Pozdrowienia! Witamy na piątej lekcji kursu . Na Ustaliliśmy, jak działają zasady bezpieczeństwa. Teraz nadszedł czas, aby wypuścić lokalnych użytkowników do Internetu. Aby to zrobić, w tej lekcji przyjrzymy się działaniu mechanizmu NAT.
Oprócz udostępnienia użytkownikom Internetu przyjrzymy się także metodzie publikowania usług wewnętrznych. Poniżej fragmentu krótka teoria z filmu, a także sama lekcja wideo.
Technologia NAT (Network Address Translation) to mechanizm konwersji adresów IP pakietów sieciowych. Według Fortineta NAT dzieli się na dwa typy: źródłowy NAT i docelowy NAT.
Nazwy mówią same za siebie - przy korzystaniu ze źródłowego NAT zmienia się adres źródłowy, podczas korzystania z docelowego NAT zmienia się adres docelowy.
Ponadto istnieje również kilka opcji konfiguracji NAT - Polityka zapory NAT i Centralny NAT.
W przypadku korzystania z pierwszej opcji dla każdej zasady bezpieczeństwa należy skonfigurować źródłowy i docelowy NAT. W tym przypadku Source NAT wykorzystuje adres IP interfejsu wychodzącego lub wstępnie skonfigurowaną pulę adresów IP. Destination NAT jako adres docelowy wykorzystuje wstępnie skonfigurowany obiekt (tzw. VIP – Virtual IP).
W przypadku korzystania z centralnego NAT konfiguracja źródłowego i docelowego NAT jest wykonywana jednocześnie dla całego urządzenia (lub domeny wirtualnej). W takim przypadku ustawienia NAT mają zastosowanie do wszystkich zasad, w zależności od reguł źródłowego NAT i docelowego NAT.
Reguły źródłowego NAT są konfigurowane w centralnej polityce źródłowego NAT. Docelowy NAT konfiguruje się w menu DNAT przy użyciu adresów IP.
W tej lekcji rozważymy tylko NAT polityki zapory - jak pokazuje praktyka, ta opcja konfiguracji jest znacznie bardziej powszechna niż centralny NAT.
Jak już mówiłem, podczas konfiguracji źródła NAT zasady zapory sieciowej istnieją dwie możliwości konfiguracji: zastąpienie adresu IP adresem interfejsu wychodzącego lub adresem IP ze wstępnie skonfigurowanej puli adresów IP. Wygląda mniej więcej tak, jak pokazano na poniższym rysunku. Następnie krótko opowiem o możliwych pulach, ale w praktyce rozważymy jedynie opcję z adresem interfejsu wychodzącego - w naszym układzie nie potrzebujemy pul adresów IP.
Pula adresów IP definiuje jeden lub więcej adresów IP, które będą używane jako adres źródłowy podczas sesji. Te adresy IP będą używane zamiast adresu IP interfejsu wychodzącego FortiGate.
W FortiGate można skonfigurować 4 typy pul adresów IP:
- Przeciążać
- Jeden na jednego
- Naprawiono zakres portów
- Alokacja bloku portów
Przeciążenie to główna pula adresów IP. Konwertuje adresy IP przy użyciu schematu wiele do jednego lub wiele do wielu. Stosowane jest również tłumaczenie portów. Rozważmy obwód pokazany na poniższym rysunku. Mamy pakiet ze zdefiniowanymi polami Źródło i Miejsce docelowe. Jeśli podlega zasadom zapory sieciowej, które umożliwiają temu pakietowi dostęp do sieci zewnętrznej, stosowana jest do niego reguła NAT. W rezultacie w tym pakiecie pole Źródło zostaje zastąpione jednym z adresów IP określonych w puli IP.
Pula jeden do jednego definiuje także wiele zewnętrznych adresów IP. Gdy pakiet podlega zasadom zapory sieciowej z włączoną regułą NAT, adres IP w polu Źródło zostaje zmieniony na jeden z adresów należących do tej puli. Wymiana odbywa się zgodnie z zasadą „pierwsze weszło, pierwsze wyszło”. Aby było to jaśniejsze, spójrzmy na przykład.
Komputer w sieci lokalnej o adresie IP 192.168.1.25 wysyła pakiet do sieci zewnętrznej. Podlega on zasadzie NAT, a pole Źródło zostaje zmienione na pierwszy adres IP z puli, w naszym przypadku jest to 83.235.123.5. Warto zaznaczyć, że przy korzystaniu z tej puli adresów IP nie jest stosowana translacja portów. Jeśli po tym komputer z tej samej sieci lokalnej, z adresem np. 192.168.1.35, wyśle pakiet do sieci zewnętrznej i również będzie podlegał tej regule NAT, adres IP w polu Źródło tego pakietu zmieni się na 83.235.123.6. Jeżeli w puli nie będzie już więcej adresów, kolejne połączenia będą odrzucane. Oznacza to, że w tym przypadku 4 komputery mogą jednocześnie podlegać naszej regule NAT.
Stały zakres portów łączy wewnętrzne i zewnętrzne zakresy adresów IP. Tłumaczenie portów jest również wyłączone. Umożliwia to trwałe powiązanie początku lub końca puli wewnętrznych adresów IP z początkiem lub końcem puli zewnętrznych adresów IP. W poniższym przykładzie wewnętrzna pula adresów 192.168.1.25 - 192.168.1.28 jest mapowana na zewnętrzną pulę adresów 83.235.123.5 - 83.235.125.8.
Alokacja bloku portów — ta pula adresów IP służy do przydzielania bloku portów użytkownikom puli adresów IP. Oprócz samej puli adresów IP należy tutaj określić także dwa parametry - rozmiar bloku i liczbę bloków przydzielonych każdemu użytkownikowi.
Przyjrzyjmy się teraz technologii Destination NAT. Opiera się na wirtualnych adresach IP (VIP). W przypadku pakietów podlegających regułom Destination NAT adres IP w polu Destination ulega zmianie: zazwyczaj publiczny adres internetowy zmienia się na prywatny adres serwera. Wirtualne adresy IP są używane w zasadach zapory sieciowej jako pole Miejsce docelowe.
Standardowym typem wirtualnych adresów IP jest statyczny NAT. Jest to korespondencja jeden do jednego między adresami zewnętrznymi i wewnętrznymi.
Zamiast statycznego NAT, adresy wirtualne można ograniczać poprzez przekazywanie określonych portów. Na przykład skojarz połączenia z adresem zewnętrznym na porcie 8080 z połączeniem z wewnętrznym adresem IP na porcie 80.
W poniższym przykładzie komputer o adresie 172.17.10.25 próbuje uzyskać dostęp do adresu 83.235.123.20 na porcie 80. To połączenie podlega regule DNAT, dlatego docelowy adres IP zostaje zmieniony na 10.10.10.10.
Film omawia teorię, a także przedstawia praktyczne przykłady konfiguracji źródłowego i docelowego NAT.
W kolejnych lekcjach przejdziemy do kwestii zapewnienia bezpieczeństwa użytkowników w Internecie. W szczególności następna lekcja omówi funkcjonalność filtrowania sieci i kontroli aplikacji. Aby tego nie przegapić, śledź aktualizacje na następujących kanałach:
Źródło: www.habr.com