8. Check Point Darba sākšana R80.20. NAT

Laipni lūdzam 8. nodarbībā. Nodarbība ir ļoti svarīga, jo... Pēc pabeigšanas varēsiet konfigurēt interneta piekļuvi saviem lietotājiem! Man jāatzīst, ka daudzi cilvēki šajā brīdī pārtrauc iestatīšanu 🙂 Bet mēs neesam viens no tiem! Un mums vēl priekšā ir daudz interesantu lietu. Un tagad pie mūsu nodarbības tēmas.

Kā jūs droši vien jau uzminējāt, šodien mēs runāsim par NAT. Esmu pārliecināts, ka visi, kas skatās šo nodarbību, zina, kas ir NAT. Tāpēc mēs sīkāk neaprakstīsim, kā tas darbojas. Es tikai vēlreiz atkārtošu, ka NAT ir adrešu tulkošanas tehnoloģija, kas tika izgudrota, lai ietaupītu "balto naudu", t.i. publiskās IP (tās adreses, kas tiek maršrutētas internetā).

Iepriekšējā nodarbībā jūs, iespējams, jau pamanījāt, ka NAT ir daļa no piekļuves kontroles politikas. Tas ir diezgan loģiski. Programmā SmartConsole NAT iestatījumi tiek ievietoti atsevišķā cilnē. Šodien noteikti tur apskatīsimies. Kopumā šajā nodarbībā mēs apspriedīsim NAT veidus, konfigurēsim piekļuvi internetam un apskatīsim klasisko portu pāradresācijas piemēru. Tie. funkcionalitāte, kas visbiežāk tiek izmantota uzņēmumos. Sāksim.

Divi veidi, kā konfigurēt NAT

Check Point atbalsta divus NAT konfigurēšanas veidus: Automātiskais NAT и Rokasgrāmata NAT. Turklāt katrai no šīm metodēm ir divi tulkošanas veidi: Slēpt NAT и Statisks NAT. Kopumā tas izskatās šādi:

Es saprotu, ka, visticamāk, tagad viss izskatās ļoti sarežģīti, tāpēc apskatīsim katru veidu nedaudz sīkāk.

Automātiskais NAT

Tas ir ātrākais un vienkāršākais veids. NAT konfigurēšana tiek veikta tikai ar diviem klikšķiem. Viss, kas jums jādara, ir atvērt vajadzīgā objekta rekvizītus (vai tas būtu vārteja, tīkls, resursdators utt.), Dodieties uz cilni NAT un pārbaudiet “Pievienojiet automātiskās adreses tulkošanas noteikumus" Šeit jūs redzēsiet lauku - tulkošanas metodi. Kā minēts iepriekš, ir divi no tiem.

1. Aitomatic Hide NAT

Pēc noklusējuma tas ir Slēpt. Tie. šajā gadījumā mūsu tīkls "slēpsies" aiz kādas publiskas IP adreses. Šajā gadījumā adresi var iegūt no vārtejas ārējā interfeisa vai norādīt kādu citu. Šo NAT veidu bieži sauc par dinamisku vai daudzi pret vienu, jo Vairākas iekšējās adreses tiek tulkotas vienā ārējā. Protams, tas ir iespējams, izmantojot dažādus portus apraides laikā. Hide NAT darbojas tikai vienā virzienā (no iekšpuses uz āru) un ir ideāli piemērots vietējiem tīkliem, kad jums vienkārši jānodrošina piekļuve internetam. Ja trafiks tiek iniciēts no ārēja tīkla, NAT, protams, nedarbosies. Izrādās, ka tā ir papildu aizsardzība iekšējiem tīkliem.

2. Automātiskā statiskā NAT

Slēpt NAT ir labs ikvienam, taču, iespējams, jums ir jānodrošina piekļuve no ārējā tīkla kādam iekšējam serverim. Piemēram, uz DMZ serveri, kā mūsu piemērā. Šajā gadījumā mums var palīdzēt Static NAT. To ir arī diezgan viegli iestatīt. Pietiek objekta rekvizītos nomainīt tulkošanas metodi uz Static un norādīt publisko IP adresi, kas tiks izmantota NAT (skat. attēlu augstāk). Tie. ja kāds no ārējā tīkla piekļūst šai adresei (jebkurā portā!), tad pieprasījums tiks pārsūtīts uz serveri ar iekšējo IP. Turklāt, ja serveris pats pieslēdzas tiešsaistē, arī tā IP mainīsies uz mūsu norādīto adresi. Tie. Tas ir NAT abos virzienos. To sauc arī viens pret vienu un dažreiz tiek izmantots publiskajiem serveriem. Kāpēc "dažreiz"? Jo tam ir viens liels trūkums – publiskā IP adrese ir pilnībā aizņemta (visi porti). Nevar izmantot vienu publisko adresi dažādiem iekšējiem serveriem (ar dažādiem portiem). Piemēram, HTTP, FTP, SSH, SMTP utt. Manuālais NAT var atrisināt šo problēmu.

Rokasgrāmata NAT

Manuālā NAT īpatnība ir tāda, ka tulkošanas noteikumi ir jāizveido pašam. Tajā pašā NAT cilnē piekļuves kontroles politikā. Tajā pašā laikā manuālā NAT ļauj izveidot sarežģītākus tulkošanas noteikumus. Jums ir pieejami šādi lauki: Original Source, Original Destination, Original Services, Translated Source, Translated Destination, Translated Services.

Šeit ir iespējami arī divi NAT veidi - Slēpt un Statiskais.

1. Manuāli Slēpt NAT

Paslēpt NAT šajā gadījumā var izmantot dažādās situācijās. Pāris piemēri:

1. Piekļūstot noteiktam resursam no vietējā tīkla, vēlaties izmantot citu apraides adresi (atšķirīgu no tās, kas tiek izmantota visos citos gadījumos).
2. Vietējā tīklā ir milzīgs skaits datoru. Automātiskā NAT slēpšana šeit nedarbosies, jo... Izmantojot šo iestatījumu, ir iespējams iestatīt tikai vienu publisku IP adresi, aiz kuras “slēpsies” datori. Iespējams, ka apraidei vienkārši nav pietiekami daudz portu. Ir, kā jūs atceraties, nedaudz vairāk par 65 tūkstošiem. Turklāt katrs dators var ģenerēt simtiem sesiju. Manuāli paslēpt NAT ļauj iestatīt publisko IP adrešu kopu laukā Tulkotais avots. Tādējādi palielinās iespējamo NAT tulkojumu skaits.

2. Manuāla statiskā NAT

Statiskais NAT tiek izmantots daudz biežāk, manuāli veidojot tulkošanas noteikumus. Klasisks piemērs ir portu pāradresācija. Gadījums, kad publiskai IP adresei (kas var piederēt vārtejai) tiek piekļūts no ārēja tīkla noteiktā portā un pieprasījums tiek pārtulkots iekšējā resursā. Laboratorijas darbā mēs pārsūtīsim 80. portu uz DMZ serveri.

Video pamācība

Sekojiet līdzi informācijai un pievienojieties mums YouTube kanālu ????

Avots: www.habr.com