Bienvenidos a la lección 8. La lección es muy importante, porque... Al finalizar, podrá configurar el acceso a Internet para sus usuarios. Debo admitir que mucha gente deja de configurarse en este punto 🙂 ¡Pero nosotros no somos uno de ellos! Y todavía tenemos muchas cosas interesantes por delante. Y ahora al tema de nuestra lección.
Como probablemente ya habrás adivinado, hoy hablaremos de NAT. Estoy seguro de que todos los que vean esta lección saben qué es NAT. Por lo tanto, no describiremos en detalle cómo funciona. Simplemente repetiré una vez más que NAT es una tecnología de traducción de direcciones que se inventó para ahorrar "dinero blanco", es decir, IP públicas (aquellas direcciones que se enrutan en Internet).
En la lección anterior, probablemente ya hayas notado que NAT es parte de la política de Control de acceso. Esto es bastante lógico. En SmartConsole, la configuración de NAT se coloca en una pestaña separada. Definitivamente buscaremos allí hoy. En general, en esta lección discutiremos los tipos de NAT, configuraremos el acceso a Internet y veremos el ejemplo clásico de reenvío de puertos. Aquellos. la funcionalidad que más se utiliza en las empresas. Empecemos.
Dos formas de configurar NAT
Check Point admite dos formas de configurar NAT: NAT automática и NAT manuales. Además, para cada uno de estos métodos existen dos tipos de traducción: Ocultar NAT и NAT estática. En general se parece a esta imagen:
Entiendo que lo más probable es que ahora todo parezca muy complicado, así que veamos cada tipo con un poco más de detalle.
NAT automática
Esta es la forma más rápida y sencilla. La configuración de NAT se realiza con solo dos clics. Todo lo que necesita hacer es abrir las propiedades del objeto deseado (ya sea puerta de enlace, red, host, etc.), ir a la pestaña NAT y marcar la casilla "Agregar reglas de traducción automática de direcciones" Aquí verá el campo: el método de traducción. Hay, como se mencionó anteriormente, dos de ellos.
1. Ocultar NAT automático
Por defecto es Ocultar. Aquellos. en este caso, nuestra red se “esconderá” detrás de alguna dirección IP pública. En este caso, la dirección se puede tomar de la interfaz externa de la puerta de enlace o se puede especificar alguna otra. Este tipo de NAT a menudo se denomina dinámico o muchos a uno, porque Varias direcciones internas se traducen en una externa. Naturalmente, esto es posible utilizando diferentes puertos durante la transmisión. Hide NAT funciona solo en una dirección (de adentro hacia afuera) y es ideal para redes locales cuando solo necesita proporcionar acceso a Internet. Si el tráfico se inicia desde una red externa, entonces, naturalmente, NAT no funcionará. Resulta ser una protección adicional para las redes internas.
2. NAT estática automática
Ocultar NAT es bueno para todos, pero quizás necesite proporcionar acceso desde una red externa a algún servidor interno. Por ejemplo, a un servidor DMZ, como en nuestro ejemplo. En este caso la NAT estática nos puede ayudar. También es bastante fácil de configurar. Basta con cambiar el método de traducción a Estático en las propiedades del objeto y especificar la dirección IP pública que se utilizará para NAT (ver imagen de arriba). Aquellos. Si alguien de la red externa accede a esta dirección (¡en cualquier puerto!), la solicitud se reenviará a un servidor con una IP interna. Además, si el servidor se conecta, su IP también cambiará a la dirección que especificamos. Aquellos. Esto es NAT en ambas direcciones. También es llamado chat de texto y a veces se utiliza para servidores públicos. ¿Por qué “a veces”? Porque tiene un gran inconveniente: la dirección IP pública está completamente ocupada (todos los puertos). No puede utilizar una dirección pública para diferentes servidores internos (con diferentes puertos). Por ejemplo HTTP, FTP, SSH, SMTP, etc. La NAT manual puede resolver este problema.
NAT manuales
La peculiaridad de NAT manual es que usted mismo debe crear las reglas de traducción. En la misma pestaña NAT en Política de control de acceso. Al mismo tiempo, NAT manual le permite crear reglas de traducción más complejas. Los siguientes campos están disponibles para usted: Fuente original, Destino original, Servicios originales, Fuente traducida, Destino traducido, Servicios traducidos.
Aquí también son posibles dos tipos de NAT: Oculto y Estático.
1. Ocultar NAT manualmente
Ocultar NAT en este caso se puede utilizar en diferentes situaciones. Un par de ejemplos:
- Al acceder a un recurso específico desde la red local, desea utilizar una dirección de transmisión diferente (diferente a la utilizada en todos los demás casos).
- Hay una gran cantidad de computadoras en la red local. Ocultar NAT automática no funcionará aquí, porque... Con esta configuración, es posible configurar sólo una dirección IP pública, detrás de la cual se “ocultarán” las computadoras. Puede que simplemente no haya suficientes puertos para transmitir. Son, como recordarás, un poco más de 65 mil. Además, cada computadora puede generar cientos de sesiones. Manual Hide NAT le permite configurar un grupo de direcciones IP públicas en el campo Fuente traducida. Aumentando así el número de posibles traducciones NAT.
2.NAT estática manual
La NAT estática se utiliza con mucha más frecuencia cuando se crean reglas de traducción manualmente. Un ejemplo clásico es el reenvío de puertos. El caso en el que se accede a una dirección IP pública (que puede pertenecer a una puerta de enlace) desde una red externa en un puerto específico y la solicitud se traduce a un recurso interno. En nuestro trabajo de laboratorio, reenviaremos el puerto 80 al servidor DMZ.
Video tutorial
Estén atentos para más y únanse a nosotros 🙂
Fuente: habr.com