Sveiki atvykę į 8 pamoką. Pamoka labai svarbi, nes... Baigę galėsite sukonfigūruoti interneto prieigą savo vartotojams! Turiu pripažinti, kad daugelis žmonių šiuo metu nustoja kurtis 🙂 Bet mes nesame iš jų! O mūsų dar laukia daug įdomių dalykų. O dabar prie mūsų pamokos temos.
Kaip tikriausiai jau atspėjote, šiandien kalbėsime apie NAT. Esu tikras, kad visi, kurie žiūri šią pamoką, žino, kas yra NAT. Todėl išsamiai neaprašysime, kaip tai veikia. Tik dar kartą pasikartosiu, kad NAT yra adresų vertimo technologija, kuri buvo išrasta siekiant sutaupyti "baltų pinigų", t.y. viešieji IP (tie adresai, kurie nukreipiami internete).
Ankstesnėje pamokoje tikriausiai jau pastebėjote, kad NAT yra prieigos kontrolės politikos dalis. Tai gana logiška. „SmartConsole“ NAT nustatymai pateikiami atskirame skirtuke. Šiandien tikrai ten pažiūrėsime. Apskritai šioje pamokoje aptarsime NAT tipus, sukonfigūruosime prieigą prie interneto ir pažvelgsime į klasikinį prievado persiuntimo pavyzdį. Tie. funkcionalumas, kuris dažniausiai naudojamas įmonėse. Pradėkime.
Du NAT konfigūravimo būdai
„Check Point“ palaiko du NAT konfigūravimo būdus: Automatinis NAT и Rankinis NAT. Be to, kiekvienam iš šių metodų yra du vertimo tipai: Slėpti NAT и Statinis NAT. Apskritai tai atrodo taip:
Suprantu, kad greičiausiai viskas dabar atrodo labai sudėtinga, todėl pažvelkime į kiekvieną tipą šiek tiek išsamiau.
Automatinis NAT
Tai greičiausias ir lengviausias būdas. NAT konfigūravimas atliekamas vos dviem paspaudimais. Viskas, ką jums reikia padaryti, tai atidaryti norimo objekto ypatybes (ar tai būtų šliuzas, tinklas, priegloba ir pan.), eikite į NAT skirtuką ir pažymėkite „Pridėkite automatinio adreso vertimo taisykles“ Čia pamatysite lauką – vertimo būdą. Kaip minėta aukščiau, iš jų yra du.
1. Aitomatic Slėpti NAT
Pagal numatytuosius nustatymus tai yra Slėpti. Tie. šiuo atveju mūsų tinklas „pasislėps“ už kažkokio viešo IP adreso. Šiuo atveju adresas gali būti paimtas iš išorinės šliuzo sąsajos arba galite nurodyti kitą. Šis NAT tipas dažnai vadinamas dinamine arba daug prieš vieną, nes Keli vidiniai adresai verčiami į vieną išorinį. Žinoma, tai įmanoma naudojant skirtingus prievadus transliuojant. Slėpti NAT veikia tik viena kryptimi (iš vidaus į išorę) ir idealiai tinka vietiniams tinklams, kai tereikia suteikti prieigą prie interneto. Jei srautas inicijuojamas iš išorinio tinklo, NAT, žinoma, neveiks. Tai suteikia papildomą apsaugą vidiniams tinklams.
2. Automatinis statinis NAT
Slėpti NAT yra naudinga visiems, bet galbūt jums reikia suteikti prieigą iš išorinio tinklo prie kurio nors vidinio serverio. Pavyzdžiui, į DMZ serverį, kaip mūsų pavyzdyje. Šiuo atveju mums gali padėti statinis NAT. Tai taip pat gana lengva nustatyti. Pakanka objekto ypatybėse pakeisti vertimo metodą į Static ir nurodyti viešą IP adresą, kuris bus naudojamas NAT (žr. paveikslėlį viršuje). Tie. jei kas nors iš išorinio tinklo prisijungs prie šio adreso (bet kuriame prievade!), užklausa bus perduota serveriui su vidiniu IP. Be to, jei serveris prisijungs prie interneto, jo IP taip pat pasikeis į mūsų nurodytą adresą. Tie. Tai NAT abiem kryptimis. Jis taip pat vadinamas vienas su viena ir kartais naudojamas viešiesiems serveriams. Kodėl „kartais“? Nes turi vieną didelį trūkumą – viešas IP adresas yra visiškai užimtas (visi prievadai). Negalite naudoti vieno viešojo adreso skirtingiems vidiniams serveriams (su skirtingais prievadais). Pavyzdžiui, HTTP, FTP, SSH, SMTP ir kt. Rankinis NAT gali išspręsti šią problemą.
Rankinis NAT
Rankinio NAT ypatumas yra tas, kad vertimo taisykles reikia susikurti patiems. Tame pačiame prieigos valdymo politikos skirtuke NAT. Tuo pačiu metu rankinis NAT leidžia kurti sudėtingesnes vertimo taisykles. Galite naudoti šiuos laukus: Originalus šaltinis, Originalus tikslas, Original Services, Translated Source, Translated Destination, Translated Services.
Čia taip pat galimi du NAT tipai – Slėpti ir Statinis.
1. Rankiniu būdu Slėpti NAT
Slėpti NAT šiuo atveju gali būti naudojamas įvairiose situacijose. Pora pavyzdžių:
- Kai pasiekiate konkretų šaltinį iš vietinio tinklo, norite naudoti kitą transliacijos adresą (skirtingą nuo naudojamo visais kitais atvejais).
- Vietiniame tinkle yra daug kompiuterių. Automatinis Slėpti NAT čia neveiks, nes... Šia sąranka galima nustatyti tik vieną viešą IP adresą, už kurio „pasislėps“ kompiuteriai. Gali tiesiog neužtekti prievadų transliacijai. Yra, kaip pamenate, kiek daugiau nei 65 tūkst. Be to, kiekvienas kompiuteris gali generuoti šimtus seansų. Rankinis Slėpti NAT leidžia nustatyti viešųjų IP adresų telkinį lauke Išverstas šaltinis. Taip padidinamas galimų NAT vertimų skaičius.
2. Rankinis statinis NAT
Statinis NAT naudojamas daug dažniau rankiniu būdu kuriant vertimo taisykles. Klasikinis pavyzdys yra prievado peradresavimas. Atvejis, kai viešasis IP adresas (kuris gali priklausyti šliuzui) pasiekiamas iš išorinio tinklo tam tikrame prievade ir užklausa paverčiama į vidinį šaltinį. Laboratoriniuose darbuose 80 prievadą persiųsime į DMZ serverį.
Vaizdo pamoka
Sekite naujienas ir prisijunkite prie mūsų ????
Šaltinis: www.habr.com