Tere tulemast 8. õppetundi. Õppetund on väga oluline, sest... Pärast lõpetamist saate oma kasutajate jaoks Interneti-juurdepääsu konfigureerida! Pean tunnistama, et paljud inimesed lõpetavad sel hetkel seadistamise 🙂 Aga me ei kuulu nende hulka! Ja meil on veel palju huvitavat ees. Ja nüüd meie õppetunni teema juurde.
Nagu te ilmselt juba arvasite, räägime täna NAT-ist. Olen kindel, et kõik, kes seda õppetundi vaatavad, teavad, mis on NAT. Seetõttu me ei kirjelda üksikasjalikult, kuidas see toimib. Kordan veel kord, et NAT on aadressi tõlketehnoloogia, mis leiutati “valge raha” säästmiseks, st. avalikud IP-aadressid (need aadressid, mis suunatakse Internetis).
Eelmises õppetükis märkasite ilmselt juba, et NAT on osa juurdepääsukontrolli poliitikast. See on üsna loogiline. SmartConsole'is paigutatakse NAT-i sätted eraldi vahekaardile. Täna vaatame kindlasti sinna. Üldiselt käsitleme selles õppetükis NAT-tüüpe, konfigureerime Interneti-juurdepääsu ja vaatame pordi edastamise klassikalist näidet. Need. funktsionaalsus, mida ettevõtetes kõige sagedamini kasutatakse. Alustame.
NAT-i konfigureerimiseks on kaks võimalust
Check Point toetab kahte võimalust NAT-i konfigureerimiseks: Automaatne NAT и Manuaalne NAT. Lisaks on mõlema meetodi jaoks kahte tüüpi tõlkeid: Peida NAT и Staatiline NAT. Üldiselt näeb see välja selline pilt:
Ma saan aru, et tõenäoliselt tundub kõik praegu väga keeruline, nii et vaatame iga tüüpi veidi üksikasjalikumalt.
Automaatne NAT
See on kiireim ja lihtsaim viis. NAT-i konfigureerimine toimub vaid kahe klõpsuga. Kõik, mida pead tegema, on avada soovitud objekti atribuudid (olgu see siis lüüs, võrk, host jne), minna vahekaardile NAT ja kontrollida "Lisage aadresside automaatse tõlkimise reeglid" Siin näete välja - tõlkemeetodit. Nagu eespool mainitud, on neid kaks.
1. Aitomatic Hide NAT
Vaikimisi on see Peida. Need. sel juhul meie võrk "peidab" mõne avaliku IP-aadressi taha. Sel juhul saab aadressi võtta lüüsi väliselt liideselt või määrata mõne muu. Seda tüüpi NAT-i nimetatakse sageli dünaamiliseks või mitu-ühele, sest Mitu sisemist aadressi tõlgitakse üheks väliseks aadressiks. Loomulikult on see võimalik erinevate portide kasutamisega saates. Hide NAT töötab ainult ühes suunas (seest väljapoole) ja sobib ideaalselt kohalike võrkude jaoks, kui peate lihtsalt pakkuma juurdepääsu Internetile. Kui liiklus algatatakse välisvõrgust, siis NAT loomulikult ei tööta. See osutub sisevõrkude täiendavaks kaitseks.
2. Automaatne staatiline NAT
NAT peitmine sobib kõigile, kuid võib-olla peate tagama juurdepääsu välisvõrgust mõnele sisemisele serverile. Näiteks DMZ-serverisse, nagu meie näites. Sel juhul saab meid aidata staatiline NAT. Seda on ka üsna lihtne seadistada. Piisab, kui muuta objekti omadustes tõlkemeetodiks Static ja määrata avalik IP-aadress, mida NAT jaoks kasutatakse (vt ülaltoodud pilti). Need. kui keegi välisvõrgust pääseb sellele aadressile juurde (ükskõik millisel pordil!), siis saadetakse päring sisemise IP-ga serverisse. Veelgi enam, kui server ise läheb võrku, muutub ka selle IP meie määratud aadressiks. Need. See on NAT mõlemas suunas. Seda nimetatakse ka üksühene ja mõnikord kasutatakse seda avalike serverite jaoks. Miks "mõnikord"? Sest sellel on üks suur puudus – avalik IP-aadress on täielikult hõivatud (kõik pordid). Te ei saa kasutada ühte avalikku aadressi erinevate sisemiste serverite jaoks (erinevate portidega). Näiteks HTTP, FTP, SSH, SMTP jne. Manuaalne NAT võib selle probleemi lahendada.
Manuaalne NAT
Manual NAT-i eripära on see, et peate ise tõlkereeglid looma. Samal NAT-i vahekaardil juurdepääsukontrollipoliitikas. Samas võimaldab Manual NAT luua keerukamaid tõlkereegleid. Teile on saadaval järgmised väljad: algallikas, algne sihtkoht, algsed teenused, tõlgitud allikas, tõlgitud sihtkoht, tõlgitud teenused.
Siin on võimalik ka kahte tüüpi NAT - peida ja staatiline.
1. Käsitsi Peida NAT
Peida NAT-i saab sel juhul kasutada erinevates olukordades. Paar näidet:
- Kohalikust võrgust konkreetsele ressursile juurde pääsedes soovite kasutada teist edastusaadressi (erinevat kõikidel muudel juhtudel kasutatavast aadressist).
- Kohalikus võrgus on tohutult palju arvuteid. NAT-i automaatne peitmine siin ei tööta, kuna... Selle seadistuse abil on võimalik määrata ainult üks avalik IP-aadress, mille taha arvutid “peidavad”. Ringhäälingu jaoks ei pruugi olla piisavalt porte. Nagu mäletate, on neid veidi rohkem kui 65 tuhat. Lisaks võib iga arvuti genereerida sadu seansse. Käsitsi peida NAT võimaldab teil määrata väljal Tõlgitud allikas avalike IP-aadresside kogumi. Suurendades seeläbi võimalike NAT-tõlgete arvu.
2. Käsitsi staatiline NAT
Staatilist NAT-i kasutatakse palju sagedamini tõlkereeglite käsitsi loomisel. Klassikaline näide on pordi edastamine. Juhtum, kui avalikule IP-aadressile (mis võib kuuluda lüüsile) pääsetakse juurde konkreetse pordi välisvõrgust ja päring tõlgitakse sisemiseks ressursiks. Laboritöös edastame pordi 80 DMZ serverisse.
Videotund
Olge kursis ja liituge meiega 🙂
Allikas: www.habr.com