Добредојдовте на лекција 8. Лекцијата е многу важна, бидејќи... По завршувањето, ќе можете да го конфигурирате пристапот до Интернет за вашите корисници! Морам да признаам дека многу луѓе престануваат да се поставуваат во овој момент 🙂 Но ние не сме еден од нив! И ни претстојат уште многу интересни работи. И сега на темата на нашата лекција.
Како што веројатно веќе погодивте, денес ќе зборуваме за NAT. Сигурен сум дека секој што ја гледа оваа лекција знае што е NAT. Затоа, нема да опишеме детално како функционира. Само уште еднаш ќе повторам дека NAT е технологија за преведување адреси што е измислена за да заштеди „бели пари“, т.е. јавни IP-адреси (оние адреси кои се насочуваат на Интернет).
Во претходната лекција, веројатно веќе забележавте дека NAT е дел од политиката за контрола на пристап. Ова е сосема логично. Во SmartConsole, поставките за NAT се ставаат во посебен таб. Дефинитивно ќе погледнеме таму денес. Општо земено, во оваа лекција ќе разговараме за типовите NAT, ќе го конфигурираме пристапот до Интернет и ќе го разгледаме класичниот пример за препраќање порти. Оние. функционалноста која најчесто се користи во компаниите. Ајде да почнеме.
Два начини за конфигурирање на NAT
Check Point поддржува два начини за конфигурирање на NAT: Автоматски NAT и Прирачник NAT. Покрај тоа, за секој од овие методи постојат два вида на превод: Сокриј NAT и Статички NAT. Во принцип, изгледа вака слика:
Разбирам дека најверојатно сè изгледа многу комплицирано сега, па ајде да го разгледаме секој тип малку подетално.
Автоматски NAT
Ова е најбрзиот и најлесниот начин. Конфигурирањето на NAT се врши со само два клика. Сè што треба да направите е да ги отворите својствата на саканиот објект (без разлика дали е портал, мрежа, домаќин итн.), одете во табот NAT и проверете го „Додадете правила за автоматско преведување на адресата" Овде ќе го видите полето - методот на превод. Има, како што споменавме погоре, две од нив.
1. Aitomatic Сокриј NAT
Стандардно е Сокриј. Оние. во овој случај, нашата мрежа ќе се „скрие“ зад некоја јавна IP адреса. Во овој случај, адресата може да се земе од надворешниот интерфејс на портата, или можете да наведете некоја друга. Овој тип на NAT често се нарекува динамичен или многу-на-еден, бидејќи Неколку внатрешни адреси се преведени во една надворешна. Секако, тоа е можно со користење на различни порти при емитување. Hide NAT работи само во една насока (од внатре кон надвор) и е идеален за локални мрежи кога само треба да обезбедите пристап до Интернет. Ако сообраќајот е инициран од надворешна мрежа, тогаш NAT природно нема да работи. Излегува дека е дополнителна заштита за внатрешните мрежи.
2. Автоматско статичко NAT
Сокриј NAT е добро за секого, но можеби треба да обезбедиш пристап од надворешна мрежа до некој внатрешен сервер. На пример, на серверот DMZ, како во нашиот пример. Во овој случај, Static NAT може да ни помогне. Исто така е прилично лесно да се постави. Доволно е да го смените методот на превод во Static во својствата на објектот и да ја наведете јавната IP адреса што ќе се користи за NAT (видете ја сликата погоре). Оние. ако некој од надворешната мрежа пристапи до оваа адреса (на која било порта!), тогаш барањето ќе биде препратено до сервер со внатрешна IP адреса. Покрај тоа, ако самиот сервер се вклучи онлајн, неговата IP адреса ќе се смени и на адресата што ја наведовме. Оние. Ова е NAT во двете насоки. Се нарекува и еден-на-еден а понекогаш се користи за јавни сервери. Зошто „понекогаш“? Бидејќи има еден голем недостаток - јавната IP адреса е целосно окупирана (сите порти). Не можете да користите една јавна адреса за различни внатрешни сервери (со различни порти). На пример HTTP, FTP, SSH, SMTP, итн. Прирачникот NAT може да го реши овој проблем.
Прирачник NAT
Особеноста на Manual NAT е тоа што треба сами да креирате правила за превод. Во истиот таб NAT во Политика за контрола на пристап. Во исто време, Manual NAT ви овозможува да креирате посложени правила за превод. Следниве полиња ви се достапни: Оригинален извор, Оригинална дестинација, Оригинални услуги, Преведен извор, Преведена дестинација, Преведени услуги.
Тука се можни и два типа на NAT - Сокриј и Статички.
1. Рачно Сокриј NAT
Сокриј NAT во овој случај може да се користи во различни ситуации. Неколку примери:
- Кога пристапувате до одреден ресурс од локалната мрежа, сакате да користите различна адреса за емитување (различна од онаа што се користи за сите други случаи).
- На локалната мрежа има огромен број компјутери. Automatic Hide NAT нема да работи овде, бидејќи... Со ова поставување, можно е да се постави само една јавна IP адреса, зад која компјутерите ќе се „кријат“. Можеби едноставно нема доволно порти за емитување. Има, како што се сеќавате, нешто повеќе од 65 илјади. Покрај тоа, секој компјутер може да генерира стотици сесии. Рачно Сокриј NAT ви овозможува да поставите збир на јавни IP адреси во полето Преведен извор. Притоа се зголемува бројот на можни NAT преводи.
2.Прирачник Static NAT
Статичниот NAT се користи многу почесто при рачно креирање правила за превод. Класичен пример е пренасочувањето на портите. Случај кога до јавна IP адреса (која може да припаѓа на портал) се пристапува од надворешна мрежа на одредена порта и барањето е преведено на внатрешен ресурс. Во нашата лабораториска работа, ќе ја проследиме портата 80 до серверот DMZ.
Видео лекција
Останете во тек за повеќе и придружете ни се 🙂
Извор: www.habr.com