Dobrodošli u lekciju 8. Lekcija je vrlo važna, jer... Nakon završetka, moći ćete konfigurirati pristup Internetu za svoje korisnike! Moram priznati da mnogi ljudi u ovom trenutku prestaju sa postavljanjem 🙂 Ali mi nismo jedni od njih! A pred nama je još puno zanimljivih stvari. A sada na temu naše lekcije.
Kao što ste vjerojatno već pogodili, danas ćemo govoriti o NAT-u. Siguran sam da svi koji gledaju ovu lekciju znaju što je NAT. Stoga nećemo detaljno opisivati kako funkcionira. Samo ću još jednom ponoviti da je NAT tehnologija prevođenja adresa koja je izmišljena da uštedi "bijeli novac", tj. javne IP adrese (one adrese koje se usmjeravaju na Internet).
U prethodnoj ste lekciji vjerojatno već primijetili da je NAT dio pravila kontrole pristupa. Ovo je sasvim logično. U SmartConsole, NAT postavke su smještene u zasebnoj kartici. Danas ćemo sigurno tamo pogledati. Općenito, u ovoj lekciji raspravljat ćemo o vrstama NAT-a, konfigurirati pristup Internetu i pogledati klasični primjer prosljeđivanja portova. Oni. funkcionalnost koja se najčešće koristi u tvrtkama. Započnimo.
Dva načina za konfiguriranje NAT-a
Check Point podržava dva načina za konfiguriranje NAT-a: Automatski NAT и Ručni NAT. Štoviše, za svaku od ovih metoda postoje dvije vrste prijevoda: Sakrij NAT и Statički NAT. Općenito izgleda ovako na ovoj slici:
Razumijem da sada najvjerojatnije sve izgleda vrlo komplicirano, pa pogledajmo svaku vrstu malo detaljnije.
Automatski NAT
Ovo je najbrži i najlakši način. Konfiguriranje NAT-a vrši se u samo dva klika. Sve što trebate učiniti je otvoriti svojstva željenog objekta (bilo da se radi o pristupniku, mreži, hostu itd.), otići na karticu NAT i označiti “Dodajte pravila za automatsko prevođenje adresa" Ovdje ćete vidjeti polje - način prijevoda. Postoje, kao što je gore spomenuto, dva od njih.
1. Automatsko skrivanje NAT-a
Standardno je Sakrij. Oni. u ovom slučaju, naša mreža će se "sakriti" iza neke javne IP adrese. U ovom slučaju, adresa se može uzeti s vanjskog sučelja pristupnika ili možete odrediti neku drugu. Ovaj tip NAT-a često se naziva dinamički ili mnogo prema jednom, jer Nekoliko internih adresa prevodi se u jednu vanjsku. Naravno, to je moguće korištenjem različitih priključaka prilikom emitiranja. Hide NAT radi samo u jednom smjeru (iznutra prema van) i idealan je za lokalne mreže kada samo trebate omogućiti pristup Internetu. Ako je promet pokrenut s vanjske mreže, NAT naravno neće raditi. Ispada da je to dodatna zaštita za interne mreže.
2. Automatski statički NAT
Hide NAT je dobar za sve, ali možda trebate omogućiti pristup s vanjske mreže nekom unutarnjem poslužitelju. Na primjer, na DMZ poslužitelj, kao u našem primjeru. U ovom slučaju može nam pomoći Static NAT. Također je vrlo jednostavno postaviti. Dovoljno je u svojstvima objekta promijeniti metodu prevođenja u Static i navesti javnu IP adresu koja će se koristiti za NAT (pogledajte gornju sliku). Oni. ako netko iz vanjske mreže pristupi ovoj adresi (na bilo kojem portu!), tada će zahtjev biti proslijeđen poslužitelju s internim IP-om. Štoviše, ako sam poslužitelj postane online, njegov IP će se također promijeniti na adresu koju smo naveli. Oni. Ovo je NAT u oba smjera. Također se zove jedan-na-jedan a ponekad se koristi za javne poslužitelje. Zašto "ponekad"? Jer ima jednu veliku manu - javna IP adresa je potpuno zauzeta (svi portovi). Ne možete koristiti jednu javnu adresu za različite interne poslužitelje (s različitim portovima). Na primjer HTTP, FTP, SSH, SMTP itd. Ručni NAT može riješiti ovaj problem.
Ručni NAT
Osobitost ručnog NAT-a je da morate sami kreirati pravila prevođenja. Na istoj kartici NAT u Pravilima kontrole pristupa. U isto vrijeme, ručni NAT omogućuje stvaranje složenijih pravila prevođenja. Dostupna su vam sljedeća polja: Izvorni izvor, Izvorno odredište, Izvorne usluge, Prevedeni izvor, Prevedeno odredište, Prevedene usluge.
Ovdje su također moguće dvije vrste NAT-a - Hide i Static.
1. Ručno sakrij NAT
Sakrij NAT u ovom slučaju može se koristiti u različitim situacijama. Par primjera:
- Kada pristupate određenom resursu s lokalne mreže, želite koristiti drugu adresu emitiranja (različitu od one koja se koristi u svim drugim slučajevima).
- U lokalnoj mreži postoji ogroman broj računala. Automatsko skrivanje NAT-a ovdje neće raditi jer... Ovom postavkom moguće je postaviti samo jednu javnu IP adresu iza koje će se računala “skrivati”. Možda jednostavno nema dovoljno priključaka za emitiranje. Ima ih, kao što se sjećate, nešto više od 65 tisuća. Štoviše, svako računalo može generirati stotine sesija. Ručno sakrivanje NAT-a omogućuje vam postavljanje skupa javnih IP adresa u polje Prevedeni izvor. Time se povećava broj mogućih NAT prijevoda.
2. Ručni statički NAT
Statički NAT mnogo se češće koristi pri ručnom stvaranju pravila prevođenja. Klasičan primjer je port forwarding. Slučaj kada se javnoj IP adresi (koja može pripadati pristupniku) pristupa s vanjske mreže na određenom priključku i zahtjev se prevodi na interni resurs. U našem laboratorijskom radu ćemo port 80 proslijediti DMZ poslužitelju.
Video tutorial
Ostanite s nama za više i pridružite nam se ????
Izvor: www.habr.com