سلامونه! د کورس پنځم درس ته ښه راغلاست . په موږ معلومه کړې چې امنیتي پالیسۍ څنګه کار کوي. اوس دا وخت دی چې ځایی کاروونکي انټرنیټ ته خوشې کړئ. د دې کولو لپاره، پدې لوست کې به موږ د NAT میکانیزم عملیات وګورو.
انټرنیټ ته د کاروونکو خوشې کولو سربیره، موږ به د داخلي خدماتو خپرولو لپاره یو میتود هم وګورو. د کټ لاندې د ویډیو څخه یوه لنډه تیوري ده، او همدارنګه د ویډیو درس پخپله.
NAT (د شبکې پته ژباړه) ټیکنالوژي د شبکې پیکټو IP پتې بدلولو میکانیزم دی. د Fortinet شرایطو کې، NAT په دوه ډوله ویشل شوی: سرچینه NAT او منزل NAT.
نومونه د ځان لپاره خبرې کوي - کله چې سرچینه NAT کاروي، د سرچینې پته بدلیږي، کله چې د منزل NAT کاروئ، د منزل پته بدلیږي.
سربیره پردې، د NAT - د فایروال پالیسي NAT او مرکزي NAT ترتیب کولو لپاره ډیری اختیارونه هم شتون لري.
کله چې لومړی اختیار وکاروئ ، سرچینه او منزل NAT باید د هرې امنیتي پالیسۍ لپاره تنظیم شي. په دې حالت کې، سرچینه NAT یا د وتلو انٹرفیس IP پته یا د مخکې ترتیب شوي IP حوض کاروي. منزل NAT د منزل پته په توګه د مخکې څخه ترتیب شوي څیز (د VIP - مجازی IP په نوم یادیږي) کاروي.
کله چې مرکزي NAT کاروئ ، د سرچینې او منزل NAT ترتیب په یوځل کې د ټولې وسیلې (یا مجازی ډومین) لپاره ترسره کیږي. په دې حالت کې، د NAT ترتیبات په ټولو پالیسیو کې پلي کیږي، د سرچینې NAT او منزل NAT قواعدو پورې اړه لري.
د سرچینې NAT قواعد د مرکزي سرچینې NAT پالیسۍ کې ترتیب شوي. منزل NAT د IP پتې په کارولو سره د DNAT مینو څخه ترتیب شوی.
په دې لوست کې، موږ به یوازې د فایروال پالیسي NAT په پام کې ونیسو - لکه څنګه چې تمرین ښیې، د دې ترتیب کولو اختیار د مرکزي NAT په پرتله خورا عام دی.
لکه څنګه چې ما دمخه وویل ، کله چې د فایر وال پالیسي سرچینې NAT تنظیم کول ، د تنظیم کولو دوه اختیارونه شتون لري: د IP پته د وتلو انٹرفیس پته سره ځای په ځای کول ، یا د IP پتې د مخکیني ترتیب شوي حوض څخه د IP پتې سره. دا یو څه ښکاري لکه څنګه چې په لاندې شکل کې ښودل شوي. بل ، زه به په لنډ ډول د ممکنه حوضونو په اړه وغږیږم ، مګر په عمل کې به موږ یوازې د وتلو انٹرفیس پته سره اختیار په پام کې ونیسو - زموږ په ترتیب کې ، موږ د IP پتې حوضونو ته اړتیا نلرو.
د IP حوض یو یا څو IP پتې تعریفوي چې د ناستې په جریان کې به د سرچینې پتې په توګه وکارول شي. دا IP پتې به د FortiGate د وتلو انٹرفیس IP پتې پرځای وکارول شي.
د 4 ډوله IP حوضونه شتون لري چې په FortiGate کې تنظیم کیدی شي:
- پورته کول
- یو پر یو
- ثابت بندر رینج
- د پورټ بلاک تخصیص
اوورلوډ اصلي IP پول دی. دا د ډیری څخه یو یا ډیری څخه ډیری سکیم په کارولو سره IP پتې بدلوي. د پورټ ژباړه هم کارول کیږي. په لاندې شکل کې ښودل شوي سرکټ ته پام وکړئ. موږ د تعریف شوي سرچینې او منزل ساحې سره کڅوړه لرو. که دا د اور وژنې پالیسۍ الندې راشي چې دا پاکټ بهرنۍ شبکې ته د لاسرسي اجازه ورکوي، د NAT قاعده په دې باندې پلي کیږي. د پایلې په توګه، په دې کڅوړه کې د سرچینې ساحه د IP پتې سره د IP حوض کې مشخص شوي یو ځای بدل شوی.
