Bienvenue à la leçon 8. La leçon est très importante, parce que... Une fois terminé, vous pourrez configurer l’accès Internet pour vos utilisateurs ! Je dois admettre que beaucoup de gens arrêtent de s'installer à ce stade 🙂 Mais nous n'en faisons pas partie ! Et nous avons encore beaucoup de choses intéressantes à venir. Et maintenant le sujet de notre leçon.
Comme vous l'avez probablement déjà deviné, nous parlerons aujourd'hui de NAT. Je suis sûr que tous ceux qui regardent cette leçon savent ce qu'est le NAT. Nous ne décrirons donc pas en détail son fonctionnement. Je vais juste répéter encore une fois que NAT est une technologie de traduction d'adresses qui a été inventée pour économiser « l'argent blanc », c'est-à-dire les adresses IP publiques (ces adresses qui sont acheminées sur Internet).
Dans la leçon précédente, vous avez probablement déjà remarqué que NAT fait partie de la politique de contrôle d'accès. C'est assez logique. Dans SmartConsole, les paramètres NAT sont placés dans un onglet séparé. Nous y regarderons certainement aujourd'hui. En général, dans cette leçon, nous discuterons des types de NAT, configurerons l'accès à Internet et examinerons l'exemple classique de la redirection de port. Ceux. la fonctionnalité la plus souvent utilisée dans les entreprises. Commençons.
Deux façons de configurer NAT
Check Point prend en charge deux manières de configurer NAT : NAT automatique и NAT manuel. De plus, pour chacune de ces méthodes il existe deux types de traduction : Masquer le NAT и NAT statique. En général, cela ressemble à cette image :
Je comprends que tout semble probablement très compliqué maintenant, alors examinons chaque type un peu plus en détail.
NAT automatique
C'est le moyen le plus rapide et le plus simple. La configuration de NAT se fait en seulement deux clics. Il suffit d'ouvrir les propriétés de l'objet souhaité (que ce soit une passerelle, un réseau, un hôte, etc.), d'aller dans l'onglet NAT et de cocher la case "Ajouter des règles de traduction automatique d'adresses" Ici, vous verrez le champ - la méthode de traduction. Il y en a, comme mentionné ci-dessus, deux d'entre eux.
1. Masquer automatiquement le NAT
Par défaut, c'est Masquer. Ceux. dans ce cas, notre réseau se « cachera » derrière une adresse IP publique. Dans ce cas, l'adresse peut être extraite de l'interface externe de la passerelle, ou vous pouvez en spécifier une autre. Ce type de NAT est souvent appelé dynamique ou plusieurs-à-un, parce que Plusieurs adresses internes sont traduites en une seule externe. Naturellement, cela est possible en utilisant différents ports lors de la diffusion. Hide NAT ne fonctionne que dans une seule direction (de l'intérieur vers l'extérieur) et est idéal pour les réseaux locaux lorsque vous avez simplement besoin de fournir un accès à Internet. Si le trafic est initié à partir d’un réseau externe, alors NAT ne fonctionnera naturellement pas. Il s'avère qu'il s'agit d'une protection supplémentaire pour les réseaux internes.
2. NAT statique automatique
Masquer NAT est bon pour tout le monde, mais vous devez peut-être fournir un accès depuis un réseau externe à un serveur interne. Par exemple, vers un serveur DMZ, comme dans notre exemple. Dans ce cas, le NAT statique peut nous aider. Il est également assez simple à mettre en place. Il suffit de changer la méthode de traduction en Statique dans les propriétés de l'objet et de spécifier l'adresse IP publique qui sera utilisée pour le NAT (voir l'image ci-dessus). Ceux. si quelqu'un du réseau externe accède à cette adresse (sur n'importe quel port !), la demande sera transmise à un serveur avec une IP interne. De plus, si le serveur lui-même se connecte, son IP changera également pour l'adresse que nous avons spécifiée. Ceux. C'est NAT dans les deux sens. On l'appelle aussi Individuelle et parfois utilisé pour les serveurs publics. Pourquoi « parfois » ? Parce qu'il présente un gros inconvénient : l'adresse IP publique est complètement occupée (tous les ports). Vous ne pouvez pas utiliser une seule adresse publique pour différents serveurs internes (avec des ports différents). Par exemple HTTP, FTP, SSH, SMTP, etc. Le NAT manuel peut résoudre ce problème.
NAT manuel
La particularité de Manual NAT est que vous devez créer vous-même des règles de traduction. Dans le même onglet NAT dans la stratégie de contrôle d'accès. Dans le même temps, Manual NAT vous permet de créer des règles de traduction plus complexes. Les champs suivants sont à votre disposition : Source originale, Destination originale, Services originaux, Source traduite, Destination traduite, Services traduits.
Il existe également deux types de NAT possibles ici : Hide et Static.
1. Masquer manuellement le NAT
Masquer NAT dans ce cas peut être utilisé dans différentes situations. Quelques exemples :
- Lors de l'accès à une ressource spécifique depuis le réseau local, vous souhaitez utiliser une adresse de diffusion différente (différente de celle utilisée dans tous les autres cas).
- Il existe un grand nombre d'ordinateurs sur le réseau local. Le masquage automatique du NAT ne fonctionnera pas ici, car... Avec cette configuration, il est possible de définir une seule adresse IP publique, derrière laquelle les ordinateurs se « cacheront ». Il se peut qu’il n’y ait tout simplement pas assez de ports pour la diffusion. Il y en a, si vous vous en souvenez, un peu plus de 65 XNUMX. De plus, chaque ordinateur peut générer des centaines de sessions. Manuel Masquer NAT vous permet de définir un pool d'adresses IP publiques dans le champ Source traduite. Augmentant ainsi le nombre de traductions NAT possibles.
2. NAT statique manuel
Le NAT statique est utilisé beaucoup plus souvent lors de la création manuelle de règles de traduction. Un exemple classique est la redirection de port. Cas où une adresse IP publique (qui peut appartenir à une passerelle) est accessible depuis un réseau externe sur un port spécifique et que la requête est traduite vers une ressource interne. Dans notre travail en laboratoire, nous transmettrons le port 80 au serveur DMZ.
Didacticiel vidéo
Restez à l'écoute pour plus et rejoignez-nous ????
Source: habr.com