Bem-vindo à lição 8. A lição é muito importante porque... Após a conclusão, você poderá configurar o acesso à Internet para seus usuários! Devo admitir que muitas pessoas param de configurar neste momento 🙂 Mas não somos uma delas! E ainda temos muitas coisas interessantes pela frente. E agora ao tema da nossa lição.
Como você provavelmente já deve ter adivinhado, hoje falaremos sobre NAT. Tenho certeza que todos que assistem esta lição sabem o que é NAT. Portanto, não descreveremos em detalhes como funciona. Vou apenas repetir mais uma vez que NAT é uma tecnologia de tradução de endereços que foi inventada para economizar “dinheiro branco”, ou seja, IPs públicos (aqueles endereços roteados na Internet).
Na lição anterior, você provavelmente já percebeu que o NAT faz parte da política de Controle de Acesso. Isto é bastante lógico. No SmartConsole, as configurações de NAT são colocadas em uma guia separada. Definitivamente vamos dar uma olhada lá hoje. Em geral, nesta lição discutiremos os tipos de NAT, configuraremos o acesso à Internet e veremos o exemplo clássico de encaminhamento de porta. Aqueles. a funcionalidade mais utilizada nas empresas. Vamos começar.
Duas maneiras de configurar o NAT
Check Point oferece suporte a duas maneiras de configurar NAT: NAT automático и NAT manual. Além disso, para cada um destes métodos existem dois tipos de tradução: Ocultar NAT и NAT estático. Em geral é parecido com esta imagem:
Entendo que provavelmente tudo parece muito complicado agora, então vamos examinar cada tipo com mais detalhes.
NAT automático
Esta é a maneira mais rápida e fácil. A configuração do NAT é feita em apenas dois cliques. Basta abrir as propriedades do objeto desejado (seja gateway, rede, host, etc.), ir até a aba NAT e marcar a opção “Adicionar regras de tradução automática de endereços" Aqui você verá o campo - o método de tradução. Existem, como mencionado acima, dois deles.
1. Ocultar NAT Aitomático
Por padrão é Ocultar. Aqueles. neste caso, nossa rede irá “se esconder” atrás de algum endereço IP público. Neste caso, o endereço pode ser obtido da interface externa do gateway ou você pode especificar algum outro. Este tipo de NAT é frequentemente chamado de dinâmico ou muitos para um, porque Vários endereços internos são traduzidos em um externo. Naturalmente, isso é possível usando portas diferentes durante a transmissão. Hide NAT funciona apenas em uma direção (de dentro para fora) e é ideal para redes locais quando você só precisa fornecer acesso à Internet. Se o tráfego for iniciado a partir de uma rede externa, o NAT naturalmente não funcionará. Acontece que é uma proteção adicional para redes internas.
2. NAT estático automático
Hide NAT é bom para todos, mas talvez você precise fornecer acesso de uma rede externa a algum servidor interno. Por exemplo, para um servidor DMZ, como no nosso exemplo. Neste caso, o Static NAT pode nos ajudar. Também é bastante fácil de configurar. Basta alterar o método de tradução para Estático nas propriedades do objeto e especificar o endereço IP público que será utilizado para NAT (veja imagem acima). Aqueles. se alguém da rede externa acessar este endereço (em qualquer porta!), a solicitação será encaminhada para um servidor com IP interno. Além disso, se o próprio servidor ficar online, seu IP também mudará para o endereço que especificamos. Aqueles. Este é NAT em ambas as direções. Também é chamado um-para-um e às vezes usado para servidores públicos. Por que “às vezes”? Porque tem uma grande desvantagem - o endereço IP público está completamente ocupado (todas as portas). Você não pode usar um endereço público para servidores internos diferentes (com portas diferentes). Por exemplo HTTP, FTP, SSH, SMTP, etc. O NAT manual pode resolver esse problema.
NAT manual
A peculiaridade do Manual NAT é que você mesmo precisa criar regras de tradução. Na mesma aba NAT em Política de Controle de Acesso. Ao mesmo tempo, o Manual NAT permite criar regras de tradução mais complexas. Os seguintes campos estão disponíveis para você: Fonte Original, Destino Original, Serviços Originais, Fonte Traduzida, Destino Traduzido, Serviços Traduzidos.
Existem também dois tipos de NAT possíveis aqui – Ocultar e Estático.
1. Ocultar NAT manualmente
Hide NAT neste caso pode ser usado em diferentes situações. Alguns exemplos:
- Ao acessar um recurso específico da rede local, você deseja utilizar um endereço de broadcast diferente (diferente daquele utilizado para todos os outros casos).
- Há um grande número de computadores na rede local. Ocultar NAT automático não funcionará aqui, porque... Com esta configuração, é possível definir apenas um endereço IP público, atrás do qual os computadores irão “se esconder”. Pode simplesmente não haver portas suficientes para transmissão. São, como você lembra, pouco mais de 65 mil. Além disso, cada computador pode gerar centenas de sessões. Manual Hide NAT permite definir um conjunto de endereços IP públicos no campo Origem traduzida. Aumentando assim o número de traduções NAT possíveis.
2. NAT estático manual
O NAT estático é usado com muito mais frequência ao criar regras de tradução manualmente. Um exemplo clássico é o encaminhamento de porta. O caso em que um endereço IP público (que pode pertencer a um gateway) é acessado de uma rede externa em uma porta específica e a solicitação é traduzida para um recurso interno. Em nosso trabalho de laboratório, encaminharemos a porta 80 para o servidor DMZ.
Vídeo tutorial
Fique ligado para mais e junte-se ao nosso 🙂
Fonte: habr.com