Zorionak! Ongi etorri kurtsoko bosgarren ikasgaira . buruzko Segurtasun politikek nola funtzionatzen duten jakin dugu. Orain tokiko erabiltzaileak Internetera askatzeko garaia da. Horretarako, ikasgai honetan NAT mekanismoaren funtzionamendua aztertuko dugu.
Erabiltzaileak Internetera askatzeaz gain, barne zerbitzuak argitaratzeko metodo bat ere aztertuko dugu. Ebakiaren azpian bideoaren teoria labur bat dago, baita bideo ikasgaia bera ere.
NAT (Network Address Translation) teknologia sare paketeen IP helbideak bihurtzeko mekanismo bat da. Fortinet terminoetan, NAT bi motatan banatzen da: Iturburu NAT eta Destination NAT.
Izenek berez hitz egiten dute: Iturburu NAT erabiltzean, iturburu helbidea aldatzen da, Helmuga NAT erabiltzean, helmuga helbidea aldatzen da.
Horrez gain, NAT - Firewall Policy NAT eta Central NAT konfiguratzeko hainbat aukera ere badaude.
Lehen aukera erabiltzean, iturburua eta helmuga NAT konfiguratu behar dira segurtasun-politika bakoitzerako. Kasu honetan, Source NAT-ek irteerako interfazearen IP helbidea edo aurrez konfiguratutako IP Pool erabiltzen du. Helmuga NAT-ek aurrez konfiguratutako objektu bat erabiltzen du (VIP - IP birtuala deritzona) helmuga helbide gisa.
NAT zentrala erabiltzean, Iturburu eta Helmugako NAT konfigurazioa gailu osorako (edo domeinu birtualarentzat) egiten da aldi berean. Kasu honetan, NAT ezarpenak politika guztiei aplikatzen zaizkie, Iturburu NAT eta Helmuga NAT arauen arabera.
Iturburu NAT arauak Iturburu NAT politika zentralean konfiguratuta daude. Helmuga NAT DNAT menutik konfiguratzen da IP helbideak erabiliz.
Ikasgai honetan, Firewall Politika NAT soilik hartuko dugu kontuan; praktikak erakusten duen moduan, konfigurazio aukera hau Central NAT baino askoz ohikoagoa da.
Lehen esan dudan bezala, Firewall Policy Source NAT konfiguratzerakoan, bi konfigurazio aukera daude: IP helbidea irteerako interfazearen helbidearekin ordezkatzea edo aurrez konfiguratutako IP helbide multzo bateko IP helbide batekin. Beheko irudian agertzen denaren antzeko zerbait du. Ondoren, igerileku posibleei buruz labur-labur hitz egingo dut, baina praktikan irteerako interfazearen helbidearen aukera bakarrik kontuan hartuko dugu - gure diseinuan, ez dugu IP helbide-igerilekuak behar.
IP multzo batek saio batean iturburu-helbide gisa erabiliko diren IP helbide bat edo gehiago definitzen ditu. IP helbide hauek FortiGate irteerako interfazearen IP helbidearen ordez erabiliko dira.
FortiGate-n konfigura daitezkeen 4 IP igerileku mota daude:
- gainkarga
- Bat-bateko
- Portu sorta finkoa
- Portu blokeen esleipena
Gainkarga IP igerileku nagusia da. IP helbideak asko-batera edo asko-to-asko eskema erabiliz bihurtzen ditu. Portuko itzulpena ere erabiltzen da. Demagun beheko irudian ageri den zirkuitua. Iturria eta Helmuga eremuak definitutako pakete bat dugu. Pakete honi kanpoko sarera sartzeko aukera ematen dion suebaki-politikaren menpe badago, NAT araua aplikatuko zaio. Ondorioz, pakete honetan Iturria eremua IP multzoan zehaztutako IP helbideetako batekin ordezkatzen da.
One to One igerilekuak kanpoko IP helbide asko ere definitzen ditu. NAT araua gaituta duen suebaki-politika baten menpe dagoen pakete bat, Iturria eremuko IP helbidea iturburu honetako helbideetako batera aldatzen da. Ordezkatzeak "lehen sartzen, lehen ateratzen" arauari jarraitzen dio. Argiago gera dadin, ikus dezagun adibide bat.
192.168.1.25 IP helbidea duen sare lokaleko ordenagailu batek pakete bat bidaltzen du kanpoko sarera. NAT arauaren menpe dago, eta Iturria eremua igerilekuko lehen IP helbidera aldatzen da, gure kasuan 83.235.123.5 da. Aipatzekoa da IP multzo hau erabiltzean portuaren itzulpena ez dela erabiltzen. Horren ondoren, sare lokal bereko ordenagailu batek, esate baterako, 192.168.1.35 helbidea duen, pakete bat kanpoko sare batera bidaltzen badu eta NAT arau honen pean sartzen bada, pakete honen Iturburua eremuko IP helbidea honela aldatuko da. 83.235.123.6. Igerilekuan helbide gehiago geratzen ez bada, ondorengo konexioak baztertuko dira. Hau da, kasu honetan, 4 ordenagailu gure NAT arauaren menpe egon daitezke aldi berean.
Port Range finkoak IP helbideen barruko eta kanpoko barrutiak konektatzen ditu. Portuaren itzulpena ere desgaituta dago. Honi esker, barneko IP helbide multzo baten hasiera edo amaiera betirako lotu dezakezu kanpoko IP helbide multzo baten hasiera edo amaiera. Beheko adibidean, 192.168.1.25 - 192.168.1.28 barne helbide-multzoa 83.235.123.5 - 83.235.125.8 kanpoko helbide-multzoarekin mapatzen da.
Portu-blokearen esleipena - IP multzo hau IP multzoko erabiltzaileentzako ataken bloke bat esleitzeko erabiltzen da. IP multzoaz gain, bi parametro ere zehaztu behar dira hemen: bloke-tamaina eta erabiltzaile bakoitzari esleitutako bloke-kopurua.
Ikus dezagun orain Destination NAT teknologia. IP helbide birtualetan (VIP) oinarritzen da. Destination NAT arauen menpe dauden paketeetarako, Helmuga eremuko IP helbidea aldatzen da: normalean Interneteko helbide publikoa zerbitzariaren helbide pribatura aldatzen da. IP helbide birtualak suebaki-politiketan Helmuga eremu gisa erabiltzen dira.
IP helbide birtualen mota estandarra NAT estatikoa da. Kanpoko eta barneko helbideen arteko bat-bateko korrespondentzia da.
NAT estatikoen ordez, helbide birtualak mugatu daitezke ataka zehatzak birbidaltuz. Adibidez, lotu konexioak 8080 atakako kanpoko helbide batekin 80 atakako barne IP helbide batekin konexio batekin.
Beheko adibidean, 172.17.10.25 helbidea duen ordenagailu bat 83.235.123.20 helbidea 80 atakan sartzen saiatzen ari da. Konexio hau DNAT arauaren menpe dago, beraz, helmugako IP helbidea 10.10.10.10era aldatzen da.
Bideoak teoria eztabaidatzen du eta Iturria eta Helmuga NAT konfiguratzeko adibide praktikoak ere eskaintzen ditu.
Hurrengo ikasgaietan erabiltzaileen segurtasuna Interneten bermatzeari ekingo diogu. Zehazki, hurrengo ikasgaian web iragazketa eta aplikazioen kontrolaren funtzionaltasunari buruz eztabaidatuko da. Hura ez galtzeko, jarraitu kanal hauetako eguneraketak:
Iturria: www.habr.com