Laipni lÅ«dzam 8. nodarbÄ«bÄ. NodarbÄ«ba ir ļoti svarÄ«ga, jo... PÄc pabeigÅ”anas varÄsiet konfigurÄt interneta piekļuvi saviem lietotÄjiem! Man jÄatzÄ«st, ka daudzi cilvÄki Å”ajÄ brÄ«dÄ« pÄrtrauc iestatÄ«Å”anu š Bet mÄs neesam viens no tiem! Un mums vÄl priekÅ”Ä ir daudz interesantu lietu. Un tagad pie mÅ«su nodarbÄ«bas tÄmas.
KÄ jÅ«s droÅ”i vien jau uzminÄjÄt, Å”odien mÄs runÄsim par NAT. Esmu pÄrliecinÄts, ka visi, kas skatÄs Å”o nodarbÄ«bu, zina, kas ir NAT. TÄpÄc mÄs sÄ«kÄk neaprakstÄ«sim, kÄ tas darbojas. Es tikai vÄlreiz atkÄrtoÅ”u, ka NAT ir adreÅ”u tulkoÅ”anas tehnoloÄ£ija, kas tika izgudrota, lai ietaupÄ«tu "balto naudu", t.i. publiskÄs IP (tÄs adreses, kas tiek marÅ”rutÄtas internetÄ).
IepriekÅ”ÄjÄ nodarbÄ«bÄ jÅ«s, iespÄjams, jau pamanÄ«jÄt, ka NAT ir daļa no piekļuves kontroles politikas. Tas ir diezgan loÄ£iski. ProgrammÄ SmartConsole NAT iestatÄ«jumi tiek ievietoti atseviÅ”Ä·Ä cilnÄ. Å odien noteikti tur apskatÄ«simies. KopumÄ Å”ajÄ nodarbÄ«bÄ mÄs apspriedÄ«sim NAT veidus, konfigurÄsim piekļuvi internetam un apskatÄ«sim klasisko portu pÄradresÄcijas piemÄru. Tie. funkcionalitÄte, kas visbiežÄk tiek izmantota uzÅÄmumos. SÄksim.
Divi veidi, kÄ konfigurÄt NAT
Check Point atbalsta divus NAT konfigurÄÅ”anas veidus: AutomÄtiskais NAT Šø RokasgrÄmata NAT. TurklÄt katrai no Ŕīm metodÄm ir divi tulkoÅ”anas veidi: SlÄpt NAT Šø Statisks NAT. KopumÄ tas izskatÄs Å”Ädi:
Es saprotu, ka, visticamÄk, tagad viss izskatÄs ļoti sarežģīti, tÄpÄc apskatÄ«sim katru veidu nedaudz sÄ«kÄk.
AutomÄtiskais NAT
Tas ir ÄtrÄkais un vienkÄrÅ”Äkais veids. NAT konfigurÄÅ”ana tiek veikta tikai ar diviem klikŔķiem. Viss, kas jums jÄdara, ir atvÄrt vajadzÄ«gÄ objekta rekvizÄ«tus (vai tas bÅ«tu vÄrteja, tÄ«kls, resursdators utt.), Dodieties uz cilni NAT un pÄrbaudiet āPievienojiet automÄtiskÄs adreses tulkoÅ”anas noteikumus" Å eit jÅ«s redzÄsiet lauku - tulkoÅ”anas metodi. KÄ minÄts iepriekÅ”, ir divi no tiem.
1. Aitomatic Hide NAT
PÄc noklusÄjuma tas ir SlÄpt. Tie. Å”ajÄ gadÄ«jumÄ mÅ«su tÄ«kls "slÄpsies" aiz kÄdas publiskas IP adreses. Å ajÄ gadÄ«jumÄ adresi var iegÅ«t no vÄrtejas ÄrÄjÄ interfeisa vai norÄdÄ«t kÄdu citu. Å o NAT veidu bieži sauc par dinamisku vai daudzi pret vienu, jo VairÄkas iekÅ”ÄjÄs adreses tiek tulkotas vienÄ ÄrÄjÄ. Protams, tas ir iespÄjams, izmantojot dažÄdus portus apraides laikÄ. Hide NAT darbojas tikai vienÄ virzienÄ (no iekÅ”puses uz Äru) un ir ideÄli piemÄrots vietÄjiem tÄ«kliem, kad jums vienkÄrÅ”i jÄnodroÅ”ina piekļuve internetam. Ja trafiks tiek iniciÄts no ÄrÄja tÄ«kla, NAT, protams, nedarbosies. IzrÄdÄs, ka tÄ ir papildu aizsardzÄ«ba iekÅ”Äjiem tÄ«kliem.
