Wolkom by les 8. De les is tige wichtich, want... Nei it foltôgjen kinne jo ynternettagong foar jo brûkers ynstelle! Ik moat tajaan dat in protte minsken ophâlde it opsetten op dit punt 🙂 Mar wy binne net ien fan harren! En wy hawwe noch in protte nijsgjirrige dingen foarút. En no nei it ûnderwerp fan ús les.
Lykas jo wierskynlik al riede, sille wy hjoed prate oer NAT. Ik bin der wis fan dat elkenien dy't dizze les sjocht, wit wat NAT is. Dêrom sille wy net yn detail beskriuwe hoe't it wurket. Ik sil noch ien kear werhelje dat NAT in adresoersettechnology is dy't útfûn is om "wyt jild" te besparjen, d.w.s. iepenbiere IP's (dy adressen dy't op it ynternet wurde trochstjoerd).
Yn 'e foarige les hawwe jo wierskynlik al opfallen dat NAT diel is fan it belied foar tagongskontrôle. Dit is frij logysk. Yn SmartConsole wurde NAT-ynstellingen pleatst yn in aparte ljepper. Dêr sille wy hjoed seker sjen. Yn 't algemien sille wy yn dizze les NAT-typen beprate, Ynternet tagong konfigurearje en sjogge nei it klassike foarbyld fan poarte trochstjoere. Dy. de funksjonaliteit dy't it meast brûkt wurdt yn bedriuwen. Litte wy begjinne.
Twa manieren om NAT te konfigurearjen
Check Point stipet twa manieren om NAT te konfigurearjen: Automatysk NAT и Hânlieding NAT. Boppedat binne d'r foar elk fan dizze metoaden twa soarten oersetting: NAT ferbergje и Statyske NAT. Yn it algemien sjocht it der sa út as dizze foto:
Ik begryp dat nei alle gedachten alles no heul yngewikkeld liket, dus litte wy elk type yn in bytsje mear detail sjen.
Automatysk NAT
Dit is de fluchste en maklikste manier. It konfigurearjen fan NAT wurdt dien yn mar twa klikken. Alles wat jo hoege te dwaan is de eigenskippen fan it winske objekt te iepenjen (it is gateway, netwurk, host, ensfh.), Gean nei it ljepblêd NAT en kontrolearje de "Foegje automatyske regels foar adresoersetting ta" Hjir sille jo it fjild sjen - de oersetmetoade. Der binne, lykas hjirboppe neamd, twa fan harren.
1. Aitomatic Hide NAT
Standert is it Hide. Dy. yn dit gefal sil ús netwurk "ferbergje" efter wat iepenbier IP-adres. Yn dit gefal kin it adres fan 'e eksterne ynterface fan' e poarte nommen wurde, of jo kinne in oare opjaan. Dit soarte fan NAT wurdt faak neamd dynamysk of in protte-op-ien, omdat Ferskate ynterne adressen wurde oerset yn ien eksterne. Natuerlik is dit mooglik troch ferskate havens te brûken by it útstjoeren. Hide NAT wurket mar yn ien rjochting (fan binnen nei bûten) en is ideaal foar lokale netwurken as jo gewoan tagong moatte jaan ta it ynternet. As ferkear wurdt inisjearre fanút in ekstern netwurk, dan sil NAT fansels net wurkje. It docht bliken ekstra beskerming foar ynterne netwurken.
2. Automatysk Static NAT
Hide NAT is goed foar elkenien, mar miskien moatte jo tagong jaan fan in ekstern netwurk nei wat ynterne server. Bygelyks, nei in DMZ-tsjinner, lykas yn ús foarbyld. Yn dit gefal kin Static NAT ús helpe. It is ek frij maklik yn te stellen. It is genôch om de oersetmetoade te feroarjen nei Static yn 'e objekteigenskippen en it iepenbiere IP-adres op te jaan dat sil wurde brûkt foar NAT (sjoch de foto hjirboppe). Dy. as immen út it eksterne netwurk tagong ta dit adres (op elke haven!), Dan wurdt it fersyk trochstjoerd nei in tsjinner mei in ynterne IP. Boppedat, as de tsjinner sels online giet, sil syn IP ek feroarje nei it adres dat wy opjûn hawwe. Dy. Dit is NAT yn beide rjochtingen. It wurdt ek neamd ien op ien en soms brûkt foar iepenbiere servers. Wêrom "soms"? Om't it ien grut nadeel hat - it iepenbiere IP-adres is folslein beset (alle havens). Jo kinne net ien iepenbier adres brûke foar ferskate ynterne servers (mei ferskate havens). Bygelyks HTTP, FTP, SSH, SMTP, ensfh. Hânlieding NAT kin dit probleem oplosse.
Hânlieding NAT
De eigenaardichheid fan Manual NAT is dat jo sels oersetregels moatte oanmeitsje. Yn deselde NAT ljepper yn Access Control Policy. Tagelyk, Manual NAT kinne jo meitsje mear komplekse oersetting regels. De folgjende fjilden binne beskikber foar jo: Orizjinele boarne, oarspronklike bestimming, orizjinele tsjinsten, oersette boarne, oersette bestimming, oersette tsjinsten.
D'r binne hjir ek twa soarten NAT mooglik - Hide en Static.
1. Manual Hide NAT
Hide NAT yn dit gefal kin brûkt wurde yn ferskate situaasjes. In pear foarbylden:
- As jo tagong krije ta in spesifike boarne fan it lokale netwurk, wolle jo in oar útstjoeradres brûke (oars as dat brûkt wurdt foar alle oare gefallen).
- D'r binne in grut oantal kompjûters op it lokale netwurk. Automatysk ferbergje NAT sil hjir net wurkje, om't ... Mei dizze opset is it mooglik om mar ien iepenbier IP-adres yn te stellen, efter hokker kompjûters "ferbergje". D'r kinne gewoan net genôch havens wêze foar útstjoering. Der binne, sa't jo ûnthâlde, in bytsje mear as 65 tûzen. Boppedat kin elke kompjûter hûnderten sesjes generearje. Hânlieding Hide NAT lit jo in pool fan iepenbiere IP-adressen ynstelle yn it fjild Oersette Boarne. Dêrmei it oantal mooglike NAT-oersettingen tanimmend.
2.Manual Static NAT
Statyske NAT wurdt folle faker brûkt by it manuell meitsjen fan oersettingsregels. In klassyk foarbyld is haven trochstjoere. It gefal as in iepenbier IP-adres (dat kin hearre ta in poarte) wurdt tagong fan in ekstern netwurk op in spesifike poarte en it fersyk wurdt oerset nei in ynterne boarne. Yn ús laboratoariumwurk sille wy poarte 80 trochstjoere nei de DMZ-tsjinner.
Video les
Bliuw op 'e hichte foar mear en doch mei ús 🙂
Boarne: www.habr.com