Üdvözöljük a 8. leckében. A lecke nagyon fontos, mert... A befejezés után beállíthatja az Internet hozzáférést a felhasználók számára! Be kell vallanom, hogy sokan ezen a ponton abbahagyják a beállítást 🙂 De mi nem tartozunk közéjük! És még sok érdekes dolog vár ránk. És most leckénk témájához.
Ahogy valószínűleg már sejtette, ma a NAT-ról fogunk beszélni. Biztos vagyok benne, hogy mindenki, aki nézi ezt a leckét, tudja, mi az a NAT. Ezért nem írjuk le részletesen, hogyan működik. Csak még egyszer megismétlem, hogy a NAT egy címfordítási technológia, amit a „fehér pénz” megtakarítására találtak ki, pl. nyilvános IP-címek (azok a címek, amelyek az interneten vannak irányítva).
Az előző leckében valószínűleg már észrevette, hogy a NAT a hozzáférés-vezérlési szabályzat része. Ez teljesen logikus. A SmartConsole-ban a NAT-beállítások egy külön lapon vannak elhelyezve. Ma mindenképpen oda fogunk nézni. Általánosságban elmondható, hogy ebben a leckében a NAT típusokat tárgyaljuk, konfiguráljuk az internet-hozzáférést, és megnézzük a porttovábbítás klasszikus példáját. Azok. a vállalatoknál leggyakrabban használt funkcionalitás. Kezdjük el.
A NAT beállításának két módja
A Check Point két módot támogat a NAT konfigurálására: Automatikus NAT и Kézi NAT. Ezen túlmenően ezen módszerek mindegyikéhez kétféle fordítás létezik: NAT elrejtése и Statikus NAT. Általában így néz ki a kép:
Megértem, hogy valószínűleg most minden nagyon bonyolultnak tűnik, ezért nézzük meg az egyes típusokat egy kicsit részletesebben.
Automatikus NAT
Ez a leggyorsabb és legegyszerűbb módja. A NAT konfigurálása mindössze két kattintással történik. Csak annyit kell tennie, hogy megnyitja a kívánt objektum tulajdonságait (legyen az átjáró, hálózat, gazdagép stb.), lépjen a NAT fülre, és ellenőrizze a „Adjon hozzá automatikus címfordítási szabályokat" Itt látni fogja a mezőt - a fordítási módszert. Mint fentebb említettük, kettő van belőlük.
1. Aitomatic NAT elrejtése
Alapértelmezés szerint az Elrejtés. Azok. ebben az esetben a hálózatunk „elbújik” valamilyen nyilvános IP-cím mögé. Ebben az esetben a cím levehető az átjáró külső interfészéről, vagy megadhat mást is. Ezt a típusú NAT-ot gyakran dinamikus ill sok az egyhez, mert Több belső címet egy külső címre fordítanak le. Ez természetesen lehetséges különböző portok használatával a műsorszórás során. A NAT elrejtése csak egy irányban működik (belülről kifelé), és ideális a helyi hálózatokhoz, amikor csak hozzáférést kell biztosítani az internethez. Ha a forgalmat külső hálózatról indítják, akkor a NAT természetesen nem fog működni. Kiderült, hogy kiegészítő védelmet nyújt a belső hálózatok számára.
2. Automatikus statikus NAT
A NAT elrejtése mindenkinek jó, de lehet, hogy hozzáférést kell biztosítania külső hálózatról valamilyen belső szerverhez. Például egy DMZ szerverre, mint a példánkban. Ebben az esetben a Static NAT segíthet nekünk. Beállítása is meglehetősen egyszerű. Elegendő az objektum tulajdonságainál a fordítási metódust Static-ra módosítani, és megadni a NAT-hoz használandó nyilvános IP-címet (lásd a fenti képet). Azok. ha valaki a külső hálózatról hozzáfér ehhez a címhez (bármelyik porton!), akkor a kérés egy belső IP-vel rendelkező szerverre kerül továbbításra. Sőt, ha maga a szerver online lesz, az IP-címe is az általunk megadott címre változik. Azok. Ez mindkét irányban NAT. Úgy is hívják egy-az-egyhez és néha nyilvános szerverekhez használják. Miért „néha”? Mert van egy nagy hátránya - a nyilvános IP-cím teljesen foglalt (minden port). Nem használhat egyetlen nyilvános címet különböző belső szerverekhez (különböző portokkal). Például HTTP, FTP, SSH, SMTP stb. A kézi NAT megoldhatja ezt a problémát.
Kézi NAT
A Manual NAT sajátossága, hogy saját kezűleg kell fordítási szabályokat létrehoznia. Ugyanazon a NAT lapon a Hozzáférés-vezérlési házirendben. Ugyanakkor a Manual NAT lehetővé teszi összetettebb fordítási szabályok létrehozását. A következő mezők állnak az Ön rendelkezésére: Eredeti forrás, Eredeti cél, Eredeti szolgáltatások, Lefordított forrás, Lefordított cél, Fordított szolgáltatások.
Itt kétféle NAT is lehetséges – elrejtés és statikus.
1. Manuális NAT elrejtése
A NAT elrejtése ebben az esetben különböző helyzetekben használható. Pár példa:
- Ha egy adott erőforráshoz fér hozzá a helyi hálózatról, akkor egy másik szórási címet szeretne használni (az összes többi esetben használttól eltérő címet).
- A helyi hálózaton rengeteg számítógép található. A NAT automatikus elrejtése itt nem fog működni, mert... Ezzel a beállítással csak egy nyilvános IP-címet lehet beállítani, amely mögé a számítógépek „elbújnak”. Lehetséges, hogy egyszerűen nincs elég port a sugárzáshoz. Mint emlékszel, valamivel több, mint 65 ezren vannak. Ezenkívül minden számítógép több száz munkamenetet generálhat. A NAT kézi elrejtése lehetővé teszi a nyilvános IP-címek készletének beállítását a Fordított forrás mezőben. Ezzel növelve a lehetséges NAT-fordítások számát.
2.Kézi statikus NAT
A statikus NAT-ot sokkal gyakrabban használják fordítási szabályok kézi létrehozásakor. Klasszikus példa a porttovábbítás. Az az eset, amikor egy nyilvános IP-címet (amely egy átjáróhoz tartozhat) külső hálózatról érnek el egy adott porton, és a kérést belső erőforrásra fordítják. Laboratóriumi munkánk során a 80-as portot továbbítjuk a DMZ szerverre.
Oktatóvideó
Maradjon velünk, és csatlakozzon hozzánk ????
Forrás: will.com