8-сабаққа қош келдіңіздер. Сабақ өте маңызды, өйткені... Аяқтағаннан кейін сіз пайдаланушыларыңыз үшін Интернетке қол жеткізуді конфигурациялай аласыз! Мойындауым керек, көптеген адамдар осы сәтте орнатуды тоқтатады 🙂 Бірақ біз олардың бірі емеспіз! Алда бізді әлі талай қызықтар күтіп тұр. Ал енді сабағымыздың тақырыбына көшейік.
Сіз қазірдің өзінде болжағаныңыздай, бүгін біз NAT туралы сөйлесетін боламыз. Бұл сабақты көргендердің бәрі NAT не екенін білетініне сенімдімін. Сондықтан біз оның қалай жұмыс істейтінін егжей-тегжейлі сипаттамаймыз. Мен тағы бір рет қайталаймын, NAT - бұл «ақ ақшаны» үнемдеу үшін ойлап табылған мекенжайды аудару технологиясы, яғни. жалпыға қолжетімді IP мекенжайлары (Интернетте бағытталатын мекенжайлар).
Өткен сабақта NAT қатынасты басқару саясатының бөлігі екенін байқаған боларсыз. Бұл әбден қисынды. SmartConsole бағдарламасында NAT параметрлері бөлек қойындыда орналастырылған. Бүгін міндетті түрде қараймыз. Жалпы, бұл сабақта біз NAT түрлерін талқылаймыз, Интернетке кіруді конфигурациялаймыз және портты қайта жіберудің классикалық мысалын қарастырамыз. Анау. компанияларда жиі қолданылатын функционалдылық. Бастайық.
NAT конфигурациялаудың екі жолы
Check Point NAT конфигурациялаудың екі әдісін қолдайды: Автоматты NAT и Қолмен NAT. Сонымен қатар, осы әдістердің әрқайсысы үшін аударманың екі түрі бар: NAT жасыру и Статикалық NAT. Жалпы, бұл суретке ұқсайды:
Мен қазір бәрі өте күрделі болып көрінетінін түсінемін, сондықтан әр түрді толығырақ қарастырайық.
Автоматты NAT
Бұл ең жылдам және оңай жол. NAT конфигурациялау екі рет басу арқылы орындалады. Қажетті нысанның (шлюз, желі, хост және т.б.) қасиеттерін ашу керек, NAT қойындысына өтіп, «Мекенжайды автоматты түрде аудару ережелерін қосыңыз" Мұнда сіз өрісті көресіз - аударма әдісі. Жоғарыда айтылғандай, олардың екеуі бар.
1. NAT автоматты жасыру
Әдепкі бойынша бұл Жасыру. Анау. бұл жағдайда біздің желі кейбір жалпыға ортақ IP мекенжайының артына «жасырады». Бұл жағдайда мекенжай шлюздің сыртқы интерфейсінен алынуы мүмкін немесе басқа біреуін көрсетуге болады. NAT-тың бұл түрі жиі динамикалық немесе деп аталады көпке-бірге, өйткені Бірнеше ішкі адрестер бір сыртқы адреске аударылады. Әрине, бұл хабар тарату кезінде әртүрлі порттарды пайдалану арқылы мүмкін болады. Hide NAT тек бір бағытта (іштен сыртқа қарай) жұмыс істейді және Интернетке кіруді қамтамасыз ету қажет болған кезде жергілікті желілер үшін өте қолайлы. Егер трафик сыртқы желіден басталса, NAT табиғи түрде жұмыс істемейді. Бұл ішкі желілер үшін қосымша қорғаныс болып шықты.
2. Автоматты статикалық NAT
NAT жасыру барлығына жақсы, бірақ сыртқы желіден кейбір ішкі серверге кіруді қамтамасыз ету қажет болуы мүмкін. Мысалы, біздің мысалдағыдай DMZ серверіне. Бұл жағдайда бізге Static NAT көмектесе алады. Оны орнату да өте оңай. Нысан сипаттарында аударма әдісін Статикалық етіп өзгерту және NAT үшін пайдаланылатын жалпы IP мекенжайын көрсету жеткілікті (жоғарыдағы суретті қараңыз). Анау. егер сыртқы желіден біреу осы мекенжайға кірсе (кез келген портта!), онда сұрау ішкі IP мекенжайы бар серверге жіберіледі. Сонымен қатар, егер сервердің өзі желіге қосылса, оның IP мекенжайы да біз көрсеткен мекенжайға өзгереді. Анау. Бұл екі бағыттағы NAT. Оны да атайды бір-біріне кейде жалпыға ортақ серверлер үшін пайдаланылады. Неліктен «кейде»? Өйткені оның бір үлкен кемшілігі бар – жалпыға ортақ IP мекенжайы толығымен бос (барлық порттар). Әртүрлі ішкі серверлер үшін (әртүрлі порттармен) бір жалпы мекенжайды пайдалана алмайсыз. Мысалы, HTTP, FTP, SSH, SMTP және т.б. Қолмен NAT бұл мәселені шеше алады.
Қолмен NAT
Manual NAT ерекшелігі - аударма ережелерін өзіңіз жасауыңыз керек. Қатынасты басқару саясатындағы бірдей NAT қойындысында. Сонымен қатар, Manual NAT сізге күрделі аударма ережелерін жасауға мүмкіндік береді. Келесі өрістер сізге қолжетімді: Түпнұсқа көз, Түпнұсқа тағайындау, Түпнұсқа қызметтер, Аударылған дереккөз, Аударылған мақсат, Аударылған қызметтер.
Мұнда NAT-тың екі түрі де мүмкін - жасыру және статикалық.
1. NAT қолмен жасыру
NAT жасыру бұл жағдайда әртүрлі жағдайларда қолданылуы мүмкін. Бір-екі мысал:
- Жергілікті желіден белгілі бір ресурсқа қол жеткізген кезде, сіз басқа тарату мекенжайын (барлық басқа жағдайлар үшін пайдаланылғаннан басқа) пайдаланғыңыз келеді.
- Жергілікті желіде көптеген компьютерлер бар. Автоматты түрде жасыру NAT бұл жерде жұмыс істемейді, себебі... Бұл орнату арқылы компьютерлер «жасырынатын» бір ғана жалпы IP мекенжайын орнатуға болады. Тарату үшін порттар жеткіліксіз болуы мүмкін. Естеріңізде болса, 65 мыңнан сәл астам. Сонымен қатар, әрбір компьютер жүздеген сеанстарды жасай алады. NAT қолмен жасыру Аударылған көз өрісінде жалпы IP мекенжайларының пулын орнатуға мүмкіндік береді. Осылайша ықтимал NAT аудармаларының санын көбейту.
2. Қолмен статикалық NAT
Статикалық NAT аударма ережелерін қолмен жасағанда әлдеқайда жиі пайдаланылады. Классикалық мысал - портты қайта жіберу. Жалпы IP мекенжайына (шлюзге тиесілі болуы мүмкін) белгілі бір порттағы сыртқы желіден қол жеткізу және сұрау ішкі ресурсқа аударылған жағдай. Зертханалық жұмысымызда біз DMZ серверіне 80 портты жібереміз.
Бейне сабағы
Көбірек хабардар болыңыз және бізге қосылыңыз 🙂
Ақпарат көзі: www.habr.com