Мэндчилгээ! Хичээлийн тав дахь хичээлд тавтай морил . Дээр Аюулгүй байдлын бодлого хэрхэн ажилладагийг бид олж мэдсэн. Одоо орон нутгийн хэрэглэгчдийг интернетэд гаргах цаг болжээ. Үүнийг хийхийн тулд энэ хичээлээр бид NAT механизмын ажиллагааг авч үзэх болно.
Хэрэглэгчдийг интернетэд оруулахаас гадна бид дотоод үйлчилгээг нийтлэх аргыг авч үзэх болно. Зүсэлтийн доор видео бичлэгийн товч онол, мөн видео хичээл өөрөө байна.
NAT (Network Address Translation) технологи нь сүлжээний пакетуудын IP хаягийг хөрвүүлэх механизм юм. Fortinet-ийн хэллэгээр NAT нь эх сурвалж NAT болон Destination NAT гэсэн хоёр төрөлд хуваагддаг.
Нэрүүд нь өөрсдөө ярьдаг - Source NAT ашиглах үед эх хаяг өөрчлөгддөг, Destination NAT ашиглах үед очих хаяг өөрчлөгддөг.
Нэмж дурдахад NAT-г тохируулах хэд хэдэн сонголт байдаг - Галт ханын бодлого NAT болон Төв NAT.
Эхний сонголтыг ашиглахдаа аюулгүй байдлын бодлого бүрт эх сурвалж болон очих NAT-г тохируулах шаардлагатай. Энэ тохиолдолд Source NAT нь гарах интерфейсийн IP хаяг эсвэл урьдчилан тохируулсан IP Pool-ийг ашигладаг. Destination NAT нь очих хаяг болгон урьдчилан тохируулсан объектыг (VIP - Virtual IP гэж нэрлэдэг) ашигладаг.
Төв NAT ашиглах үед эх үүсвэр болон очих NAT тохиргоог бүх төхөөрөмжид (эсвэл виртуал домэйн) нэг дор хийнэ. Энэ тохиолдолд NAT тохиргоо нь Эх сурвалж NAT болон Destination NAT дүрмээс хамааран бүх бодлогод хэрэгжинэ.
Эх сурвалжийн NAT дүрмийг төв эх сурвалжийн NAT бодлогод тохируулсан. Destination NAT-г IP хаяг ашиглан DNAT цэснээс тохируулна.
Энэ хичээл дээр бид зөвхөн NAT галт ханын бодлогыг авч үзэх болно - практикээс харахад энэ тохиргооны сонголт нь Төв NAT-аас хамаагүй түгээмэл байдаг.
Би аль хэдийн хэлсэнчлэн, галт ханын бодлогын эх үүсвэрийн NAT-г тохируулахдаа хоёр тохиргооны сонголт байдаг: IP хаягийг гарч буй интерфейсийн хаягаар солих эсвэл IP хаягийн урьдчилан тохируулсан сангаас IP хаягаар солих. Энэ нь доорх зурагт үзүүлсэн шиг харагдаж байна. Дараа нь би боломжит усан сангуудын талаар товч ярих болно, гэхдээ практик дээр бид зөвхөн гарч буй интерфейсийн хаягтай сонголтыг авч үзэх болно - бидний зохион байгуулалтад IP хаягийн сан хэрэггүй.
IP сан нь сессийн үед эх хаяг болгон ашиглах нэг буюу хэд хэдэн IP хаягийг тодорхойлдог. Эдгээр IP хаягуудыг FortiGate гаралтын интерфейсийн IP хаягийн оронд ашиглах болно.
FortiGate дээр тохируулж болох 4 төрлийн IP сан байдаг:
- Хэт ачаалал
- Нэгийг харьцах нэгийн
- Тогтмол портын хүрээ
- Порт блокийн хуваарилалт
Хэт ачаалал нь үндсэн IP сан юм. Энэ нь олон-нэг эсвэл олон-олон схемийг ашиглан IP хаягуудыг хөрвүүлдэг. Порт орчуулгыг мөн ашигладаг. Доорх зурагт үзүүлсэн хэлхээг авч үзье. Бидэнд тодорхой эх сурвалж болон очих талбар бүхий багц бий. Хэрэв энэ пакет нь гадаад сүлжээнд нэвтрэх боломжийг олгодог галт ханын бодлогын дагуу байвал NAT дүрмийг түүнд хэрэглэнэ. Үүний үр дүнд энэ багц дахь Эх сурвалж талбарыг IP санд заасан IP хаягуудын аль нэгээр нь сольсон болно.
