Miarahaba! Tongasoa eto amin'ny lesona fahadimy amin'ny taranja ... On Hitanay ny fomba fiasan'ny politikan'ny fiarovana. Fotoana izao hamoahana ireo mpampiasa eo an-toerana amin'ny Internet. Mba hanaovana izany, amin'ity lesona ity dia hijery ny fiasan'ny mekanika NAT isika.
Ho fanampin'ny famotsorana ireo mpampiasa amin'ny Internet, dia hojerentsika ihany koa ny fomba famoahana tolotra anatiny. Eo ambanin'ny fanapahana dia misy teoria fohy avy amin'ny horonan-tsary, ary koa ny lesona video.
Ny teknolojia NAT (Network Address Translation) dia fomba iray hamadihana ny adiresy IP an'ny fonosana tambajotra. Amin'ny teny Fortinet, ny NAT dia mizara roa: Source NAT sy Destination NAT.
Miteny ho azy ireo anarana - rehefa mampiasa Source NAT dia miova ny adiresy loharano, rehefa mampiasa Destination NAT dia miova ny adiresin'ny toerana haleha.
Ho fanampin'izay, misy ihany koa safidy maromaro amin'ny fametrahana NAT - Firewall Policy NAT sy Central NAT.
Rehefa mampiasa ny safidy voalohany, Source and Destination NAT dia tsy maintsy amboarina ho an'ny politika fiarovana tsirairay. Amin'ity tranga ity, ny Source NAT dia mampiasa ny adiresy IP an'ny interface ivelany na ny IP Pool efa namboarina mialoha. Ny Destination NAT dia mampiasa zavatra efa voarindra (ilay antsoina hoe VIP - Virtual IP) ho adiresy alehana.
Rehefa mampiasa NAT Afovoany, dia atao ho an'ny fitaovana manontolo (na sehatra virtoaly) indray mandeha ny fikirakirana Source and Destination NAT. Amin'ity tranga ity, ny firafitry ny NAT dia mihatra amin'ny politika rehetra, miankina amin'ny fitsipika Source NAT sy Destination NAT.
Ny fitsipiky ny Source NAT dia natsangana ao amin'ny politikan'ny Source NAT afovoany. Namboarina avy amin'ny menio DNAT mampiasa adiresy IP ny Destination NAT.
Ato amin'ity lesona ity, ny Firewall Policy NAT ihany no hodinihintsika - araka ny asehon'ny fampiharana, ity safidy fanamafisana ity dia mahazatra kokoa noho ny Central NAT.
Araka ny efa nolazaiko, rehefa manamboatra Firewall Policy Source NAT, dia misy safidy roa amin'ny fanamafisana: fanoloana ny adiresy IP amin'ny adiresin'ny interface mivoaka, na amin'ny adiresy IP avy amin'ny dobo adiresy IP efa nomanina. Tahaka ilay aseho eo amin'ny sary etsy ambany izy io. Manaraka, hiresaka fohifohy momba ny dobo azo atao aho, fa amin'ny fampiharana dia handinika ny safidy miaraka amin'ny adiresin'ny interface ivelany fotsiny isika - ao amin'ny layout, tsy mila dobo adiresy IP isika.
Ny dobo IP iray dia mamaritra adiresy IP iray na maromaro izay hampiasaina ho adiresy loharano mandritra ny fivoriana iray. Ireo adiresy IP ireo dia hampiasaina fa tsy ny adiresy IP interface tsara FortiGate.
Misy karazana dobo IP 4 azo amboarina ao amin'ny FortiGate:
- be loatra
- iray-to-iray
- Fixed Port Range
- Fanomezana sakana seranan-tsambo
Overload no tena IP dobo. Izy io dia manova ny adiresy IP amin'ny fampiasana tetika maro-to-iray na maro-to-maro. Ampiasaina koa ny fandikana ny seranan-tsambo. Diniho ny faritra aseho eo amin'ny sary etsy ambany. Manana fonosana misy saha Loharano sy Destination voafaritra izahay. Raha toa ka eo ambanin'ny politikan'ny firewall izay mamela ity fonosana ity hiditra amin'ny tambajotra ivelany, dia misy fitsipika NAT ampiharina aminy. Vokatr'izany, amin'ity fonosana ity dia nosoloina ny iray amin'ireo adiresy IP voatondro ao amin'ny dobo IP ny saha Source.
