سلام! ڪورس جي پنجين سبق ۾ ڀليڪار . تي اسان معلوم ڪيو آهي ته سيڪيورٽي پاليسيون ڪيئن ڪم ڪن ٿيون. هاڻي اهو وقت آهي مقامي صارفين کي انٽرنيٽ تي ڇڏڻ جو. هن کي ڪرڻ لاء، هن سبق ۾ اسين NAT ميڪانيزم جي آپريشن کي ڏسنداسين.
صارفين کي انٽرنيٽ تي جاري ڪرڻ کان علاوه، اسان اندروني خدمتن کي شايع ڪرڻ لاء هڪ طريقو پڻ ڏسنداسين. ڪٽ جي هيٺان وڊيو مان هڪ مختصر نظريو آهي، انهي سان گڏ وڊيو سبق پاڻ.
NAT (نيٽ ورڪ ايڊريس ٽرانسليشن) ٽيڪنالاجي نيٽ ورڪ پيڪٽس جي IP پتي کي تبديل ڪرڻ لاء هڪ ميکانيزم آهي. Fortinet اصطلاحن ۾، NAT ٻن قسمن ۾ ورهايل آھي: ماخذ NAT ۽ منزل NAT.
نالا پاڻ لاءِ ڳالهائيندا آهن - جڏهن Source NAT استعمال ڪيو ويندو آهي، ماخذ ايڊريس تبديل ٿي ويندو آهي، جڏهن Destination NAT استعمال ڪيو ويندو آهي، منزل جو پتو تبديل ٿيندو آهي.
ان کان علاوه، NAT - Firewall Policy NAT ۽ Central NAT قائم ڪرڻ لاءِ پڻ ڪيترائي آپشن آھن.
جڏهن پهريون اختيار استعمال ڪندي، ماخذ ۽ منزل NAT کي هر سيڪيورٽي پاليسي لاءِ ترتيب ڏنو وڃي. انهي صورت ۾، ماخذ NAT استعمال ڪري ٿو يا ته ٻاهر نڪرڻ واري انٽرفيس جو IP پتو يا اڳ ۾ ترتيب ڏنل IP پول. منزل NAT استعمال ڪري ٿو اڳ ۾ ترتيب ڏنل اعتراض (جنهن کي VIP - ورچوئل IP سڏيو ويندو آهي) منزل پتي طور.
جڏهن مرڪزي NAT استعمال ڪندي، ماخذ ۽ منزل NAT ترتيب ترتيب ڏني وئي آهي پوري ڊوائيس (يا ورچوئل ڊومين) لاءِ هڪ ڀيرو. انهي صورت ۾، NAT سيٽنگون سڀني پاليسين تي لاڳو ٿين ٿيون، منبع NAT ۽ منزل NAT ضابطن تي منحصر آهي.
ماخذ NAT ضابطا مرڪزي ماخذ NAT پاليسي ۾ ترتيب ڏنل آهن. منزل NAT IP پتي استعمال ڪندي DNAT مينيو مان ترتيب ڏنل آھي.
هن سبق ۾، اسان صرف فائر وال پاليسي NAT تي غور ڪنداسين - جيئن مشق ڏيکاري ٿو، هي ترتيب ڏيڻ جو اختيار مرڪزي NAT کان گهڻو عام آهي.
جيئن ته مون اڳ ۾ ئي چيو آهي، جڏهن فائر وال پاليسي ماخذ NAT ترتيب ڏيڻ، اتي ٻه ترتيب جا اختيار آهن: IP پتي کي ٻاهر نڪرڻ واري انٽرفيس جي ايڊريس سان، يا IP پتي سان IP پتي جي اڳوڻي ترتيب ڏنل پول مان IP پتي سان. اهو ڪجهه ڏسڻ جهڙو آهي جيڪو هيٺ ڏنل شڪل ۾ ڏيکاريل آهي. اڳيون، آئون مختصر طور تي ممڪن پولز جي باري ۾ ڳالهائيندس، پر عملي طور تي اسان صرف ٻاهرئين انٽرفيس جي ايڊريس سان اختيار تي غور ڪنداسين - اسان جي ترتيب ۾، اسان کي IP پتي جي تلاء جي ضرورت ناهي.
هڪ IP پول هڪ يا وڌيڪ IP پتي جي وضاحت ڪري ٿو جيڪي سيشن دوران ماخذ پتي طور استعمال ڪيا ويندا. اهي IP ايڊريس استعمال ڪيا ويندا FortiGate آئوٽ گوئنگ انٽرفيس IP پتي جي بدران.
