Welkom bij les 8. De les is erg belangrijk, omdat... Na voltooiing kunt u de internettoegang voor uw gebruikers configureren! Ik moet toegeven dat veel mensen op dit punt stoppen met opzetten 🙂 Maar wij zijn niet een van hen! En we hebben nog veel interessante dingen in het verschiet. En nu naar het onderwerp van onze les.
Zoals je waarschijnlijk al geraden hebt, zullen we het vandaag over NAT hebben. Ik ben er zeker van dat iedereen die deze les bekijkt, weet wat NAT is. Daarom zullen we niet in detail beschrijven hoe het werkt. Ik herhaal gewoon nogmaals dat NAT een adresvertaaltechnologie is die is uitgevonden om ‘wit geld’ te besparen, d.w.z. openbare IP's (de adressen die op internet worden gerouteerd).
In de vorige les heb je waarschijnlijk al gemerkt dat NAT deel uitmaakt van het toegangscontrolebeleid. Dit is heel logisch. In SmartConsole worden NAT-instellingen op een apart tabblad geplaatst. Wij gaan daar zeker kijken vandaag. Over het algemeen zullen we in deze les NAT-typen bespreken, internettoegang configureren en kijken naar het klassieke voorbeeld van port forwarding. Die. de functionaliteit die het meest wordt gebruikt in bedrijven. Laten we beginnen.
Twee manieren om NAT te configureren
Check Point ondersteunt twee manieren om NAT te configureren: Automatische NAT и Handmatig NAT. Bovendien zijn er voor elk van deze methoden twee soorten vertalingen: NAT verbergen и Statische NAT. Over het algemeen ziet het er als volgt uit:
Ik begrijp dat alles er nu waarschijnlijk erg ingewikkeld uitziet, dus laten we elk type wat gedetailleerder bekijken.
Automatische NAT
Dit is de snelste en gemakkelijkste manier. NAT configureren is in slechts twee klikken gedaan. Het enige wat u hoeft te doen is de eigenschappen van het gewenste object te openen (of het nu een gateway, netwerk, host, enz. is), naar het tabblad NAT te gaan en het selectievakje “Voeg regels voor automatische adresvertaling toe" Hier ziet u het veld - de vertaalmethode. Er zijn er, zoals hierboven vermeld, twee van.
1. Aitomatic Verberg NAT
Standaard is dit Verbergen. Die. in dit geval zal ons netwerk zich “verbergen” achter een openbaar IP-adres. In dit geval kan het adres worden overgenomen van de externe interface van de gateway, of u kunt een ander adres opgeven. Dit type NAT wordt vaak dynamisch of veel-op-een, omdat Verschillende interne adressen worden vertaald naar één extern adres. Uiteraard is dit mogelijk door tijdens het uitzenden verschillende poorten te gebruiken. Hide NAT werkt slechts in één richting (van binnen naar buiten) en is ideaal voor lokale netwerken wanneer u alleen toegang tot internet nodig heeft. Als verkeer wordt geïnitieerd vanaf een extern netwerk, werkt NAT uiteraard niet. Dit biedt extra bescherming voor interne netwerken.
2. Automatische statische NAT
NAT verbergen is goed voor iedereen, maar misschien moet u vanaf een extern netwerk toegang bieden tot een interne server. Bijvoorbeeld naar een DMZ-server, zoals in ons voorbeeld. In dit geval kan Static NAT ons helpen. Het is ook vrij eenvoudig in te stellen. Het is voldoende om de vertaalmethode in de objecteigenschappen te wijzigen in Statisch en het openbare IP-adres op te geven dat voor NAT zal worden gebruikt (zie de afbeelding hierboven). Die. als iemand van het externe netwerk toegang krijgt tot dit adres (op welke poort dan ook!), dan wordt het verzoek doorgestuurd naar een server met een intern IP-adres. Bovendien, als de server zelf online gaat, verandert zijn IP ook naar het adres dat we hebben opgegeven. Die. Dit is NAT in beide richtingen. Het wordt ook wel genoemd een op een en soms gebruikt voor openbare servers. Waarom “soms”? Omdat het één groot nadeel heeft: het openbare IP-adres is volledig bezet (alle poorten). U kunt niet één openbaar adres gebruiken voor verschillende interne servers (met verschillende poorten). Bijvoorbeeld HTTP, FTP, SSH, SMTP, enz. Handmatige NAT kan dit probleem oplossen.
Handmatig NAT
Het bijzondere van Manual NAT is dat u zelf vertaalregels moet maken. Op hetzelfde NAT-tabblad in Toegangscontrolebeleid. Tegelijkertijd kunt u met Manual NAT complexere vertaalregels maken. De volgende velden zijn voor u beschikbaar: Originele bron, Originele bestemming, Originele services, Vertaalde bron, Vertaalde bestemming, Vertaalde services.
Er zijn hier ook twee soorten NAT mogelijk: Hide en Static.
1. Handmatig NAT verbergen
NAT verbergen kan in dit geval in verschillende situaties worden gebruikt. Een paar voorbeelden:
- Wanneer u toegang krijgt tot een specifieke bron vanaf het lokale netwerk, wilt u een ander uitzendadres gebruiken (anders dan het adres dat voor alle andere gevallen wordt gebruikt).
- Er zijn een groot aantal computers op het lokale netwerk. Automatisch verbergen NAT werkt hier niet, omdat... Met deze opstelling is het mogelijk om slechts één openbaar IP-adres in te stellen, waarachter computers zich zullen “verbergen”. Het kan zijn dat er simpelweg niet genoeg poorten zijn voor uitzendingen. Er zijn, zoals u zich herinnert, iets meer dan 65 duizend. Bovendien kan elke computer honderden sessies genereren. Handmatig NAT verbergen stelt u in staat een verzameling openbare IP-adressen in te stellen in het veld Vertaalde bron. Daardoor wordt het aantal mogelijke NAT-vertalingen vergroot.
2. Handmatige statische NAT
Statische NAT wordt veel vaker gebruikt bij het handmatig maken van vertaalregels. Een klassiek voorbeeld is port forwarding. Het geval waarin een openbaar IP-adres (dat mogelijk bij een gateway hoort) wordt benaderd vanaf een extern netwerk op een specifieke poort en het verzoek wordt vertaald naar een interne bron. Bij ons laboratoriumwerk sturen we poort 80 door naar de DMZ-server.
Video-instructies
Blijf op de hoogte voor meer en doe mee 🙂
Bron: www.habr.com