Beannachdan! Fàilte don chòigeamh leasan den chùrsa . Air adhart Tha sinn air faighinn a-mach mar a tha poileasaidhean tèarainteachd ag obair. A-nis tha an t-àm ann luchd-cleachdaidh ionadail a leigeil ma sgaoil air an eadar-lìn. Gus seo a dhèanamh, anns an leasan seo seallaidh sinn ri obrachadh an uidheamachd NAT.
A bharrachd air a bhith a’ leigeil luchd-cleachdaidh a-mach chun eadar-lìn, seallaidh sinn cuideachd ri dòigh airson seirbheisean a-staigh fhoillseachadh. Fon gearradh tha teòiridh goirid bhon bhidio, a bharrachd air an leasan bhidio fhèin.
Tha teicneòlas NAT (Eadar-theangachadh Seòladh Lìonra) na dhòigh air seòlaidhean IP pacaidean lìonra a thionndadh. A thaobh Fortinet, tha NAT air a roinn ann an dà sheòrsa: Source NAT agus Destination NAT.
Bidh na h-ainmean a’ bruidhinn air an son fhèin - nuair a bhios iad a’ cleachdadh Source NAT, bidh an seòladh stòr ag atharrachadh, nuair a bhios tu a’ cleachdadh Ceann-uidhe NAT, bidh an seòladh ceann-uidhe ag atharrachadh.
A bharrachd air an sin, tha grunn roghainnean ann cuideachd airson NAT a stèidheachadh - Poileasaidh Balla-teine NAT agus Central NAT.
Nuair a chleachdas tu a’ chiad roghainn, feumaidh Source and Destination NAT a bhith air a rèiteachadh airson gach poileasaidh tèarainteachd. Anns a’ chùis seo, bidh Stòr NAT a’ cleachdadh an dàrna cuid seòladh IP an eadar-aghaidh a tha a’ dol a-mach no amar IP ro-shuidhichte. Bidh Ceann-uidhe NAT a’ cleachdadh nì ro-shuidhichte (an t-ainm VIP - Virtual IP) mar sheòladh ceann-uidhe.
Nuair a bhios tu a’ cleachdadh Central NAT, thèid rèiteachadh Source and Destination NAT a dhèanamh airson an inneal gu lèir (no an àrainn bhrìgheil) aig an aon àm. Anns a’ chùis seo, tha roghainnean NAT a’ buntainn ris a h-uile poileasaidh, a rèir riaghailtean Source NAT agus Ceann-uidhe NAT.
Tha riaghailtean Stòr NAT air an rèiteachadh ann am poileasaidh meadhan Source NAT. Tha Ceann-uidhe NAT air a rèiteachadh bhon chlàr DNAT a’ cleachdadh seòlaidhean IP.
Anns an leasan seo, cha bheachdaich sinn ach air Poileasaidh Firewall NAT - mar a tha cleachdadh a’ sealltainn, tha an roghainn rèiteachaidh seo tòrr nas cumanta na Central NAT.
Mar a thuirt mi mu thràth, nuair a bhios tu a’ rèiteachadh Stòr Poileasaidh Balla-teine NAT, tha dà roghainn rèiteachaidh ann: cuir an àite an seòladh IP le seòladh an eadar-aghaidh a tha a’ dol a-mach, no le seòladh IP bho amar ro-shuidhichte de sheòlaidhean IP. Tha e a’ coimhead rudeigin coltach ris an fhear a chithear san dealbh gu h-ìosal. An ath rud, bruidhnidh mi goirid mu na lòin a dh’ fhaodadh a bhith ann, ach ann an cleachdadh cha bhith sinn a ’beachdachadh ach air an roghainn le seòladh an eadar-aghaidh a tha a’ dol a-mach - nar cruth, chan fheum sinn amaran seòlaidhean IP.
Bidh amar IP a’ mìneachadh aon sheòladh IP no barrachd a thèid a chleachdadh mar sheòladh tùsail rè seisean. Thèid na seòlaidhean IP sin a chleachdadh an àite an seòladh IP eadar-aghaidh a tha a’ dol a-mach FortiGate.
Tha 4 seòrsa de amaran IP ann a ghabhas rèiteachadh air FortiGate:
- Ró-luchdachadh
- Aon-ri-aon
- Raon port stèidhichte
- Riarachadh bloc port
Is e cus luchdachadh am prìomh amar IP. Bidh e ag atharrachadh seòlaidhean IP a’ cleachdadh sgeama ioma-ri-aon no ioma-gu-mòran. Tha eadar-theangachadh port air a chleachdadh cuideachd. Beachdaich air a’ chuairt a chithear san fhigear gu h-ìosal. Tha pasgan againn le raointean Stòr is Ceann-uidhe comharraichte. Ma thig e fo phoileasaidh balla-teine a leigeas leis a’ phacaid seo faighinn chun lìonra a-muigh, thèid riaghailt NAT a chuir an sàs ann. Mar thoradh air an sin, anns a’ phacaid seo tha aon de na seòlaidhean IP a tha air an sònrachadh anns an amar IP a’ dol an àite an raon Source.
