Benvenuti alla lezione 8. La lezione è molto importante, perché... Al termine, sarai in grado di configurare l'accesso a Internet per i tuoi utenti! Devo ammettere che molte persone smettono di iniziare a questo punto 🙂 Ma noi non siamo tra questi! E abbiamo ancora molte cose interessanti davanti. E ora passiamo all'argomento della nostra lezione.
Come probabilmente avrai già intuito, oggi parleremo di NAT. Sono sicuro che tutti coloro che guardano questa lezione sanno cos'è il NAT. Pertanto, non descriveremo in dettaglio come funziona. Ripeto ancora una volta che NAT è una tecnologia di traduzione di indirizzi inventata per risparmiare "soldi bianchi", ovvero IP pubblici (quegli indirizzi che vengono instradati su Internet).
Nella lezione precedente probabilmente hai già notato che NAT fa parte della policy di controllo degli accessi. Questo è abbastanza logico. In SmartConsole, le impostazioni NAT vengono posizionate in una scheda separata. Ci guarderemo sicuramente oggi. In generale, in questa lezione discuteremo dei tipi NAT, configureremo l'accesso a Internet e considereremo il classico esempio di port forwarding. Quelli. la funzionalità più spesso utilizzata nelle aziende. Iniziamo.
Due modi per configurare NAT
Check Point supporta due modi per configurare NAT: NAT automatico и NAT manuale. Inoltre per ognuno di questi metodi esistono due tipologie di traduzione: Nascondi NAT и NAT statico. In generale appare come questa immagine:
Capisco che molto probabilmente ora tutto sembra molto complicato, quindi diamo un'occhiata a ciascun tipo un po' più in dettaglio.
NAT automatico
Questo è il modo più semplice e veloce. La configurazione del NAT avviene in soli due clic. Tutto quello che devi fare è aprire le proprietà dell'oggetto desiderato (sia esso gateway, rete, host, ecc.), andare nella scheda NAT e spuntare la casella "Aggiungi regole di traduzione automatica degli indirizzi" Qui vedrai il campo: il metodo di traduzione. Ce ne sono, come accennato in precedenza, due.
1. Nat automatico nascosto
Per impostazione predefinita è Nascondi. Quelli. in questo caso la nostra rete si “nasconderà” dietro qualche indirizzo IP pubblico. In questo caso l'indirizzo può essere preso dall'interfaccia esterna del gateway oppure è possibile specificarne un altro. Questo tipo di NAT è spesso chiamato dinamico o molti a uno, Perché Diversi indirizzi interni vengono tradotti in uno esterno. Naturalmente ciò è possibile utilizzando porte diverse durante la trasmissione. Hide NAT funziona solo in una direzione (dall'interno verso l'esterno) ed è ideale per le reti locali quando è sufficiente fornire l'accesso a Internet. Se il traffico viene avviato da una rete esterna, NAT naturalmente non funzionerà. Risulta essere una protezione aggiuntiva per le reti interne.
2. NAT statico automatico
Nascondere NAT va bene per tutti, ma forse è necessario fornire l'accesso da una rete esterna a qualche server interno. Ad esempio, a un server DMZ, come nel nostro esempio. In questo caso il NAT statico ci viene in aiuto. È anche abbastanza facile da configurare. È sufficiente modificare il metodo di traduzione in Statico nelle proprietà dell'oggetto e specificare l'indirizzo IP pubblico che verrà utilizzato per NAT (vedere l'immagine sopra). Quelli. se qualcuno dalla rete esterna accede a questo indirizzo (su qualsiasi porta!), la richiesta verrà inoltrata ad un server con IP interno. Inoltre, se il server stesso va online, anche il suo IP cambierà nell'indirizzo da noi specificato. Quelli. Questo è NAT in entrambe le direzioni. È anche chiamato tra due persone e talvolta utilizzato per server pubblici. Perché “a volte”? Perché ha un grosso svantaggio: l'indirizzo IP pubblico è completamente occupato (tutte le porte). Non è possibile utilizzare un indirizzo pubblico per diversi server interni (con porte diverse). Ad esempio HTTP, FTP, SSH, SMTP, ecc. Il NAT manuale può risolvere questo problema.
NAT manuale
La particolarità del NAT manuale è che devi creare tu stesso le regole di traduzione. Nella stessa scheda NAT in Criteri di controllo degli accessi. Allo stesso tempo, Manual NAT ti consente di creare regole di traduzione più complesse. Sono disponibili i seguenti campi: Origine originale, Destinazione originale, Servizi originali, Origine tradotta, Destinazione tradotta, Servizi tradotti.
Anche qui sono possibili due tipi di NAT: Hide e Static.
1. Nascondi NAT manuale
Nascondi NAT in questo caso può essere utilizzato in diverse situazioni. Un paio di esempi:
- Quando si accede ad una determinata risorsa dalla rete locale, si desidera utilizzare un indirizzo broadcast diverso (diverso da quello utilizzato per tutti gli altri casi).
- C'è un numero enorme di computer sulla rete locale. Il NaT automatico Nascondi non funzionerà qui, perché... Con questa configurazione è possibile impostare un solo indirizzo IP pubblico, dietro il quale i computer si “nasconderanno”. Potrebbero semplicemente non esserci abbastanza porte per la trasmissione. Come ricorderete, sono poco più di 65mila. Inoltre, ogni computer può generare centinaia di sessioni. Manual Hide NAT consente di impostare un pool di indirizzi IP pubblici nel campo Origine tradotta. Aumentando così il numero di possibili traduzioni NAT.
2.NAT statico manuale
Il NAT statico viene utilizzato molto più spesso durante la creazione manuale di regole di traduzione. Un classico esempio è il port forwarding. Il caso in cui si accede a un indirizzo IP pubblico (che può appartenere a un gateway) da una rete esterna su una porta specifica e la richiesta viene tradotta in una risorsa interna. Nel nostro lavoro di laboratorio inoltreremo la porta 80 al server DMZ.
Video lezione
Resta sintonizzato per saperne di più e unisciti a noi 🙂
Fonte: habr.com