salam! Sugeng rawuh ing wulangan kaping lima kursus kasebut . Ing Kita wis ngerti carane kabijakan keamanan bisa digunakake. Saiki wektune kanggo ngeculake pangguna lokal menyang Internet. Kanggo nindakake iki, ing pawulangan iki kita bakal nliti operasi mekanisme NAT.
Saliyane ngeculake pangguna menyang Internet, kita uga bakal ndeleng cara kanggo nerbitake layanan internal. Ing ngisor potongan kasebut ana teori ringkes saka video kasebut, uga pelajaran video kasebut dhewe.
Teknologi NAT (Network Address Translation) minangka mekanisme kanggo ngowahi alamat IP saka paket jaringan. Ing istilah Fortinet, NAT dipΓ©rang dadi rong jinis: NAT Sumber lan NAT Tujuan.
Jeneng kasebut ngomong dhewe - nalika nggunakake Source NAT, alamat sumber diganti, nalika nggunakake Destination NAT, alamat tujuan diganti.
Kajaba iku, ana uga sawetara opsi kanggo nyetel NAT - Firewall Policy NAT lan Central NAT.
Nalika nggunakake pilihan pisanan, Sumber lan Tujuan NAT kudu dikonfigurasi kanggo saben kabijakan keamanan. Ing kasus iki, Source NAT nggunakake alamat IP antarmuka sing metu utawa IP Pool sing wis dikonfigurasi. Tujuan NAT nggunakake obyek sing wis dikonfigurasi (sing diarani VIP - Virtual IP) minangka alamat tujuan.
Nalika nggunakake Central NAT, konfigurasi NAT Sumber lan Tujuan ditindakake kanggo kabeh piranti (utawa domain virtual) bebarengan. Ing kasus iki, setelan NAT ditrapake kanggo kabeh kawicaksanan, gumantung ing Source NAT lan aturan NAT Tujuan.
Aturan Source NAT dikonfigurasi ing kabijakan Source NAT pusat. Tujuan NAT dikonfigurasi saka menu DNAT nggunakake alamat IP.
Ing wulangan iki, kita bakal nimbang mung Firewall Policy NAT - minangka praktik nuduhake, opsi konfigurasi iki luwih umum tinimbang Central NAT.
Kaya sing wis dakkandhakake, nalika ngatur Firewall Policy Source NAT, ana rong pilihan konfigurasi: ngganti alamat IP karo alamat antarmuka sing metu, utawa nganggo alamat IP saka blumbang alamat IP sing wis dikonfigurasi. Katon kaya sing ditampilake ing gambar ing ngisor iki. Sabanjure, aku bakal ngomong babagan blumbang sing bisa ditindakake, nanging ing praktik kita mung bakal nimbang opsi kasebut kanthi alamat antarmuka sing metu - ing tata letak kita, kita ora butuh blumbang alamat IP.
Kolam IP nemtokake siji utawa luwih alamat IP sing bakal digunakake minangka alamat sumber sajrone sesi. Alamat IP iki bakal digunakake tinimbang alamat IP antarmuka metu FortiGate.
Ana 4 jinis blumbang IP sing bisa dikonfigurasi ing FortiGate:
- kakehan
- Siji-siji
- Range Port tetep
- Alokasi blok port
Overload punika blumbang IP utama. Ngonversi alamat IP nggunakake skema akeh-kanggo-siji utawa akeh-kanggo-akeh. Terjemahan port uga digunakake. Coba sirkuit sing ditampilake ing gambar ing ngisor iki. Kita duwe paket kanthi lapangan Sumber lan Tujuan sing ditemtokake. Yen ana ing kabijakan firewall sing ngidini paket iki ngakses jaringan eksternal, aturan NAT ditrapake. AkibatΓ©, ing paket iki lapangan Source diganti karo salah siji saka alamat IP kasebut ing IP pool.
A One to One pool uga nemtokake akeh alamat IP eksternal. Nalika paket kasebut ana ing kabijakan firewall kanthi aturan NAT diaktifake, alamat IP ing kolom Sumber diganti dadi salah sawijining alamat sing ana ing blumbang iki. Panggantos nderek aturan "first in, first out". Supaya luwih cetha, ayo dideleng contone.
Komputer ing jaringan lokal kanthi alamat IP 192.168.1.25 ngirim paket menyang jaringan eksternal. Iku tumiba ing aturan NAT, lan lapangan Source diganti menyang alamat IP pisanan saka blumbang, ing kasus kita iku 83.235.123.5. Wigati dicathet yen nalika nggunakake blumbang IP iki, terjemahan port ora digunakake. Yen sawise iki komputer saka jaringan lokal sing padha, kanthi alamat, sebutno, 192.168.1.35, ngirim paket menyang jaringan eksternal lan uga ana ing aturan NAT iki, alamat IP ing kolom Sumber paket iki bakal diganti dadi. 83.235.123.6. Yen ora ana alamat maneh ing blumbang, sambungan sabanjure bakal ditolak. Yaiku, ing kasus iki, 4 komputer bisa dadi aturan NAT ing wektu sing padha.
Range Port Tetap nyambungake kisaran internal lan eksternal alamat IP. Terjemahan port uga dipateni. Iki ngidini sampeyan nggandhengake wiwitan utawa pungkasan blumbang alamat IP internal kanthi permanen karo wiwitan utawa pungkasan blumbang alamat IP eksternal. Ing conto ing ngisor iki, blumbang alamat internal 192.168.1.25 - 192.168.1.28 dipetakan menyang blumbang alamat eksternal 83.235.123.5 - 83.235.125.8.
Alokasi Blok Port - blumbang IP iki digunakake kanggo ngalokasi blokir port kanggo pangguna blumbang IP. Saliyane blumbang IP dhewe, rong paramèter uga kudu ditemtokake ing kene - ukuran blok lan jumlah blok sing diparengake kanggo saben pangguna.
Saiki ayo goleki teknologi Destination NAT. Iki adhedhasar alamat IP virtual (VIP). Kanggo paket sing ana ing aturan Destination NAT, alamat IP ing kolom Destinasi diganti: biasane alamat Internet umum diganti dadi alamat pribadi server. Alamat IP virtual digunakake ing kabijakan firewall minangka kolom Tujuan.
Tipe standar alamat IP virtual yaiku Static NAT. Iki minangka korespondensi siji-kanggo-siji antarane alamat eksternal lan internal.
Tinimbang NAT Statis, alamat virtual bisa diwatesi kanthi nerusake port tartamtu. Contone, nggandhengake sambungan menyang alamat eksternal ing port 8080 karo sambungan menyang alamat IP internal ing port 80.
Ing conto ing ngisor iki, komputer kanthi alamat 172.17.10.25 nyoba ngakses alamat 83.235.123.20 ing port 80. Sambungan iki ana ing aturan DNAT, mula alamat IP tujuan diganti dadi 10.10.10.10.
Video kasebut mbahas teori kasebut lan uga menehi conto praktis babagan konfigurasi Sumber lan Tujuan NAT.
Ing pelajaran sabanjure kita bakal nerusake kanggo njamin keamanan pangguna ing Internet. Secara khusus, pawulangan sabanjure bakal ngrembug babagan fungsi panyaring web lan kontrol aplikasi. Supaya ora kantun, tindakake nganyari ing saluran ing ngisor iki:
Source: www.habr.com