Silav! Hûn bi xêr hatin dersa pêncemîn a qursê . Li ser Me fêm kir ku polîtîkayên ewlehiyê çawa dixebitin. Naha dem dema berdana bikarhênerên herêmî ye li ser Înternetê. Ji bo vê yekê, di vê dersê de em ê li xebata mekanîzmaya NAT binêrin.
Ji bilî berdana bikarhêneran ji Înternetê re, em ê li rêbazek weşandina karûbarên navxweyî jî binêrin. Li jêr qutkirinê teoriyek kurt ji vîdyoyê, û her weha dersa vîdyoyê bixwe jî heye.
Teknolojiya NAT (Wergera Navnîşana Torê) mekanîzmayek e ku navnîşanên IP-ê yên pakêtên torê veguherîne. Di şertên Fortinet de, NAT li du celeb têne dabeş kirin: Çavkanî NAT û Destination NAT.
Nav bi xwe dipeyivin - dema ku Çavkanî NAT bikar tînin, navnîşana çavkaniyê diguhere, dema ku Destination NAT bikar tîne, navnîşana mebestê diguhere.
Wekî din, ji bo sazkirina NAT - Siyaseta Firewall NAT û NAT ya Navendî jî gelek vebijark hene.
Dema ku vebijarka yekem bikar bînin, Çavkanî û Deste NAT divê ji bo her polîtîkaya ewlehiyê were mîheng kirin. Di vê rewşê de, Çavkaniya NAT an navnîşana IP-ya pêwendiya derketinê an jî hewzek IP-ya pêş-sazkirî bikar tîne. NAT-a meqsedê wekî navnîşana mebestê hêmanek pêş-sazkirî (bi navê VIP - IP-ya Virtual) bikar tîne.
Dema ku NAT-a Navendî bikar tînin, veavakirina NAT-a Çavkanî û Deste ji bo tevahiya cîhazê (an jî qada virtual) yekcar tê kirin. Di vê rewşê de, mîhengên NAT li ser hemî polîtîkayan derbas dibin, li gorî qaîdeyên Çavkanî NAT û Destination NAT.
Rêbazên NAT-a çavkaniyê di polîtîkaya navendî ya Çavkaniya NAT-ê de têne mîheng kirin. Destination NAT ji menuya DNAT-ê bi karanîna navnîşanên IP-yê ve hatî mîheng kirin.
Di vê dersê de, em ê tenê Siyaseta Firewall NAT-ê bifikirin - wekî ku pratîk destnîşan dike, ev vebijarka veavakirinê ji NAT-a Navendî pirtir e.
Wekî ku min berê jî got, dema mîhengkirina Çavkaniya Siyaseta Firewall NAT-ê, du vebijarkên mîhengê hene: guheztina navnîşana IP-yê bi navnîşana navrûya derketinê, an jî bi navnîşanek IP-yê ji hewzek berê vesazkirî ya navnîşanên IP-yê. Ew tiştek mîna ya ku di wêneya jêrîn de tê nîşandan xuya dike. Dûv re, ez ê bi kurtasî li ser hewzên mimkun biaxivim, lê di pratîkê de em ê tenê vebijarkê bi navnîşana navbeynkariya derketinê bihesibînin - di sêwirana me de, em hewce ne hewzên navnîşana IP-yê ne.
Hewza IP-ê yek an çend navnîşanên IP-yê ku dê di dema danişînê de wekî navnîşana çavkaniyê were bikar anîn destnîşan dike. Dê ev navnîşanên IP-ê li şûna navnîşana IP-ya navbeynkariya derketinê ya FortiGate werin bikar anîn.
4 celeb hewzên IP-yê hene ku dikarin li ser FortiGate werin mîheng kirin:
- Bargirankirin
- Yek bi yek
- Rêzeya Portê ya Fixed
- Dabeşkirina bloka portê
Overload hewza IP ya sereke ye. Ew navnîşanên IP-ê bi karanîna nexşeyek pir-bi-yek an pir-bi-gelek vediguherîne. Wergera portê jî tê bikaranîn. Li dora ku di jimareya jêrîn de tê xuyang kirin bifikirin. Me pakêtek bi qadên Çavkanî û Destedanê diyarkirî heye. Ger ew di bin siyasetek dîwarê agir de be ku destûrê dide vê pakêtê ku bigihîje tora derveyî, qaîdeyek NAT li ser tê sepandin. Wekî encamek, di vê pakêtê de qada Çavkaniyê bi yek ji navnîşanên IP-ê yên ku di hewza IP-ê de hatine destnîşan kirin tê guheztin.