Bidh amar One to One cuideachd a’ mìneachadh mòran sheòlaidhean IP taobh a-muigh. Nuair a thig pacaid fo phoileasaidh balla-teine leis an riaghailt NAT air a chomasachadh, thèid an seòladh IP san raon Stòr atharrachadh gu aon de na seòlaidhean a bhuineas don linn seo. Tha ath-chur a’ leantainn na riaghailt “ciad a-steach, an toiseach a-mach”. Gus a dhèanamh nas soilleire, leig dhuinn sùil a thoirt air eisimpleir.
Bidh coimpiutair air an lìonra ionadail le seòladh IP 192.168.1.25 a’ cur pacaid chun lìonra a-muigh. Tha e fo riaghailt NAT, agus tha an raon Source air atharrachadh chun chiad sheòladh IP bhon amar, anns a ’chùis againn is e 83.235.123.5. Is fhiach a bhith mothachail, nuair a bhios tu a ’cleachdadh an amar IP seo, nach eilear a’ cleachdadh eadar-theangachadh port. Ma chuireas coimpiutair às an aon lìonra ionadail às deidh seo, le seòladh de, can, 192.168.1.35, pacaid gu lìonra a-muigh agus cuideachd gu bheil e fon riaghailt NAT seo, atharraichidh an seòladh IP ann an raon Source a’ phacaid seo gu 83.235.123.6. Mura h-eil barrachd sheòlaidhean air fhàgail san linne, thèid ceanglaichean às dèidh sin a dhiùltadh. Is e sin, anns a 'chùis seo, faodaidh 4 coimpiutairean tuiteam fon riaghailt NAT againn aig an aon àm.
Bidh Raon Port Seasta a’ ceangal raointean a-staigh agus a-muigh de sheòlaidhean IP. Tha eadar-theangachadh port à comas cuideachd. Leigidh seo leat toiseach no deireadh cruinneachadh de sheòlaidhean IP a-staigh a cheangal gu maireannach ri toiseach no deireadh cruinneachadh de sheòlaidhean IP taobh a-muigh. Anns an eisimpleir gu h-ìosal, tha an amar seòlaidh a-staigh 192.168.1.25 - 192.168.1.28 air a mhapadh chun amar seòlaidh taobh a-muigh 83.235.123.5 - 83.235.125.8.
Riaradh Bloc Port - tha an amar IP seo air a chleachdadh gus bloc de phuirt a riarachadh airson luchd-cleachdaidh amar IP. A bharrachd air an amar IP fhèin, feumar dà pharamadair a shònrachadh an seo cuideachd - meud a’ bhloca agus an àireamh de bhlocaichean a tha air an riarachadh airson gach neach-cleachdaidh.
A-nis leig dhuinn sùil a thoirt air teicneòlas Ceann-uidhe NAT. Tha e stèidhichte air seòlaidhean IP brìgheil (VIP). Airson pacaidean a thig fo riaghailtean NAT Ceann-uidhe, bidh an seòladh IP san raon Ceann-uidhe ag atharrachadh: mar as trice bidh an seòladh eadar-lìn poblach ag atharrachadh gu seòladh prìobhaideach an fhrithealaiche. Bithear a’ cleachdadh seòlaidhean IP mas-fhìor ann am poileasaidhean balla-teine mar an raon Ceann-uidhe.
Is e an seòrsa àbhaisteach de sheòlaidhean IP brìgheil NAT Static. Is e conaltradh aon-ri-aon a tha seo eadar seòlaidhean a-muigh agus a-staigh.
An àite NAT Static, faodar seòlaidhean brìgheil a chuingealachadh le bhith a’ cur puirt sònraichte air adhart. Mar eisimpleir, ceanglaichean co-cheangailte ri seòladh taobh a-muigh air port 8080 le ceangal ri seòladh IP a-staigh air port 80.
Anns an eisimpleir gu h-ìosal, tha coimpiutair leis an t-seòladh 172.17.10.25 a 'feuchainn ri faighinn chun t-seòladh 83.235.123.20 air port 80. Tha an ceangal seo a 'tighinn fo riaghailt DNAT, agus mar sin tha an seòladh IP ceann-uidhe air atharrachadh gu 10.10.10.10.
Tha am bhidio a’ beachdachadh air an teòiridh agus cuideachd a’ toirt seachad eisimpleirean practaigeach de bhith a’ rèiteachadh Stòr is Ceann-uidhe NAT.
Anns na h-ath leasanan gluaisidh sinn air adhart gu bhith dèanamh cinnteach à sàbhailteachd luchd-cleachdaidh air an eadar-lìon. Gu sònraichte, bruidhnidh an ath leasan air comasachd sìoladh lìn agus smachd tagraidh. Gus nach caill thu e, lean na h-ùrachaidhean air na seanailean a leanas:
Source: www.habr.com