Bun venit la lecția 8. Lecția este foarte importantă, pentru că... După finalizare, veți putea configura accesul la Internet pentru utilizatorii dvs.! Trebuie să recunosc că mulți oameni încetează să se instaleze în acest moment 🙂 Dar noi nu suntem printre ei! Și mai avem o mulțime de lucruri interesante înainte. Și acum la subiectul lecției noastre.
După cum probabil ați ghicit deja, astăzi vom vorbi despre NAT. Sunt sigur că toți cei care urmăresc această lecție știu ce este NAT. Prin urmare, nu vom descrie în detaliu cum funcționează. Voi repeta încă o dată că NAT este o tehnologie de traducere a adreselor care a fost inventată pentru a economisi „bani albi”, adică. IP-uri publice (acele adrese care sunt rutate pe Internet).
În lecția anterioară, probabil ați observat deja că NAT face parte din politica de control al accesului. Acest lucru este destul de logic. În SmartConsole, setările NAT sunt plasate într-o filă separată. Cu siguranță ne vom uita acolo astăzi. În general, în această lecție vom discuta despre tipurile NAT, vom configura accesul la Internet și vom privi exemplul clasic de redirecționare a porturilor. Acestea. funcționalitatea care este folosită cel mai des în companii. Să începem.
Două moduri de a configura NAT
Check Point acceptă două moduri de a configura NAT: NAT automat и Manual NAT. Mai mult, pentru fiecare dintre aceste metode există două tipuri de traducere: Ascunde NAT и NAT static. În general, arată așa imaginea:
Înțeleg că cel mai probabil totul pare foarte complicat acum, așa că haideți să ne uităm puțin mai detaliat la fiecare tip.
NAT automat
Acesta este cel mai rapid și mai ușor mod. Configurarea NAT se face în doar două clicuri. Tot ce trebuie să faceți este să deschideți proprietățile obiectului dorit (fie el gateway, rețea, gazdă etc.), accesați fila NAT și bifați „Adăugați reguli de traducere automată a adreselor" Aici veți vedea câmpul - metoda de traducere. Există, după cum am menționat mai sus, două dintre ele.
1. Aitomatic Hide NAT
În mod implicit, este Ascunde. Acestea. în acest caz, rețeaua noastră se va „ascunde” în spatele unei adrese IP publice. În acest caz, adresa poate fi preluată de pe interfața externă a gateway-ului sau puteți specifica alta. Acest tip de NAT este adesea numit dinamic sau multi-la-unu, deoarece Mai multe adrese interne sunt traduse într-una externă. Desigur, acest lucru este posibil prin utilizarea diferitelor porturi la difuzare. Hide NAT funcționează într-o singură direcție (din interior spre exterior) și este ideal pentru rețelele locale atunci când trebuie doar să oferiți acces la Internet. Dacă traficul este inițiat dintr-o rețea externă, atunci NAT-ul nu va funcționa. Acest lucru oferă protecție suplimentară pentru rețelele interne.
2. NAT static automat
Ascunderea NAT este bună pentru toată lumea, dar poate că trebuie să oferiți acces dintr-o rețea externă la un server intern. De exemplu, către un server DMZ, ca în exemplul nostru. În acest caz, Static NAT ne poate ajuta. De asemenea, este destul de ușor de configurat. Este suficient să schimbați metoda de traducere în Static în proprietățile obiectului și să specificați adresa IP publică care va fi folosită pentru NAT (vezi imaginea de mai sus). Acestea. dacă cineva din rețeaua externă accesează această adresă (pe orice port!), atunci cererea va fi redirecționată către un server cu IP intern. Mai mult, dacă serverul în sine intră online, IP-ul său se va schimba și la adresa specificată de noi. Acestea. Acesta este NAT în ambele direcții. Se mai numeste -la-unu și uneori folosit pentru servere publice. De ce „uneori”? Pentru că are un mare dezavantaj - adresa IP publică este complet ocupată (toate porturile). Nu puteți utiliza o singură adresă publică pentru diferite servere interne (cu porturi diferite). De exemplu, HTTP, FTP, SSH, SMTP etc. NAT manual poate rezolva această problemă.
Manual NAT
Particularitatea manualului NAT este că trebuie să creați singur reguli de traducere. În aceeași filă NAT din Politica de control al accesului. În același timp, Manual NAT vă permite să creați reguli de traducere mai complexe. Următoarele câmpuri sunt disponibile pentru dvs.: Sursă originală, Destinație originală, Servicii originale, Sursă tradusă, Destinație tradusă, Servicii traduse.
Există, de asemenea, două tipuri de NAT posibile aici - Ascunde și Static.
1. Ascundere manuală NAT
Hide NAT în acest caz poate fi folosit în diferite situații. Câteva exemple:
- Când accesați o anumită resursă din rețeaua locală, doriți să utilizați o adresă de difuzare diferită (diferită de cea utilizată pentru toate celelalte cazuri).
- Există un număr mare de computere în rețeaua locală. Ascunderea automată a NAT nu va funcționa aici, deoarece... Cu această configurare, este posibil să setați o singură adresă IP publică, în spatele căreia computerele se vor „ascunde”. Pur și simplu nu există suficiente porturi pentru difuzare. Există, după cum vă amintiți, puțin mai mult de 65 de mii. Mai mult, fiecare computer poate genera sute de sesiuni. Manual Hide NAT vă permite să setați un grup de adrese IP publice în câmpul Translated Source. Crește astfel numărul de traduceri NAT posibile.
2. NAT static manual
NAT static este folosit mult mai des atunci când se creează manual reguli de traducere. Un exemplu clasic este redirecționarea portului. Cazul în care o adresă IP publică (care poate aparține unui gateway) este accesată dintr-o rețea externă pe un anumit port și cererea este tradusă într-o resursă internă. În munca noastră de laborator, vom redirecționa portul 80 către serverul DMZ.
Lecție video
Rămâneți pe fază pentru mai multe și alăturați-vă nouă ????
Sursa: www.habr.com