Sveikinimai! Sveiki atvykę į penktąją kurso pamoką . Apie Mes išsiaiškinome, kaip veikia saugumo politika. Dabar atėjo laikas paleisti vietinius vartotojus į internetą. Norėdami tai padaryti, šioje pamokoje apžvelgsime NAT mechanizmo veikimą.
Be vartotojų išleidimo į internetą, mes taip pat apžvelgsime vidinių paslaugų paskelbimo metodą. Po pjūviu pateikiama trumpa teorija iš vaizdo įrašo, taip pat pati vaizdo pamoka.
NAT (Network Address Translation) technologija yra tinklo paketų IP adresų konvertavimo mechanizmas. Fortinet terminais NAT skirstomas į du tipus: šaltinio NAT ir paskirties NAT.
Pavadinimai kalba patys už save – naudojant Source NAT, pasikeičia šaltinio adresas, naudojant Destination NAT – paskirties adresas.
Be to, yra keletas NAT nustatymo parinkčių – ugniasienės politika NAT ir centrinis NAT.
Kai naudojate pirmąją parinktį, kiekvienai saugos strategijai reikia sukonfigūruoti šaltinio ir paskirties NAT. Tokiu atveju šaltinio NAT naudoja arba išeinančios sąsajos IP adresą, arba iš anksto sukonfigūruotą IP telkinį. Paskirties NAT kaip paskirties adresą naudoja iš anksto sukonfigūruotą objektą (vadinamąjį VIP – virtualų IP).
Naudojant centrinį NAT, šaltinio ir paskirties NAT konfigūracija atliekama visam įrenginiui (arba virtualiam domenui) vienu metu. Šiuo atveju NAT nustatymai taikomi visoms strategijoms, atsižvelgiant į šaltinio NAT ir paskirties NAT taisykles.
Šaltinio NAT taisyklės sukonfigūruotos centrinėje šaltinio NAT politikoje. Paskirties NAT konfigūruojamas iš DNAT meniu naudojant IP adresus.
Šioje pamokoje mes apsvarstysime tik ugniasienės politiką NAT - kaip rodo praktika, ši konfigūravimo parinktis yra daug labiau paplitusi nei centrinis NAT.
Kaip jau sakiau, konfigūruojant ugniasienės politikos šaltinio NAT, yra dvi konfigūracijos parinktys: pakeisti IP adresą išeinančios sąsajos adresu arba IP adresu iš iš anksto sukonfigūruoto IP adresų telkinio. Tai atrodo panašiai kaip parodyta paveikslėlyje žemiau. Toliau trumpai pakalbėsiu apie galimus telkinius, tačiau praktiškai apsvarstysime tik variantą su išeinančios sąsajos adresu – mūsų makete mums nereikia IP adresų telkinių.
IP telkinys apibrėžia vieną ar daugiau IP adresų, kurie seanso metu bus naudojami kaip šaltinio adresas. Šie IP adresai bus naudojami vietoj FortiGate išeinančios sąsajos IP adreso.
„FortiGate“ galima konfigūruoti 4 tipų IP telkinius:
- perkrovimas
- Vienas prie vieno
- Fiksuotas prievadų diapazonas
- Uosto bloko paskirstymas
Perkrova yra pagrindinis IP telkinys. Jis konvertuoja IP adresus naudodamas schemą „daugelis į vieną“ arba „daugelis su daug“. Taip pat naudojamas uosto vertimas. Apsvarstykite žemiau esančiame paveikslėlyje parodytą grandinę. Turime paketą su apibrėžtais šaltinio ir paskirties laukais. Jei jam taikoma ugniasienės politika, leidžianti šiam paketui pasiekti išorinį tinklą, jam taikoma NAT taisyklė. Dėl to šiame pakete laukas Šaltinis pakeičiamas vienu iš IP telkinyje nurodytų IP adresų.
„One to One“ telkinys taip pat apibrėžia daugybę išorinių IP adresų. Kai paketui taikoma ugniasienės politika, kai įjungta NAT taisyklė, IP adresas lauke Šaltinis pakeičiamas į vieną iš šiam telkiniui priklausančių adresų. Keitimas atliekamas pagal taisyklę „pirmas įeina, pirmas išeina“. Kad būtų aiškiau, pažvelkime į pavyzdį.
Vietiniame tinkle esantis kompiuteris su IP adresu 192.168.1.25 siunčia paketą į išorinį tinklą. Jam taikoma NAT taisyklė, o laukas Šaltinis pakeičiamas į pirmąjį IP adresą iš telkinio, mūsų atveju jis yra 83.235.123.5. Verta paminėti, kad naudojant šį IP telkinį, prievado vertimas nenaudojamas. Jei po to kompiuteris iš to paties vietinio tinklo, kurio adresas, tarkime, 192.168.1.35, siunčia paketą į išorinį tinklą ir jam taip pat taikoma ši NAT taisyklė, IP adresas šio paketo lauke Šaltinis pasikeis į 83.235.123.6. Jei telkinyje nebeliks adresų, tolesni ryšiai bus atmesti. Tai reiškia, kad šiuo atveju mūsų NAT taisyklė gali būti taikoma 4 kompiuteriams vienu metu.
Fiksuotas prievadų diapazonas jungia vidinius ir išorinius IP adresų diapazonus. Prievado vertimas taip pat išjungtas. Tai leidžia visam laikui susieti vidinių IP adresų rinkinio pradžią arba pabaigą su išorinių IP adresų rinkinio pradžia arba pabaiga. Toliau pateiktame pavyzdyje vidinis adresų telkinys 192.168.1.25 - 192.168.1.28 yra susietas su išoriniu adresų telkiniu 83.235.123.5 - 83.235.125.8.
Port Block Allocation – šis IP telkinys naudojamas prievadų blokui paskirstyti IP telkinio vartotojams. Be paties IP telkinio, čia taip pat turi būti nurodyti du parametrai - bloko dydis ir kiekvienam vartotojui skiriamų blokų skaičius.
Dabar pažvelkime į Destination NAT technologiją. Jis pagrįstas virtualiais IP adresais (VIP). Paketų, kuriems taikomos paskirties NAT taisyklės, IP adresas lauke Paskirtis pasikeičia: paprastai viešasis interneto adresas pakeičiamas į privatų serverio adresą. Virtualūs IP adresai naudojami ugniasienės strategijose kaip paskirties laukas.
Standartinis virtualių IP adresų tipas yra statinis NAT. Tai yra vienas su vienu išorinių ir vidinių adresų atitikimas.
Vietoj statinio NAT virtualius adresus galima apriboti persiunčiant konkrečius prievadus. Pavyzdžiui, susiekite ryšius su išoriniu adresu 8080 prievade su ryšiu su vidiniu IP adresu 80 prievade.
Toliau pateiktame pavyzdyje kompiuteris, kurio adresas yra 172.17.10.25, bando pasiekti adresą 83.235.123.20 per 80 prievadą. Šiam ryšiui taikoma DNAT taisyklė, todėl paskirties IP adresas pakeičiamas į 10.10.10.10.
Vaizdo įraše aptariama teorija ir pateikiami praktiniai šaltinio ir paskirties NAT konfigūravimo pavyzdžiai.
Kitose pamokose pereisime prie vartotojų saugumo internete užtikrinimo. Konkrečiai, kitoje pamokoje bus aptariamas žiniatinklio filtravimo ir programų valdymo funkcionalumas. Kad nepraleistumėte, sekite naujienas šiuose kanaluose:
Šaltinis: www.habr.com