Witamy na lekcji 8. Lekcja jest bardzo ważna, ponieważ... Po zakończeniu będziesz mógł skonfigurować dostęp do Internetu dla swoich użytkowników! Muszę przyznać, że wiele osób w tym momencie przestaje zakładać 🙂 Ale my do nich nie należymy! A przed nami jeszcze wiele ciekawych rzeczy. A teraz do tematu naszej lekcji.
Jak już zapewne się domyślacie, dzisiaj porozmawiamy o NAT. Jestem pewien, że każdy, kto obejrzy tę lekcję, wie, czym jest NAT. Dlatego nie będziemy szczegółowo opisywać, jak to działa. Powtórzę tylko jeszcze raz, że NAT to technologia translacji adresów, która została wynaleziona, aby zaoszczędzić „białe pieniądze”, tj. publiczne adresy IP (adresy kierowane w Internecie).
W poprzedniej lekcji prawdopodobnie zauważyłeś już, że NAT jest częścią polityki kontroli dostępu. To jest całkiem logiczne. W SmartConsole ustawienia NAT znajdują się w osobnej zakładce. Na pewno tam dzisiaj zajrzymy. Ogólnie rzecz biorąc, podczas tej lekcji omówimy typy NAT, skonfigurujemy dostęp do Internetu i przyjrzymy się klasycznemu przykładowi przekierowania portów. Te. funkcjonalność, która jest najczęściej wykorzystywana w firmach. Zacznijmy.
Dwa sposoby konfiguracji NAT
Check Point obsługuje dwa sposoby konfiguracji NAT: Automatyczny NAT и Ręczny NAT. Ponadto dla każdej z tych metod istnieją dwa rodzaje tłumaczenia: Ukryj NAT и Statyczny NAT. Ogólnie wygląda to tak jak na tym zdjęciu:
Rozumiem, że najprawdopodobniej wszystko wygląda teraz na bardzo skomplikowane, więc przyjrzyjmy się każdemu typowi nieco bardziej szczegółowo.
Automatyczny NAT
To najszybszy i najłatwiejszy sposób. Konfigurowanie NAT odbywa się za pomocą zaledwie dwóch kliknięć. Wszystko, co musisz zrobić, to otworzyć właściwości żądanego obiektu (brama, sieć, host itp.), przejść do zakładki NAT i zaznaczyć „Dodaj reguły automatycznego tłumaczenia adresów" Tutaj zobaczysz pole - metodę tłumaczenia. Jak wspomniano powyżej, jest ich dwóch.
1. Aitomatic Ukryj NAT
Domyślnie jest to Ukryj. Te. w takim przypadku nasza sieć „ukryje się” za jakimś publicznym adresem IP. W tym przypadku adres można pobrać z zewnętrznego interfejsu bramki lub podać inny. Ten typ NAT jest często nazywany dynamicznym lub wiele do jednego, ponieważ Kilka adresów wewnętrznych jest tłumaczonych na jeden zewnętrzny. Jest to oczywiście możliwe poprzez użycie różnych portów podczas nadawania. Ukryj NAT działa tylko w jedną stronę (od wewnątrz na zewnątrz) i idealnie sprawdza się w sieciach lokalnych, gdy potrzebne jest jedynie zapewnienie dostępu do Internetu. Jeśli ruch jest inicjowany z sieci zewnętrznej, wówczas NAT oczywiście nie będzie działać. Okazuje się, że jest to dodatkowe zabezpieczenie sieci wewnętrznych.
2. Automatyczny statyczny NAT
Ukryj NAT jest dobry dla każdego, ale być może musisz zapewnić dostęp z sieci zewnętrznej do jakiegoś wewnętrznego serwera. Na przykład do serwera DMZ, jak w naszym przykładzie. W tym przypadku statyczny NAT może nam pomóc. Jest również dość łatwy w konfiguracji. Wystarczy we właściwościach obiektu zmienić metodę tłumaczenia na Static i podać publiczny adres IP, który będzie używany do NAT (patrz obrazek powyżej). Te. jeśli ktoś z sieci zewnętrznej uzyska dostęp do tego adresu (na dowolnym porcie!), wówczas żądanie zostanie przekazane do serwera z wewnętrznym adresem IP. Co więcej, jeśli sam serwer przejdzie do trybu online, jego adres IP również zmieni się na podany przez nas adres. Te. To jest NAT w obu kierunkach. Nazywa się to również jeden-do-jednego i czasami używane na serwerach publicznych. Dlaczego „czasami”? Ponieważ ma jedną dużą wadę - publiczny adres IP jest całkowicie zajęty (wszystkie porty). Nie można używać jednego adresu publicznego dla różnych serwerów wewnętrznych (z różnymi portami). Na przykład HTTP, FTP, SSH, SMTP itp. Ręczny NAT może rozwiązać ten problem.
Ręczny NAT
Osobliwością ręcznego NAT jest to, że musisz samodzielnie utworzyć reguły tłumaczenia. Na tej samej karcie NAT w Polityce kontroli dostępu. Jednocześnie ręczny NAT pozwala na tworzenie bardziej złożonych reguł tłumaczenia. Dostępne są następujące pola: Oryginalne źródło, Pierwotne miejsce docelowe, Oryginalne usługi, Przetłumaczone źródło, Przetłumaczone miejsce docelowe, Przetłumaczone usługi.
Możliwe są tutaj również dwa typy NAT – Ukryj i Statyczny.
1. Ręcznie ukryj NAT
Ukryj NAT w tym przypadku można zastosować w różnych sytuacjach. Kilka przykładów:
- Uzyskując dostęp do określonego zasobu z sieci lokalnej, chcesz użyć innego adresu rozgłoszeniowego (innego niż ten używany we wszystkich innych przypadkach).
- W sieci lokalnej znajduje się ogromna liczba komputerów. Automatyczne ukrywanie NAT nie będzie tutaj działać, ponieważ... Dzięki tej konfiguracji możliwe jest ustawienie tylko jednego publicznego adresu IP, za którym komputery będą się „ukrywać”. Może po prostu nie być wystarczającej liczby portów do transmisji. Jest ich, jak pamiętacie, nieco ponad 65 tys. Co więcej, każdy komputer może generować setki sesji. Ręczne ukrywanie NAT umożliwia ustawienie puli publicznych adresów IP w polu Przetłumaczone źródło. Zwiększa to liczbę możliwych tłumaczeń NAT.
2.Ręczny statyczny NAT
Statyczny NAT jest używany znacznie częściej przy ręcznym tworzeniu reguł tłumaczenia. Klasycznym przykładem jest przekierowanie portów. Przypadek, w którym dostęp do publicznego adresu IP (który może należeć do bramy) jest uzyskiwany z sieci zewnętrznej na określonym porcie, a żądanie jest tłumaczone na zasób wewnętrzny. W naszej pracy laboratoryjnej przekażemy port 80 do serwera DMZ.
Film instruktażowy
Czekajcie na więcej i dołączcie do nas 🙂
Źródło: www.habr.com