Bonvenon al leciono 8. La leciono estas tre grava, ĉar... Post kompletigo, vi povos agordi Interretan aliron por viaj uzantoj! Mi devas konfesi, ke multaj homoj ĉesas instali ĉi-momente 🙂 Sed ni ne estas unu el ili! Kaj ni ankoraŭ havas multajn interesajn aferojn antaŭ ol. Kaj nun al la temo de nia leciono.
Kiel vi verŝajne jam divenis, hodiaŭ ni parolos pri NAT. Mi certas, ke ĉiuj, kiuj spektas ĉi tiun lecionon, scias kio estas NAT. Tial ni ne detale priskribos kiel ĝi funkcias. Mi nur ripetos denove, ke NAT estas adrestraduka teknologio, kiu estis elpensita por ŝpari "blankan monon", t.e. publikaj IP-oj (tiuj adresoj, kiuj estas direktitaj en la Interreto).
En la antaŭa leciono, vi verŝajne jam rimarkis, ke NAT estas parto de la politiko de Alirkontrolo. Ĉi tio estas sufiĉe logika. En SmartConsole, NAT-agordoj estas metitaj en apartan langeton. Ni certe rigardos tien hodiaŭ. Ĝenerale, en ĉi tiu leciono ni diskutos NAT-tipojn, agordos Interretan aliron kaj rigardos la klasikan ekzemplon de havena plusendado. Tiuj. la funkcio kiu estas plej ofte uzata en kompanioj. Ni komencu.
Du manieroj agordi NAT
Check Point subtenas du manierojn agordi NAT: Aŭtomata NAT и Manlibro NAT. Krome, por ĉiu el ĉi tiuj metodoj ekzistas du specoj de tradukado: Kaŝi NAT и Statika NAT. Ĝenerale ĝi aspektas kiel ĉi tiu bildo:
Mi komprenas, ke plej verŝajne ĉio aspektas tre komplika nun, do ni rigardu ĉiun tipon iom pli detale.
Aŭtomata NAT
Ĉi tio estas la plej rapida kaj facila maniero. Agordo de NAT estas farita per nur du klakoj. Ĉio, kion vi bezonas fari, estas malfermi la ecojn de la dezirata objekto (ĉu ĝi estas enirejo, reto, gastiganto, ktp.), iru al la langeto NAT kaj kontrolu la "Aldonu regulojn pri aŭtomata tradukadreso" Ĉi tie vi vidos la kampon - la tradukmetodon. Estas, kiel menciite supre, du el ili.
1. Aitomatic Hide NAT
Defaŭlte ĝi estas Kaŝi. Tiuj. en ĉi tiu kazo, nia reto "kaŝiĝos" malantaŭ iu publika IP-adreso. En ĉi tiu kazo, la adreso povas esti prenita de la ekstera interfaco de la enirejo, aŭ vi povas specifi iun alian. Ĉi tiu tipo de NAT estas ofte nomata dinamika aŭ mult-al-unu, ĉar Pluraj internaj adresoj estas tradukitaj en unu eksteran. Kompreneble, ĉi tio eblas uzante malsamajn havenojn dum dissendado. Kaŝi NAT funkcias nur en unu direkto (de interne al ekstere) kaj estas ideala por lokaj retoj kiam vi nur bezonas disponigi aliron al la Interreto. Se trafiko estas komencita de ekstera reto, tiam NAT nature ne funkcios. Ĝi rezultas esti plia protekto por internaj retoj.
2. Aŭtomata Statika NAT
Kaŝi NAT estas bona por ĉiuj, sed eble vi devas disponigi aliron de ekstera reto al iu interna servilo. Ekzemple, al DMZ-servilo, kiel en nia ekzemplo. En ĉi tiu kazo, Static NAT povas helpi nin. Ĝi ankaŭ estas sufiĉe facile agordi. Sufiĉas ŝanĝi la tradukmetodon al Statika en la objektopropraĵoj kaj specifi la publikan IP-adreson, kiu estos uzata por NAT (vidu la supran bildon). Tiuj. se iu el la ekstera reto aliras ĉi tiun adreson (en iu ajn haveno!), tiam la peto estos plusendita al servilo kun interna IP. Plie, se la servilo mem enretas, ĝia IP ankaŭ ŝanĝiĝos al la adreso, kiun ni specifis. Tiuj. Ĉi tio estas NAT en ambaŭ direktoj. Ĝi ankaŭ estas nomita unu al unu kaj foje uzata por publikaj serviloj. Kial "foje"? Ĉar ĝi havas unu grandan malavantaĝon - la publika IP-adreso estas tute okupita (ĉiuj havenoj). Vi ne povas uzi unu publikan adreson por malsamaj internaj serviloj (kun malsamaj havenoj). Ekzemple HTTP, FTP, SSH, SMTP, ktp. Manlibro NAT povas solvi ĉi tiun problemon.
Manlibro NAT
La propreco de Manlibro NAT estas, ke vi devas mem krei tradukregulojn. En la sama NAT-langeto en Politiko pri Alirkontrolo. Samtempe, Manlibro NAT permesas krei pli kompleksajn tradukregulojn. La jenaj kampoj disponeblas al vi: Originala Fonto, Originala Celo, Originalaj Servoj, Tradukita Fonto, Tradukita Celo, Tradukita Servoj.
Estas ankaŭ du specoj de NAT eblaj ĉi tie - Kaŝi kaj Statika.
1. Manlibro Kaŝi NAT
Kaŝi NAT en ĉi tiu kazo povas esti uzata en malsamaj situacioj. Paro da ekzemploj:
- Kiam vi aliras specifan rimedon de la loka reto, vi volas uzi malsaman elsendo-adreson (malsama ol tiu uzata por ĉiuj aliaj kazoj).
- Estas grandega nombro da komputiloj en la loka reto. Aŭtomata Kaŝi NAT ne funkcios ĉi tie, ĉar... Kun ĉi tiu aranĝo, eblas agordi nur unu publikan IP-adreson, malantaŭ kiu komputiloj "kaŝiĝos". Eble simple ne estas sufiĉe da havenoj por dissendado. Estas, kiel vi memoras, iom pli ol 65 mil. Krome, ĉiu komputilo povas generi centojn da sesioj. Manlibro Kaŝi NAT ebligas al vi agordi aron da publikaj IP-adresoj en la kampo Tradukita Fonto. Tiel pliigante la nombron da eblaj NAT-tradukoj.
2.Manlibro Statika NAT
Statika NAT estas uzata multe pli ofte dum mane kreado de tradukreguloj. Klasika ekzemplo estas havena plusendado. La kazo kiam publika IP-adreso (kiu povas aparteni al enirejo) estas alirita de ekstera reto sur specifa haveno kaj la peto estas tradukita al interna rimedo. En nia laboratoria laboro, ni plusendos la havenon 80 al la DMZ-servilo.
Videoleciono
Restu agordita por pli kaj aliĝu al nia 🙂
fonto: www.habr.com