Нэгээс нэгийн сан нь олон гадаад IP хаягийг тодорхойлдог. Пакет нь NAT дүрмийг идэвхжүүлсэн галт ханын бодлогод орох үед Source талбар дахь IP хаяг нь энэ санд хамаарах хаягуудын аль нэгээр өөрчлөгдөнө. Орлуулах нь "эхлээд орсон, хамгийн түрүүнд гарах" дүрмийн дагуу явагдана. Илүү ойлгомжтой болгохын тулд жишээг авч үзье.
192.168.1.25 IP хаягтай дотоод сүлжээнд байгаа компьютер гадаад сүлжээнд пакет илгээдэг. Энэ нь NAT дүрэмд хамаарах бөгөөд Source талбарыг сангаас эхний IP хаяг болгон өөрчилсөн бөгөөд манай тохиолдолд 83.235.123.5 байна. Энэ IP санг ашиглах үед портын орчуулгыг ашигладаггүй гэдгийг тэмдэглэх нь зүйтэй. Хэрэв үүний дараа нэг дотоод сүлжээний 192.168.1.35 хаягтай компьютер гадаад сүлжээнд пакет илгээж, мөн энэ NAT дүрмийн дагуу байвал энэ пакетийн Эх сурвалж талбар дахь IP хаяг дараах байдлаар өөрчлөгдөнө. 83.235.123.6. Хэрэв цөөрөмд хаяг үлдэхгүй бол дараагийн холболтоос татгалзах болно. Өөрөөр хэлбэл, энэ тохиолдолд 4 компьютер нэгэн зэрэг манай NAT дүрэмд хамрагдах боломжтой.
Тогтмол портын хүрээ нь IP хаягийн дотоод болон гадаад мужийг холбодог. Портын орчуулгыг мөн идэвхгүй болгосон. Энэ нь дотоод IP хаягийн сангийн эхлэл эсвэл төгсгөлийг гадаад IP хаягийн эхэн эсвэл төгсгөлтэй байнга холбох боломжийг танд олгоно. Доорх жишээнд дотоод хаягийн сан 192.168.1.25 - 192.168.1.28 нь гадаад хаягийн сан 83.235.123.5 - 83.235.125.8-тай зурагдсан байна.
Порт блокийн хуваарилалт - энэ IP сан нь IP сан хэрэглэгчдэд портын блок хуваарилахад ашиглагддаг. IP сангаас гадна хоёр параметрийг энд зааж өгөх ёстой - блокийн хэмжээ, хэрэглэгч бүрт хуваарилагдсан блокуудын тоо.
Одоо Destination NAT технологийг харцгаая. Энэ нь виртуал IP хаягууд (VIP) дээр суурилдаг. Destination NAT дүрэмд хамаарах пакетуудын хувьд Destination талбар дахь IP хаяг өөрчлөгддөг: ихэвчлэн нийтийн интернет хаяг нь серверийн хувийн хаяг болж өөрчлөгддөг. Виртуал IP хаягийг галт ханын бодлогод Destination талбар болгон ашигладаг.
Виртуал IP хаягуудын стандарт төрөл нь Static NAT юм. Энэ нь гадаад болон дотоод хаягуудын хооронд нэг нэгээр нь захидал харилцаа юм.
Статик NAT-ын оронд виртуал хаягуудыг тодорхой портуудыг дамжуулах замаар хязгаарлаж болно. Жишээлбэл, 8080 порт дээрх гадаад хаягтай холболтыг 80 порт дээрх дотоод IP хаягтай холбох.
Доорх жишээнд 172.17.10.25 хаягтай компьютер 83.235.123.20-р порт дээрх 80 хаяг руу нэвтрэхийг оролдож байна. Энэ холболт нь DNAT дүрэмд хамаарах тул очих IP хаягийг 10.10.10.10 болгож өөрчилсөн.
Видео нь онолыг хэлэлцэхээс гадна Эх сурвалж болон очих NAT-ыг тохируулах практик жишээг өгдөг.
Дараагийн хичээлүүдэд бид интернет дэх хэрэглэгчийн аюулгүй байдлыг хангах талаар ярих болно. Тодруулбал, дараагийн хичээлээр вэб шүүлтүүр болон програмын хяналтын функцийг авч үзэх болно. Үүнийг алдахгүйн тулд дараах сувгуудын шинэчлэлтүүдийг дагана уу.
Эх сурвалж: www.habr.com