8-р хичээлд тавтай морил. Хичээл маш чухал, учир нь... Дууссаны дараа та хэрэглэгчдийнхээ интернетийн хандалтыг тохируулах боломжтой болно! Энэ мөчид олон хүмүүс тохируулахаа больсон гэдгийг би хүлээн зөвшөөрөх ёстой 🙂 Гэхдээ бид тэдний нэг биш! Мөн биднийг маш олон сонирхолтой зүйл хүлээж байна. Тэгээд одоо бидний хичээлийн сэдэв рүү.
Та аль хэдийн таамаглаж байсанчлан өнөөдөр бид NAT-ийн талаар ярих болно. Энэ хичээлийг үзсэн хүн бүр NAT гэж юу болохыг мэддэг гэдэгт би итгэлтэй байна. Тиймээс бид хэрхэн ажилладаг талаар дэлгэрэнгүй тайлбарлахгүй. NAT бол "цагаан мөнгө" хэмнэх зорилгоор зохион бүтээсэн хаяг орчуулгын технологи гэдгийг би дахин хэлье. нийтийн IP хаягууд (Интернетэд чиглүүлсэн хаягууд).
Өмнөх хичээл дээр та NAT нь Access Control бодлогын нэг хэсэг гэдгийг анзаарсан байх. Энэ бол нэлээд логик юм. SmartConsole-д NAT тохиргоог тусдаа таб дээр байрлуулсан. Бид өнөөдөр тийшээ хандах нь гарцаагүй. Ерөнхийдөө энэ хичээлээр бид NAT төрлүүдийн талаар ярилцаж, интернетийн хандалтыг тохируулах, порт дамжуулах сонгодог жишээг үзэх болно. Тэдгээр. компаниудад хамгийн их ашиглагддаг функц. Эхэлцгээе.
NAT-г тохируулах хоёр арга
Check Point нь NAT-г тохируулах хоёр аргыг дэмждэг: Автомат NAT и Гарын авлагын NAT. Үүнээс гадна эдгээр аргууд тус бүрийн хувьд хоёр төрлийн орчуулга байдаг. NAT-г нуух и Статик NAT. Ерөнхийдөө энэ зураг иймэрхүү харагдаж байна:
Одоо бүх зүйл маш төвөгтэй харагдаж байгааг би ойлгож байна, тиймээс төрөл бүрийг илүү нарийвчлан авч үзье.
Автомат NAT
Энэ бол хамгийн хурдан бөгөөд хялбар арга юм. NAT-г тохируулах нь ердөө хоёр товшилтоор хийгддэг. Таны хийх ёстой зүйл бол хүссэн объектын шинж чанарыг нээх (гарц, сүлжээ, хост гэх мэт), NAT таб руу очоод "Автомат хаяг орчуулгын дүрмийг нэмнэ үү" Энд та талбарыг харах болно - орчуулгын арга. Дээр дурдсанчлан тэдгээрийн хоёр нь байдаг.
1. Aitomatic Hide NAT
Анхдагчаар энэ нь Нуух юм. Тэдгээр. Энэ тохиолдолд манай сүлжээ нийтийн IP хаягийн ард "нуугдах" болно. Энэ тохиолдолд хаягийг гарцын гадаад интерфейсээс авч болно, эсвэл өөр хаягийг зааж өгч болно. Энэ төрлийн NAT-ийг ихэвчлэн динамик эсвэл гэж нэрлэдэг олон-нэг, учир нь Хэд хэдэн дотоод хаягуудыг нэг гадаад хаяг руу хөрвүүлдэг. Мэдээжийн хэрэг, энэ нь өргөн нэвтрүүлгийн үед янз бүрийн портуудыг ашиглах боломжтой юм. NAT нуух нь зөвхөн нэг чиглэлд (дотоодоос гадна руу) ажилладаг бөгөөд интернетэд нэвтрэх шаардлагатай үед дотоод сүлжээнд тохиромжтой. Хэрэв траффик гадаад сүлжээнээс эхэлсэн бол NAT ажиллахгүй. Энэ нь дотоод сүлжээнд нэмэлт хамгаалалт болж хувирав.
