Sveiciens! Laipni lūdzam kursa piektajā nodarbībā . Par Mēs esam sapratuši, kā darbojas drošības politikas. Tagad ir pienācis laiks atbrīvot vietējos lietotājus internetā. Lai to izdarītu, šajā nodarbībā aplūkosim NAT mehānisma darbību.
Papildus lietotāju atbrīvošanai internetā mēs apskatīsim arī iekšējo pakalpojumu publicēšanas metodi. Zem griezuma ir īsa teorija no video, kā arī pati video nodarbība.
NAT (Network Address Translation) tehnoloģija ir mehānisms tīkla pakešu IP adrešu konvertēšanai. Fortinet izteiksmē NAT ir sadalīts divos veidos: avota NAT un galamērķa NAT.
Nosaukumi runā paši par sevi – izmantojot Source NAT, mainās avota adrese, izmantojot Destination NAT, mainās galamērķa adrese.
Turklāt ir arī vairākas NAT iestatīšanas iespējas - Firewall Policy NAT un Central NAT.
Izmantojot pirmo opciju, katrai drošības politikai ir jākonfigurē avota un galamērķa NAT. Šajā gadījumā avota NAT izmanto vai nu izejošā interfeisa IP adresi, vai iepriekš konfigurētu IP kopu. Galamērķa NAT kā mērķa adresi izmanto iepriekš konfigurētu objektu (tā saukto VIP — virtuālo IP).
Izmantojot centrālo NAT, avota un galamērķa NAT konfigurācija tiek veikta uzreiz visai ierīcei (vai virtuālajam domēnam). Šajā gadījumā NAT iestatījumi attiecas uz visām politikām atkarībā no avota NAT un galamērķa NAT kārtulām.
Avota NAT kārtulas ir konfigurētas centrālajā avota NAT politikā. Galamērķa NAT tiek konfigurēts no DNST izvēlnes, izmantojot IP adreses.
Šajā nodarbībā mēs apskatīsim tikai ugunsmūra politikas NAT - kā liecina prakse, šī konfigurācijas opcija ir daudz izplatītāka nekā centrālais NAT.
Kā jau teicu, konfigurējot ugunsmūra politikas avota NAT, ir divas konfigurācijas iespējas: IP adreses aizstāšana ar izejošā interfeisa adresi vai IP adrese no iepriekš konfigurēta IP adrešu kopuma. Tas izskatās līdzīgi tam, kas parādīts zemāk esošajā attēlā. Tālāk es īsi runāšu par iespējamiem pūliem, bet praksē mēs apsvērsim tikai iespēju ar izejošā interfeisa adresi - mūsu izkārtojumā mums nav nepieciešami IP adrešu pūli.
IP pūls definē vienu vai vairākas IP adreses, kas tiks izmantotas kā avota adrese sesijas laikā. Šīs IP adreses tiks izmantotas FortiGate izejošā interfeisa IP adreses vietā.
Ir 4 veidu IP pūli, kurus var konfigurēt FortiGate:
- Pārslodze
- Viens pret vienu
- Fiksēts portu diapazons
- Portu bloku piešķiršana
Pārslodze ir galvenais IP kopums. Tas pārveido IP adreses, izmantojot shēmu "daudzi pret vienu" vai "daudzi pret daudziem". Tiek izmantots arī portu tulkojums. Apsveriet ķēdi, kas parādīta attēlā zemāk. Mums ir pakotne ar noteiktiem laukiem Avots un Galamērķis. Ja uz to attiecas ugunsmūra politika, kas ļauj šai paketei piekļūt ārējam tīklam, tai tiek piemērota NAT kārtula. Rezultātā šajā paketē lauks Avots tiek aizstāts ar vienu no IP pūlā norādītajām IP adresēm.
Viens pret vienu pūls nosaka arī daudzas ārējās IP adreses. Ja uz paketi attiecas ugunsmūra politika ar iespējotu NAT kārtulu, IP adrese laukā Avots tiek mainīta uz vienu no adresēm, kas pieder šim pūlam. Nomaiņa notiek saskaņā ar noteikumu “pirmais iekšā, pirmais ārā”. Lai padarītu to skaidrāku, apskatīsim piemēru.
Dators lokālajā tīklā ar IP adresi 192.168.1.25 nosūta paketi uz ārējo tīklu. Uz to attiecas NAT noteikums, un lauks Avots tiek mainīts uz pirmo kopas IP adresi, mūsu gadījumā tā ir 83.235.123.5. Ir vērts atzīmēt, ka, izmantojot šo IP pūlu, portu tulkošana netiek izmantota. Ja pēc tam dators no tā paša lokālā tīkla ar adresi, piemēram, 192.168.1.35, nosūta paketi uz ārējo tīklu un arī uz to attiecas šis NAT noteikums, IP adrese šīs paketes laukā Avots tiks mainīta uz 83.235.123.6. Ja pūlā vairs nav palikušas adreses, turpmākie savienojumi tiks noraidīti. Tas nozīmē, ka šajā gadījumā mūsu NAT noteikums var attiekties uz 4 datoriem vienlaikus.
Fiksētais portu diapazons savieno iekšējos un ārējos IP adrešu diapazonus. Portu tulkošana arī ir atspējota. Tas ļauj pastāvīgi saistīt iekšējo IP adrešu kopas sākumu vai beigas ar ārējo IP adrešu kopas sākumu vai beigām. Tālāk esošajā piemērā iekšējā adrešu kopa 192.168.1.25–192.168.1.28 ir kartēta uz ārējo adrešu kopu 83.235.123.5–83.235.125.8.
Portu bloku piešķiršana — šis IP pūls tiek izmantots, lai piešķirtu portu bloku IP pūla lietotājiem. Papildus pašam IP pūlam šeit ir jānorāda arī divi parametri - bloka lielums un katram lietotājam piešķirto bloku skaits.
Tagad apskatīsim Destination NAT tehnoloģiju. Tas ir balstīts uz virtuālajām IP adresēm (VIP). Paketēm, uz kurām attiecas galamērķa NAT noteikumi, mainās IP adrese laukā Destination: parasti publiskā interneta adrese tiek mainīta uz servera privāto adresi. Virtuālās IP adreses ugunsmūra politikās tiek izmantotas kā lauks Galamērķis.
Standarta virtuālo IP adrešu veids ir statiskā NAT. Šī ir savstarpēja atbilstība starp ārējām un iekšējām adresēm.
Statiskā NAT vietā virtuālās adreses var ierobežot, pārsūtot konkrētus portus. Piemēram, saistiet savienojumus ar ārējo adresi portā 8080 ar savienojumu ar iekšējo IP adresi portā 80.
Tālāk esošajā piemērā dators ar adresi 172.17.10.25 mēģina piekļūt adresei 83.235.123.20 portā 80. Uz šo savienojumu attiecas DNAT noteikums, tāpēc galamērķa IP adrese tiek mainīta uz 10.10.10.10.
Videoklipā ir apskatīta teorija, kā arī sniegti praktiski piemēri avota un galamērķa NAT konfigurēšanai.
Nākamajās nodarbībās pāriesim pie lietotāju drošības nodrošināšanas internetā. Konkrēti, nākamajā nodarbībā tiks apspriesta tīmekļa filtrēšanas un lietojumprogrammu kontroles funkcionalitāte. Lai nepalaistu garām, sekojiet jaunumiem šādos kanālos:
Avots: www.habr.com