¡Saludos! Bienvenidos a la quinta lección del curso. . En Hemos descubierto cómo funcionan las políticas de seguridad. Ahora es el momento de liberar a los usuarios locales a Internet. Para ello, en esta lección veremos el funcionamiento del mecanismo NAT.
Además de liberar a los usuarios a Internet, también veremos un método para publicar servicios internos. Debajo del corte hay una breve teoría del video, así como la lección en video en sí.
La tecnología NAT (traducción de direcciones de red) es un mecanismo para convertir direcciones IP de paquetes de red. En términos de Fortinet, NAT se divide en dos tipos: NAT de origen y NAT de destino.
Los nombres hablan por sí solos: cuando se usa NAT de origen, la dirección de origen cambia, cuando se usa NAT de destino, la dirección de destino cambia.
Además, también hay varias opciones para configurar NAT: Política de firewall NAT y NAT central.
Cuando se utiliza la primera opción, se debe configurar la NAT de origen y de destino para cada política de seguridad. En este caso, la NAT de origen utiliza la dirección IP de la interfaz saliente o un grupo de IP preconfigurado. La NAT de destino utiliza un objeto preconfigurado (el llamado VIP - IP virtual) como dirección de destino.
Cuando se utiliza NAT central, la configuración de NAT de origen y destino se realiza para todo el dispositivo (o dominio virtual) a la vez. En este caso, la configuración de NAT se aplica a todas las políticas, según las reglas de NAT de origen y NAT de destino.
Las reglas de NAT de origen se configuran en la política central de NAT de origen. La NAT de destino se configura desde el menú DNAT utilizando direcciones IP.
En esta lección, consideraremos solo la Política de firewall NAT; como muestra la práctica, esta opción de configuración es mucho más común que la NAT central.
Como ya dije, al configurar Firewall Policy Source NAT, hay dos opciones de configuración: reemplazar la dirección IP con la dirección de la interfaz saliente, o con una dirección IP de un grupo de direcciones IP preconfiguradas. Se parece al que se muestra en la siguiente figura. A continuación, hablaré brevemente sobre posibles grupos, pero en la práctica solo consideraremos la opción con la dirección de la interfaz saliente; en nuestro diseño, no necesitamos grupos de direcciones IP.
Un grupo de IP define una o más direcciones IP que se utilizarán como dirección de origen durante una sesión. Estas direcciones IP se utilizarán en lugar de la dirección IP de la interfaz saliente de FortiGate.
Hay 4 tipos de grupos de IP que se pueden configurar en FortiGate:
- Sobrecarga
- Doce y cincuenta y nueve de la noche
- Rango de puertos fijos
- Asignación de bloques de puertos
La sobrecarga es el grupo de IP principal. Convierte direcciones IP utilizando un esquema de muchos a uno o de muchos a muchos. También se utiliza la traducción de puertos. Considere el circuito que se muestra en la siguiente figura. Tenemos un paquete con campos de Origen y Destino definidos. Si se encuentra bajo una política de firewall que permite que este paquete acceda a la red externa, se le aplica una regla NAT. Como resultado, en este paquete el campo Fuente se reemplaza con una de las direcciones IP especificadas en el grupo de IP.
Un grupo Uno a Uno también define muchas direcciones IP externas. Cuando un paquete cae bajo una política de firewall con la regla NAT habilitada, la dirección IP en el campo Fuente se cambia a una de las direcciones que pertenecen a este grupo. El reemplazo sigue la regla de “primero en entrar, primero en salir”. Para que quede más claro, veamos un ejemplo.
Una computadora en la red local con dirección IP 192.168.1.25 envía un paquete a la red externa. Está bajo la regla NAT y el campo Fuente se cambia a la primera dirección IP del grupo, en nuestro caso es 83.235.123.5. Vale la pena señalar que cuando se utiliza este grupo de IP, no se utiliza la traducción de puertos. Si después de esto una computadora de la misma red local, con una dirección de, digamos, 192.168.1.35, envía un paquete a una red externa y también cae bajo esta regla NAT, la dirección IP en el campo Fuente de este paquete cambiará a 83.235.123.6. Si no quedan más direcciones en el grupo, se rechazarán las conexiones posteriores. Es decir, en este caso, 4 computadoras pueden estar bajo nuestra regla NAT al mismo tiempo.
El rango de puertos fijos conecta rangos internos y externos de direcciones IP. La traducción de puertos también está deshabilitada. Esto le permite asociar permanentemente el principio o el final de un grupo de direcciones IP internas con el principio o el final de un grupo de direcciones IP externas. En el siguiente ejemplo, el grupo de direcciones interno 192.168.1.25 - 192.168.1.28 se asigna al grupo de direcciones externo 83.235.123.5 - 83.235.125.8.
Asignación de bloques de puertos: este grupo de IP se utiliza para asignar un bloque de puertos para los usuarios del grupo de IP. Además del grupo de IP en sí, aquí también se deben especificar dos parámetros: el tamaño del bloque y la cantidad de bloques asignados para cada usuario.
Ahora veamos la tecnología Destination NAT. Se basa en direcciones IP virtuales (VIP). Para los paquetes que caen bajo las reglas NAT de destino, la dirección IP en el campo Destino cambia: normalmente la dirección pública de Internet cambia a la dirección privada del servidor. Las direcciones IP virtuales se utilizan en las políticas de firewall como el campo Destino.
El tipo estándar de direcciones IP virtuales es NAT estática. Esta es una correspondencia uno a uno entre direcciones externas e internas.
En lugar de NAT estática, las direcciones virtuales se pueden limitar reenviando puertos específicos. Por ejemplo, asocie conexiones a una dirección externa en el puerto 8080 con una conexión a una dirección IP interna en el puerto 80.
En el siguiente ejemplo, una computadora con la dirección 172.17.10.25 intenta acceder a la dirección 83.235.123.20 en el puerto 80. Esta conexión se rige por la regla DNAT, por lo que la dirección IP de destino se cambia a 10.10.10.10.
El video analiza la teoría y también proporciona ejemplos prácticos de configuración de NAT de origen y destino.
En las próximas lecciones pasaremos a garantizar la seguridad de los usuarios en Internet. Específicamente, la próxima lección discutirá la funcionalidad del filtrado web y el control de aplicaciones. Para no perdértelo, sigue las actualizaciones en los siguientes canales:
Fuente: habr.com