Hewzeyek Yek ji Yek jî gelek navnîşanên IP-ya derveyî diyar dike. Dema ku pakêtek dikeve bin polîtîkayek dîwarê agir ku qaîdeya NAT-ê çalak e, navnîşana IP-ya di qada Çavkaniyê de dibe yek ji navnîşanên ku aîdê vê hewzê ye. Veguheztin qaîdeya "yekemîn hundur, yekem der" dişopîne. Ji bo ku ew zelaltir bibe, em li mînakek binêrin.
Komputerek li ser tora herêmî ya bi navnîşana IP-ya 192.168.1.25 pakêtek ji tora derveyî re dişîne. Ew di bin qaîdeya NAT de ye, û qada Çavkaniyê ji hewzê re navnîşana IP-ya yekem tê guheztin, di rewşa me de ew 83.235.123.5 e. Hêjayî gotinê ye ku dema ku vê hewza IP-yê bikar tîne, wergera portê nayê bikar anîn. Ger piştî vê yekê komputerek ji heman tora herêmî, bi navnîşana, bêje, 192.168.1.35, pakêtek bişîne tora derveyî û di heman demê de bikeve bin vê qaîdeya NAT, navnîşana IP ya di qada Çavkaniyê ya vê pakêtê de dê bibe 83.235.123.6. Ger navnîşanên din di hewzê de nemînin, girêdanên paşîn dê bêne red kirin. Ango, di vê rewşê de, 4 komputer dikarin di heman demê de di bin serweriya meya NAT de bin.
Rêzeya Portê ya Fixed rêzikên hundur û derveyî yên navnîşanên IP-yê girêdide. Wergera portê jî neçalak e. Ev dihêle hûn bi domdarî destpêk an dawiya hewzek navnîşanên IP-ya hundurîn bi destpêk an dawiya hewzek navnîşanên IP-ya derveyî re bi domdarî têkildar bikin. Di mînaka jêrîn de, hewza navnîşana navxweyî 192.168.1.25 - 192.168.1.28 bi hewza navnîşana derveyî 83.235.123.5 - 83.235.125.8 ve hatî nexşandin.
Veqetandina bloka portê - ev hewza IP-yê ji bo veqetandina bloka portan ji bo bikarhênerên hewza IP-yê tê bikar anîn. Ji bilî hewza IP-ê bixwe, divê du parameter jî li vir bêne diyar kirin - mezinahiya blokê û hejmara blokên ku ji bo her bikarhênerek têne veqetandin.
Naha em li teknolojiya Destination NAT binêrin. Ew li ser navnîşanên IP-ya virtual (VIP) ye. Ji bo pakêtên ku di bin qaîdeyên Destination NAT de ne, navnîşana IP-ya di qada Destination de diguhezîne: bi gelemperî navnîşana Internetnternetê ya giştî diguhezîne navnîşana taybetî ya serverê. Navnîşanên IP-ya virtual di polîtîkayên dîwarê agir de wekî qada Destûra têne bikar anîn.
Cûreya standard ya navnîşanên IP-ya virtual Static NAT e. Ev pêwendiyek yek-bi-yek di navbera navnîşanên derve û hundurîn de ye.
Li şûna Static NAT, navnîşanên virtual dikarin bi şandina portên taybetî bêne sînorkirin. Mînakî, girêdanên bi navnîşanek derveyî ya li porta 8080 re bi girêdanek bi navnîşanek IP-ya navxweyî ya li porta 80-ê re têkildar bikin.
Di mînaka jêrîn de, komputerek bi navnîşana 172.17.10.25 hewl dide ku bigihîje navnîşana 83.235.123.20 li porta 80. Ev pêwend di bin qaîdeya DNAT de ye, ji ber vê yekê navnîşana IP-ya armancê wekî 10.10.10.10 tê guhertin.
Vîdyo teoriyê nîqaş dike û di heman demê de mînakên pratîkî yên mîhengkirina Çavkanî û Deste NAT-ê jî peyda dike.
Di dersên pêş de em ê li ser ewlehiya bikarhênerê li ser Înternetê bisekinin. Bi taybetî, dersa paşîn dê fonksiyona fîlterkirina malperê û kontrolkirina serîlêdanê nîqaş bike. Ji bo ku hûn wê ji bîr nekin, nûvekirinên li ser kanalên jêrîn bişopînin:
Source: www.habr.com
