DMZ, jako v našem příkladu. V tomto případě nám může pomoci Statický NAT. Je také docela snadné nastavit. Stačí ve vlastnostech objektu změnit způsob překladu na Statický a zadat veřejnou IP adresu, která bude použita pro NAT (viz obrázek výše). Tito. pokud někdo z externí sítě přistoupí na tuto adresu (na libovolném portu!), bude požadavek předán na server s interní IP. Navíc, pokud se server sám přepne do režimu online, jeho IP se také změní na adresu, kterou jsme zadali. Tito. Toto je NAT v obou směrech. Říká se tomu také one-to-one a někdy se používá pro veřejné servery. Proč "někdy"? Protože to má jeden velký nedostatek – veřejná IP adresa je kompletně obsazená (všechny porty). Nemůžete použít jednu veřejnou adresu pro různé interní servery (s různými porty). Například HTTP, FTP, SSH, SMTP atd. Ruční NAT může tento problém vyřešit.
Manuální NAT
Zvláštností Manual NAT je, že si musíte pravidla překladu vytvořit sami. Na stejné kartě NAT v Zásadách řízení přístupu. Ruční NAT zároveň umožňuje vytvářet složitější pravidla překladu. K dispozici máte následující pole: Původní zdroj, Původní cíl, Původní služby, Přeložený zdroj, Přeložený cíl, Přeložené služby.
Jsou zde také možné dva typy NAT – Hide a Static.
1. Ručně skrýt NAT
Hide NAT v tomto případě lze použít v různých situacích. Pár příkladů:
- Při přístupu k určitému zdroji z místní sítě chcete použít jinou vysílací adresu (odlišnou od adresy používané pro všechny ostatní případy).
- V lokální síti je obrovské množství počítačů. Automatické Hide NAT zde nebude fungovat, protože... Při tomto nastavení je možné nastavit pouze jednu veřejnou IP adresu, za kterou se budou počítače „schovávat“. Pro vysílání nemusí být dostatek portů. Jak si vzpomínáte, je jich o něco více než 65 tisíc. Navíc každý počítač může generovat stovky relací. Ruční skrytí NAT umožňuje nastavit fond veřejných IP adres v poli Přeložený zdroj. Tím se zvyšuje počet možných překladů NAT.
2.Manuální statický NAT
Statický NAT se používá mnohem častěji při ručním vytváření pravidel překladu. Klasickým příkladem je přesměrování portů. Případ, kdy je veřejná IP adresa (která může patřit bráně) přístupná z externí sítě na konkrétním portu a požadavek je přeložen na interní zdroj. V naší laboratorní práci předáme port 80 na server DMZ.
Výukový program pro video
Zůstaňte naladěni na další a připojte se k nám ????
Zdroj: www.habr.com