2. Автомат статик NAT
NAT-г нуух нь хүн бүрт тохиромжтой, гэхдээ та гадаад сүлжээнээс дотоод сервер рүү нэвтрэх боломжийг олгох хэрэгтэй. Жишээлбэл, бидний жишээн дээрх шиг DMZ сервер рүү. Энэ тохиолдолд Static NAT бидэнд тусалж чадна. Энэ нь бас тохируулахад маш хялбар юм. Объектийн шинж чанарт орчуулгын аргыг Статик болгож өөрчлөхөд хангалттай бөгөөд NAT-д ашиглах нийтийн IP хаягийг зааж өгөхөд хангалттай (дээрх зургийг үзнэ үү). Тэдгээр. хэрэв гадаад сүлжээнээс хэн нэгэн энэ хаяг руу хандвал (ямар ч порт дээр!), хүсэлтийг дотоод IP-тэй сервер рүү дамжуулах болно. Түүнээс гадна, хэрэв сервер өөрөө онлайн болвол түүний IP нь бидний заасан хаяг руу шилжих болно. Тэдгээр. Энэ нь хоёр чиглэлд NAT юм. Үүнийг бас нэрлэдэг Нэгийг харьцах нэгийн заримдаа нийтийн серверт ашигладаг. Яагаад "заримдаа" гэж? Учир нь энэ нь нэг том дутагдалтай байдаг - нийтийн IP хаягийг бүрэн эзэлдэг (бүх портууд). Та өөр өөр дотоод серверүүдэд (өөр порттой) нэг нийтийн хаягийг ашиглах боломжгүй. Жишээлбэл, HTTP, FTP, SSH, SMTP гэх мэт. NAT гарын авлага нь энэ асуудлыг шийдэж чадна.
Гарын авлагын NAT
Manual NAT-ийн онцлог нь орчуулгын дүрмийг өөрөө бий болгох хэрэгтэй. Хандалтын хяналтын бодлогын ижил NAT таб дээр. Үүний зэрэгцээ, гарын авлага NAT нь илүү төвөгтэй орчуулгын дүрмийг бий болгох боломжийг олгодог. Дараах талбарууд танд нээлттэй байна: Эх сурвалж, Эх газар, Эх үйлчилгээ, Орчуулсан эх сурвалж, Орчуулсан очих газар, Орчуулсан үйлчилгээ.
Энд бас хоёр төрлийн NAT боломжтой - Нуух ба Статик.
1. NAT-г гараар нуух
Энэ тохиолдолд NAT-ийг нуух нь янз бүрийн нөхцөлд ашиглагдаж болно. Хэд хэдэн жишээ:
- Дотоод сүлжээнээс тодорхой эх сурвалжид хандахдаа өөр өргөн нэвтрүүлгийн хаягийг ашиглахыг хүсч байна (бусад бүх тохиолдолд ашигладаг хаягаас өөр).
- Дотоод сүлжээнд асар олон тооны компьютерууд байдаг. Автомат Нуух NAT энд ажиллахгүй, учир нь... Энэ тохиргоог хийснээр зөвхөн нэг нийтийн IP хаягийг тохируулах боломжтой бөгөөд үүний ард компьютерууд "нуух" болно. Өргөн нэвтрүүлгийн портууд хангалтгүй байж магадгүй юм. Таны санаж байгаагаар 65 мянгаас арай илүү байдаг. Түүнээс гадна компьютер бүр хэдэн зуун сесс үүсгэж чаддаг. Гараар нуух NAT нь Орчуулсан эхийн талбарт нийтийн IP хаягийн санг тохируулах боломжийг танд олгоно. Ингэснээр NAT орчуулгын боломжит тоог нэмэгдүүлнэ.
2. Гарын авлагын статик NAT
Орчуулгын дүрмийг гараар үүсгэх үед статик NAT нь илүү их ашиглагддаг. Сонгодог жишээ бол порт дамжуулалт юм. Нийтийн IP хаяг руу (гарцад хамаарах) тодорхой порт дээрх гадаад сүлжээнээс хандаж, хүсэлтийг дотоод нөөц рүү хөрвүүлэх тохиолдол. Бид лабораторийн ажилдаа 80-р портыг DMZ сервер рүү дамжуулах болно.
Видео хичээл
Илүү ихийг хүлээн авч бидэнтэй нэгдээрэй 🙂
Эх сурвалж: www.habr.com