به درس 8 خوش آمدید. درس بسیار مهم است، زیرا ... پس از تکمیل، شما قادر خواهید بود دسترسی به اینترنت را برای کاربران خود پیکربندی کنید! باید اعتراف کنم که بسیاری از افراد در این مرحله راه اندازی را متوقف می کنند 🙂 اما ما یکی از آنها نیستیم! و ما هنوز چیزهای جالب زیادی در پیش داریم. و اکنون به موضوع درس ما می پردازیم.
همانطور که احتمالا قبلاً حدس زده اید، امروز در مورد NAT صحبت خواهیم کرد. من مطمئن هستم که همه کسانی که این درس را تماشا می کنند می دانند NAT چیست. بنابراین، ما به طور دقیق نحوه عملکرد آن را شرح نمی دهیم. من فقط یک بار دیگر تکرار می کنم که NAT یک فناوری ترجمه آدرس است که برای صرفه جویی در "پول سفید" اختراع شده است. IP های عمومی (آدرس هایی که در اینترنت روت می شوند).
در درس قبلی، احتمالاً قبلاً متوجه شده اید که NAT بخشی از سیاست کنترل دسترسی است. این کاملا منطقی است. در SmartConsole تنظیمات NAT در یک تب جداگانه قرار می گیرند. ما حتما امروز آنجا را نگاه خواهیم کرد. به طور کلی، در این درس در مورد انواع NAT بحث خواهیم کرد، دسترسی به اینترنت را پیکربندی کرده و نمونه کلاسیک ارسال پورت را بررسی خواهیم کرد. آن ها عملکردی که بیشتر در شرکت ها استفاده می شود. بیا شروع کنیم.
دو روش برای پیکربندی NAT
Check Point از دو روش برای پیکربندی NAT پشتیبانی می کند: NAT خودکار и NAT دستی. علاوه بر این، برای هر یک از این روش ها دو نوع ترجمه وجود دارد: NAT را پنهان کنید и NAT استاتیک. به طور کلی شبیه این تصویر است:
من می دانم که به احتمال زیاد اکنون همه چیز بسیار پیچیده به نظر می رسد، بنابراین بیایید به هر نوع با جزئیات بیشتری نگاه کنیم.
NAT خودکار
این سریع ترین و ساده ترین راه است. پیکربندی NAT تنها با دو کلیک انجام می شود. تنها کاری که باید انجام دهید این است که ویژگی های شی مورد نظر (اعم از دروازه، شبکه، میزبان و غیره) را باز کنید، به تب NAT بروید و علامت " را علامت بزنید.قوانین ترجمه آدرس خودکار را اضافه کنید" در اینجا فیلد - روش ترجمه را خواهید دید. همانطور که در بالا ذکر شد دو مورد از آنها وجود دارد.
1. Aitomatic Hide NAT
به طور پیش فرض Hide است. آن ها در این صورت، شبکه ما در پشت برخی از آدرس های IP عمومی "پنهان می شود". در این حالت، آدرس را می توان از رابط خارجی دروازه گرفته و یا می توانید یک آدرس دیگر را مشخص کنید. این نوع NAT اغلب پویا یا نامیده می شود چند به یک، زیرا چندین آدرس داخلی به یک آدرس خارجی ترجمه می شوند. طبیعتا این امر با استفاده از پورت های مختلف در هنگام پخش امکان پذیر است. Hide NAT فقط در یک جهت (از داخل به خارج) کار می کند و برای شبکه های محلی زمانی که فقط نیاز به دسترسی به اینترنت دارید ایده آل است. اگر ترافیک از یک شبکه خارجی شروع شود، NAT طبیعتا کار نخواهد کرد. به نظر می رسد که محافظت اضافی برای شبکه های داخلی است.
2. NAT استاتیک خودکار
Hide NAT برای همه خوب است، اما شاید لازم باشد از یک شبکه خارجی به سرور داخلی دسترسی داشته باشید. به عنوان مثال، مانند مثال ما، به سرور DMZ. در این مورد Static NAT می تواند به ما کمک کند. تنظیم آن نیز بسیار آسان است. کافی است در ویژگی های شی، روش ترجمه را به Static تغییر دهید و آدرس IP عمومی که برای NAT استفاده می شود را مشخص کنید (تصویر بالا را ببینید). آن ها اگر شخصی از شبکه خارجی به این آدرس (در هر پورتی!) دسترسی پیدا کند، درخواست به سروری با IP داخلی ارسال می شود. علاوه بر این، اگر خود سرور آنلاین شود، IP آن نیز به آدرسی که ما مشخص کردیم تغییر می کند. آن ها این NAT در هر دو جهت است. همچنین نامیده می شود یک به یک و گاهی اوقات برای سرورهای عمومی استفاده می شود. چرا "گاهی"؟ زیرا یک اشکال بزرگ دارد - آدرس IP عمومی کاملاً اشغال شده است (همه پورت ها). شما نمی توانید از یک آدرس عمومی برای سرورهای داخلی مختلف (با پورت های مختلف) استفاده کنید. به عنوان مثال HTTP، FTP، SSH، SMTP و غیره. NAT دستی می تواند این مشکل را حل کند.
NAT دستی
ویژگی Manual NAT این است که شما باید قوانین ترجمه را خودتان ایجاد کنید. در همان تب NAT در Access Control Policy. در عین حال، NAT دستی به شما امکان می دهد قوانین ترجمه پیچیده تری ایجاد کنید. فیلدهای زیر در دسترس شما هستند: منبع اصلی، مقصد اصلی، خدمات اصلی، منبع ترجمه شده، مقصد ترجمه شده، خدمات ترجمه شده.
همچنین دو نوع NAT در اینجا امکان پذیر است - Hide و Static.
1. دستی پنهان کردن NAT
Hide NAT در این مورد می تواند در شرایط مختلف استفاده شود. یکی دو مثال:
- هنگام دسترسی به یک منبع خاص از شبکه محلی، می خواهید از آدرس پخش متفاوتی استفاده کنید (متفاوت از آدرسی که برای همه موارد دیگر استفاده می شود).
- تعداد زیادی کامپیوتر در شبکه محلی وجود دارد. پنهان کردن خودکار NAT در اینجا کار نخواهد کرد، زیرا... با این تنظیمات، می توان تنها یک آدرس IP عمومی را تنظیم کرد که رایانه ها در پشت آن "مخفی می شوند". ممکن است به سادگی پورت های کافی برای پخش وجود نداشته باشد. همانطور که به یاد دارید، کمی بیش از 65 هزار نفر وجود دارد. علاوه بر این، هر کامپیوتر می تواند صدها جلسه ایجاد کند. Manual Hide NAT به شما امکان می دهد مجموعه ای از آدرس های IP عمومی را در قسمت Translated Source تنظیم کنید. بدین ترتیب تعداد ترجمه های ممکن NAT افزایش می یابد.
2. دستی استاتیک NAT
هنگام ایجاد دستی قوانین ترجمه از NAT استاتیک بسیار بیشتر استفاده می شود. یک مثال کلاسیک، حمل و نقل پورت است. موردی که یک آدرس IP عمومی (که ممکن است متعلق به یک دروازه باشد) از یک شبکه خارجی در یک پورت خاص قابل دسترسی است و درخواست به یک منبع داخلی ترجمه می شود. در کارهای آزمایشگاهی، پورت 80 را به سرور DMZ ارسال می کنیم.
درس تصویری
منتظر اطلاعات بیشتر باشید و به ما بپیوندید ؟؟؟؟
منبع: www.habr.com