Ny dobo One to One koa dia mamaritra adiresy IP ivelany maro. Rehefa tafiditra ao anatin'ny politikan'ny firewall ny fonosana iray miaraka amin'ny fitsipika NAT, dia novaina ho iray amin'ireo adiresy an'ity dobo ity ny adiresy IP ao amin'ny saha Source. Ny fanoloana dia manaraka ny fitsipika "miditra voalohany, mivoaka voalohany". Mba hanazavana kokoa anβizany dia andeha isika hijery ohatra iray.
Solosaina iray ao amin'ny tambajotra eo an-toerana misy adiresy IP 192.168.1.25 dia mandefa fonosana any amin'ny tambajotra ivelany. Izy io dia eo ambanin'ny fitsipika NAT, ary ny saha Source dia ovaina amin'ny adiresy IP voalohany avy amin'ny dobo, raha ny anay dia 83.235.123.5. Tsara ny manamarika fa rehefa mampiasa ity dobo IP ity dia tsy ampiasaina ny fandikana ny seranana. Raha toa ka misy solosaina avy amin'ny tambajotra eo an-toerana iray ihany, miaraka amin'ny adiresin'ny, ohatra, 192.168.1.35, mandefa fonosana any amin'ny tambajotra ivelany ary tafiditra ao anatin'io fitsipika NAT io ihany koa, ny adiresy IP ao amin'ny saha Source amin'ity fonosana ity dia hiova ho 83.235.123.6. Raha tsy misy adiresy intsony ao amin'ny dobo dia lavina ny fifandraisana manaraka. Izany hoe, amin'ity tranga ity, solosaina 4 dia mety ho tafiditra ao anatin'ny fitsipiky ny NAT amin'ny fotoana iray ihany.
Fixed Port Range mampifandray ny anatiny sy ivelany ny adiresy IP. Tsy mandeha ihany koa ny fandikana ny seranan-tsambo. Izany dia ahafahanao mampifandray maharitra ny fiandohana na fiafaran'ny dobo adiresy IP anatiny amin'ny fiandohana na fiafaran'ny dobo adiresy IP ivelany. Ao amin'ny ohatra eto ambany, ny dobo adiresy anatiny 192.168.1.25 - 192.168.1.28 dia aseho amin'ny dobo adiresy ivelany 83.235.123.5 - 83.235.125.8.
Port Block Allocation - ity dobo IP ity dia ampiasaina hanokana seranan-tsambo ho an'ireo mpampiasa dobo IP. Ho fanampin'ny dobo IP mihitsy, dia tsy maintsy ambara eto ihany koa ny mari-pamantarana roa - ny haben'ny sakana sy ny isan'ny sakana natokana ho an'ny mpampiasa tsirairay.
Andeha hojerentsika ny teknolojia Destination NAT. Izy io dia mifototra amin'ny adiresy IP virtoaly (VIP). Ho an'ny fonosana izay latsaka ambanin'ny fitsipiky ny Destination NAT, miova ny adiresy IP ao amin'ny sahan'ny Destination: matetika ny adiresin'ny Internet ho an'ny daholobe dia miova amin'ny adiresin'ny mpizara. Ny adiresy IP virtoaly dia ampiasaina amin'ny politikan'ny firewall ho toy ny saha Destination.
Ny karazana adiresy IP virtoaly mahazatra dia Static NAT. Taratasy tokana eo amin'ny adiresy ivelany sy anatiny izany.
Raha tokony ho Static NAT, ny adiresy virtoaly dia azo ferana amin'ny fandefasana seranana manokana. Ohatra, ampifandraiso amin'ny adiresy ivelany amin'ny seranan-tsambo 8080 ny fifandraisana amin'ny adiresy IP anatiny amin'ny seranan-tsambo 80.
Ao amin'ny ohatra etsy ambany, misy solosaina manana adiresy 172.17.10.25 manandrana miditra amin'ny adiresy 83.235.123.20 amin'ny seranana 80. Io fifandraisana io dia eo ambanin'ny fitsipika DNAT, noho izany dia ovaina ho 10.10.10.10 ny adiresy IP alehanao.
Ny horonan-tsary dia miresaka momba ny teoria ary manome ohatra azo ampiharina amin'ny fanamboarana ny Source and Destination NAT.
Amin'ny lesona manaraka dia hiroso amin'ny fiantohana ny fiarovana ny mpampiasa amin'ny Internet isika. Amin'ny ankapobeny, ny lesona manaraka dia hiresaka momba ny fiasan'ny sivana tranonkala sy ny fanaraha-maso ny fampiharana. Mba tsy hanadinoana azy dia araho ny fanavaozana amin'ireto fantsona manaraka ireto:
Source: www.habr.com