2. AutomÄtiskÄ statiskÄ NAT
SlÄpt NAT ir labs ikvienam, taÄu, iespÄjams, jums ir jÄnodroÅ”ina piekļuve no ÄrÄjÄ tÄ«kla kÄdam iekÅ”Äjam serverim. PiemÄram, uz DMZ serveri, kÄ mÅ«su piemÄrÄ. Å ajÄ gadÄ«jumÄ mums var palÄ«dzÄt Static NAT. To ir arÄ« diezgan viegli iestatÄ«t. Pietiek objekta rekvizÄ«tos nomainÄ«t tulkoÅ”anas metodi uz Static un norÄdÄ«t publisko IP adresi, kas tiks izmantota NAT (skat. attÄlu augstÄk). Tie. ja kÄds no ÄrÄjÄ tÄ«kla piekļūst Å”ai adresei (jebkurÄ portÄ!), tad pieprasÄ«jums tiks pÄrsÅ«tÄ«ts uz serveri ar iekÅ”Äjo IP. TurklÄt, ja serveris pats pieslÄdzas tieÅ”saistÄ, arÄ« tÄ IP mainÄ«sies uz mÅ«su norÄdÄ«to adresi. Tie. Tas ir NAT abos virzienos. To sauc arÄ« viens pret vienu un dažreiz tiek izmantots publiskajiem serveriem. KÄpÄc "dažreiz"? Jo tam ir viens liels trÅ«kums ā publiskÄ IP adrese ir pilnÄ«bÄ aizÅemta (visi porti). Nevar izmantot vienu publisko adresi dažÄdiem iekÅ”Äjiem serveriem (ar dažÄdiem portiem). PiemÄram, HTTP, FTP, SSH, SMTP utt. ManuÄlais NAT var atrisinÄt Å”o problÄmu.
RokasgrÄmata NAT
ManuÄlÄ NAT Ä«patnÄ«ba ir tÄda, ka tulkoÅ”anas noteikumi ir jÄizveido paÅ”am. TajÄ paÅ”Ä NAT cilnÄ piekļuves kontroles politikÄ. TajÄ paÅ”Ä laikÄ manuÄlÄ NAT ļauj izveidot sarežģītÄkus tulkoÅ”anas noteikumus. Jums ir pieejami Å”Ädi lauki: Original Source, Original Destination, Original Services, Translated Source, Translated Destination, Translated Services.
Å eit ir iespÄjami arÄ« divi NAT veidi - SlÄpt un Statiskais.
1. ManuÄli SlÄpt NAT
PaslÄpt NAT Å”ajÄ gadÄ«jumÄ var izmantot dažÄdÄs situÄcijÄs. PÄris piemÄri:
- Piekļūstot noteiktam resursam no vietÄjÄ tÄ«kla, vÄlaties izmantot citu apraides adresi (atŔķirÄ«gu no tÄs, kas tiek izmantota visos citos gadÄ«jumos).
- VietÄjÄ tÄ«klÄ ir milzÄ«gs skaits datoru. AutomÄtiskÄ NAT slÄpÅ”ana Å”eit nedarbosies, jo... Izmantojot Å”o iestatÄ«jumu, ir iespÄjams iestatÄ«t tikai vienu publisku IP adresi, aiz kuras āslÄpsiesā datori. IespÄjams, ka apraidei vienkÄrÅ”i nav pietiekami daudz portu. Ir, kÄ jÅ«s atceraties, nedaudz vairÄk par 65 tÅ«kstoÅ”iem. TurklÄt katrs dators var Ä£enerÄt simtiem sesiju. ManuÄli paslÄpt NAT ļauj iestatÄ«t publisko IP adreÅ”u kopu laukÄ Tulkotais avots. TÄdÄjÄdi palielinÄs iespÄjamo NAT tulkojumu skaits.
2. ManuÄla statiskÄ NAT
Statiskais NAT tiek izmantots daudz biežÄk, manuÄli veidojot tulkoÅ”anas noteikumus. Klasisks piemÄrs ir portu pÄradresÄcija. GadÄ«jums, kad publiskai IP adresei (kas var piederÄt vÄrtejai) tiek piekļūts no ÄrÄja tÄ«kla noteiktÄ portÄ un pieprasÄ«jums tiek pÄrtulkots iekÅ”ÄjÄ resursÄ. Laboratorijas darbÄ mÄs pÄrsÅ«tÄ«sim 80. portu uz DMZ serveri.
Video pamÄcÄ«ba
Sekojiet lÄ«dzi informÄcijai un pievienojieties mums
Avots: www.habr.com