Saluti! Benvenuti alla quinta lezione del corso . su Abbiamo capito come funzionano le politiche di sicurezza. Ora è il momento di rilasciare gli utenti locali su Internet. Per fare ciò, in questa lezione vedremo il funzionamento del meccanismo NAT.
Oltre a rilasciare gli utenti su Internet, esamineremo anche un metodo per pubblicare servizi interni. Sotto il taglio c'è una breve teoria del video, così come la lezione video stessa.
La tecnologia NAT (Network Address Translation) è un meccanismo per convertire gli indirizzi IP dei pacchetti di rete. In termini Fortinet, il NAT è diviso in due tipi: NAT di origine e NAT di destinazione.
I nomi parlano da soli: quando si utilizza Source NAT, l'indirizzo di origine cambia, quando si utilizza Destination NAT, cambia l'indirizzo di destinazione.
Inoltre sono disponibili diverse opzioni per l'impostazione del NAT: Firewall Policy NAT e Central NAT.
Quando si utilizza la prima opzione, è necessario configurare NAT di origine e di destinazione per ciascuna policy di sicurezza. In questo caso, Source NAT utilizza l'indirizzo IP dell'interfaccia in uscita o un pool IP preconfigurato. Il NAT di destinazione utilizza come indirizzo di destinazione un oggetto preconfigurato (il cosiddetto VIP - IP virtuale).
Quando si utilizza il NAT centrale, la configurazione del NAT di origine e di destinazione viene eseguita contemporaneamente per l'intero dispositivo (o dominio virtuale). In questo caso, le impostazioni NAT si applicano a tutte le policy, a seconda delle regole NAT di origine e NAT di destinazione.
Le regole NAT di origine sono configurate nella policy NAT di origine centrale. Il NAT di destinazione viene configurato dal menu DNAT utilizzando gli indirizzi IP.
In questa lezione considereremo solo il NAT della policy firewall: come dimostra la pratica, questa opzione di configurazione è molto più comune del NAT centrale.
Come ho già detto, quando si configura Firewall Policy Source NAT, ci sono due opzioni di configurazione: sostituire l'indirizzo IP con l'indirizzo dell'interfaccia in uscita, oppure con un indirizzo IP da un pool di indirizzi IP preconfigurato. Assomiglia a quello mostrato nella figura seguente. Successivamente parlerò brevemente dei possibili pool, ma in pratica considereremo solo l'opzione con l'indirizzo dell'interfaccia in uscita: nel nostro layout non abbiamo bisogno dei pool di indirizzi IP.
Un pool IP definisce uno o più indirizzi IP che verranno utilizzati come indirizzo di origine durante una sessione. Questi indirizzi IP verranno utilizzati al posto dell'indirizzo IP dell'interfaccia in uscita FortiGate.
Esistono 4 tipi di pool IP che possono essere configurati su FortiGate:
- Sovraccarico
- Uno a uno
- Intervallo di porte fisso
- Allocazione dei blocchi di porte
Il sovraccarico è il pool IP principale. Converte gli indirizzi IP utilizzando uno schema molti-a-uno o molti-a-molti. Viene utilizzata anche la traduzione delle porte. Consideriamo il circuito mostrato nella figura seguente. Abbiamo un pacchetto con campi Sorgente e Destinazione definiti. Se rientra in una policy firewall che consente a questo pacchetto di accedere alla rete esterna, gli viene applicata una regola NAT. Di conseguenza, in questo pacchetto il campo Source viene sostituito con uno degli indirizzi IP specificati nel pool IP.
Un pool One to One definisce anche molti indirizzi IP esterni. Quando un pacchetto rientra in una policy firewall con la regola NAT abilitata, l'indirizzo IP nel campo Origine viene modificato in uno degli indirizzi appartenenti a questo pool. La sostituzione segue la regola “first in, first out”. Per renderlo più chiaro, diamo un'occhiata a un esempio.
Un computer nella rete locale con indirizzo IP 192.168.1.25 invia un pacchetto alla rete esterna. Rientra nella regola NAT e il campo Origine viene modificato nel primo indirizzo IP del pool, nel nostro caso è 83.235.123.5. Vale la pena notare che quando si utilizza questo pool IP, non viene utilizzata la traduzione della porta. Se successivamente un computer della stessa rete locale, con un indirizzo, ad esempio, 192.168.1.35, invia un pacchetto a una rete esterna e rientra anch'esso in questa regola NAT, l'indirizzo IP nel campo Origine di questo pacchetto cambierà in 83.235.123.6. Se nel pool non rimangono più indirizzi, le connessioni successive verranno rifiutate. Cioè, in questo caso, 4 computer possono rientrare contemporaneamente nella nostra regola NAT.
L'intervallo di porte fisso collega intervalli interni ed esterni di indirizzi IP. Anche la traduzione della porta è disabilitata. Ciò consente di associare in modo permanente l'inizio o la fine di un pool di indirizzi IP interni con l'inizio o la fine di un pool di indirizzi IP esterni. Nell'esempio seguente, il pool di indirizzi interno 192.168.1.25 - 192.168.1.28 è mappato al pool di indirizzi esterno 83.235.123.5 - 83.235.125.8.
Allocazione blocco porte: questo pool IP viene utilizzato per allocare un blocco di porte per gli utenti del pool IP. Oltre al pool IP stesso, qui devono essere specificati anche due parametri: la dimensione del blocco e il numero di blocchi assegnati per ciascun utente.
Ora diamo un'occhiata alla tecnologia Destination NAT. Si basa su indirizzi IP virtuali (VIP). Per i pacchetti che rientrano nelle regole Destination NAT, l'indirizzo IP nel campo Destination cambia: solitamente l'indirizzo Internet pubblico cambia nell'indirizzo privato del server. Gli indirizzi IP virtuali vengono utilizzati nelle policy firewall come campo Destinazione.
Il tipo standard di indirizzi IP virtuali è NAT statico. Questa è una corrispondenza uno a uno tra gli indirizzi esterni e interni.
Invece del NAT statico, gli indirizzi virtuali possono essere limitati inoltrando porte specifiche. Ad esempio, associare le connessioni a un indirizzo esterno sulla porta 8080 con una connessione a un indirizzo IP interno sulla porta 80.
Nell'esempio seguente, un computer con l'indirizzo 172.17.10.25 sta tentando di accedere all'indirizzo 83.235.123.20 sulla porta 80. Questa connessione rientra nella regola DNAT, quindi l'indirizzo IP di destinazione viene modificato in 10.10.10.10.
Il video discute la teoria e fornisce anche esempi pratici di configurazione del NAT di origine e di destinazione.
Nelle prossime lezioni passeremo a garantire la sicurezza degli utenti su Internet. Nello specifico, la prossima lezione discuterà la funzionalità del filtraggio web e del controllo delle applicazioni. Per non perderlo seguite gli aggiornamenti sui seguenti canali:
Fonte: habr.com