یو له یو څخه یو حوض هم ډیری بهرني IP پتې تعریفوي. کله چې یو پاکټ د NAT قاعدې فعالولو سره د فائر وال پالیسۍ لاندې راشي، د سرچینې په ساحه کې IP پته د دې حوض پورې اړوند یو پته ته بدلیږي. ځای په ځای کول د "لومړی دننه، لومړی بهر" اصول تعقیبوي. د دې د روښانه کولو لپاره، راځئ چې یو مثال وګورو.
په محلي شبکه کې یو کمپیوټر د IP پته 192.168.1.25 سره بهرنۍ شبکې ته یوه کڅوړه لیږي. دا د NAT قانون لاندې راځي، او د سرچینې ساحه د حوض څخه لومړي IP پتې ته بدله شوې، زموږ په قضیه کې دا 83.235.123.5 دی. دا د یادولو وړ ده چې کله د دې IP پول په کارولو سره، د پورټ ژباړه نه کارول کیږي. که له دې وروسته د ورته محلي شبکې څخه یو کمپیوټر، د 192.168.1.35 پتې سره، یو پاکټ بهرنۍ شبکې ته واستوي او د دې NAT قانون لاندې راشي، د دې پیکټ د سرچینې ساحه کې IP پته به بدل شي. 83.235.123.6. که چیرې په حوض کې نور پتې پاتې نه وي، راتلونکی اړیکې به رد شي. دا دی، پدې حالت کې، 4 کمپیوټرونه کولی شي په ورته وخت کې زموږ د NAT حاکمیت لاندې راشي.
فکسډ پورټ رینج د IP پتې داخلي او بهرنۍ سلسلې سره نښلوي. د پورټ ژباړه هم غیر فعاله ده. دا تاسو ته اجازه درکوي د تل لپاره د داخلي IP پتې د حوض پیل یا پای د بهرني IP پتې د حوض پیل یا پای سره وصل کړئ. په لاندې مثال کې، د داخلي پته حوض 192.168.1.25 - 192.168.1.28 د بهرنۍ پته حوض 83.235.123.5 - 83.235.125.8 ته نقشه شوی.
د پورټ بلاک تخصیص - دا IP پول د IP پول کاروونکو لپاره د بندرونو بلاک تخصیص کولو لپاره کارول کیږي. پخپله د IP حوض سربیره، دوه پیرامیټونه هم باید دلته مشخص شي - د بلاک اندازه او د بلاکونو شمیر چې د هر کارونکي لپاره تخصیص شوي.
اوس راځئ چې د منزل NAT ټیکنالوژۍ ته وګورو. دا د مجازی IP پتې (VIP) پر بنسټ والړ دی. د هغو پاکټونو لپاره چې د منزل NAT قواعدو لاندې راځي، د منزل په ساحه کې IP پته بدلیږي: معمولا د عامه انټرنیټ پته د سرور شخصي پته ته بدلیږي. مجازی IP پتې د فایروال پالیسیو کې د منزل ساحې په توګه کارول کیږي.
د مجازی IP پتې معیاري ډول Static NAT دی. دا د خارجي او داخلي ادرسونو تر مینځ یو له بل سره اړیکه ده.
د جامد NAT پرځای، مجازی پتې د ځانګړو بندرونو په لیږلو سره محدود کیدی شي. د مثال په توګه ، په پورټ 8080 کې د بهرني آدرس سره اړیکې په پورټ 80 کې د داخلي IP پتې سره اړیکې سره وصل کړئ.
په لاندې مثال کې، یو کمپیوټر د 172.17.10.25 پته سره هڅه کوي په 83.235.123.20 بندر کې 80 پتې ته لاسرسی ومومي. دا اړیکه د DNAT قانون لاندې راځي، نو د منزل IP پته 10.10.10.10 ته بدله شوې.
ویډیو د تیوري په اړه بحث کوي او د سرچینې او منزل NAT ترتیب کولو عملي مثالونه هم وړاندې کوي.
په راتلونکو درسونو کې به موږ په انټرنیټ کې د کاروونکي خوندیتوب ډاډمن کولو ته لاړ شو. په ځانګړې توګه، راتلونکی درس به د ویب فلټر کولو او غوښتنلیک کنټرول فعالیت په اړه بحث وکړي. د دې لپاره چې دا له لاسه ورنکړي، په لاندې چینلونو کې تازه معلومات تعقیب کړئ:
سرچینه: www.habr.com