اتي 4 قسم جا IP پول آھن جيڪي FortiGate تي ترتيب ڏئي سگھجن ٿيون:
- اضافو
- هڪ کان هڪ
- مقرر پورٽ رينج
- پورٽ بلاڪ مختص
اوورلوڊ مکيه IP پول آهي. اهو IP پتي کي ڪيترن ئي کان هڪ يا گهڻن کان گهڻن اسڪيم استعمال ڪندي بدلائي ٿو. پورٽ ترجمو پڻ استعمال ڪيو ويندو آهي. هيٺ ڏنل شڪل ۾ ڏيکاريل سرڪٽ تي غور ڪريو. اسان وٽ ھڪڙو پيڪيج آھي بيان ڪيل ماخذ ۽ منزلن جي شعبن سان. جيڪڏهن اهو هڪ فائر وال پاليسي جي تحت اچي ٿو جيڪا هن پيڪٽ کي خارجي نيٽ ورڪ تائين رسائي جي اجازت ڏئي ٿي، هڪ NAT قاعدو ان تي لاڳو ٿئي ٿو. نتيجي طور، ھن پيڪٽ ۾ ماخذ فيلڊ کي IP پول ۾ بيان ڪيل IP پتي مان ھڪڙي سان تبديل ڪيو ويو آھي.
هڪ هڪ کان هڪ پول پڻ وضاحت ڪري ٿو ڪيترن ئي ٻاهرين IP پتي. جڏهن هڪ پيڪٽ NAT قاعدي سان فائر وال پاليسي جي تحت پوي ٿو، ماخذ فيلڊ ۾ IP پتي کي هن تلاء سان لاڳاپيل پتي مان هڪ ڏانهن تبديل ڪيو ويندو آهي. متبادل "پهرين اندر، پهرين ٻاهر" قاعدي جي پٺيان آهي. ان کي واضح ڪرڻ لاء، اچو ته هڪ مثال ڏسو.
هڪ ڪمپيوٽر مقامي نيٽ ورڪ تي IP پتي 192.168.1.25 سان هڪ پيڪيٽ موڪلي ٿو ٻاهرين نيٽ ورڪ ڏانهن. اهو NAT قاعدي جي تحت پوي ٿو، ۽ ماخذ فيلڊ پول کان پهرين IP پتي تي تبديل ڪيو ويو آهي، اسان جي صورت ۾ اهو آهي 83.235.123.5. اهو قابل ذڪر آهي ته جڏهن هن IP پول کي استعمال ڪندي، پورٽ ترجمو استعمال نه ڪيو ويو آهي. جيڪڏهن ان کان پوءِ هڪ ڪمپيوٽر ساڳئي مقامي نيٽ ورڪ مان، جنهن جي ايڊريس سان، چئو، 192.168.1.35، هڪ پيڪيٽ موڪلي ٿو ٻاهرين نيٽ ورڪ ڏانهن ۽ اهو پڻ NAT قاعدي جي تحت اچي ٿو، هن پيڪٽ جي سورس فيلڊ ۾ IP پتو تبديل ٿي ويندو. 83.235.123.6. جيڪڏهن پول ۾ ڪو به وڌيڪ پتو نه بچيو آهي، پوءِ ڪنيڪشن رد ڪيا ويندا. اهو آهي، هن صورت ۾، 4 ڪمپيوٽرن کي هڪ ئي وقت ۾ اسان جي NAT قاعدي هيٺ اچي سگهي ٿو.
مقرر ٿيل پورٽ رينج IP پتي جي اندروني ۽ بيروني حدن کي ڳنڍيندو آهي. پورٽ ترجمو پڻ بند ٿيل آهي. اهو توهان کي مستقل طور تي اندروني IP پتي جي تلاء جي شروعات يا پڇاڙي کي خارجي IP پتي جي تلاء جي شروعات يا آخر سان لاڳاپيل ڪرڻ جي اجازت ڏئي ٿو. هيٺ ڏنل مثال ۾، اندروني ايڊريس پول 192.168.1.25 - 192.168.1.28 کي ميپ ڪيو ويو آهي خارجي ايڊريس پول 83.235.123.5 - 83.235.125.8.
پورٽ بلاڪ مختص ڪرڻ - هي IP پول استعمال ڪيو ويندو آهي مختص ڪرڻ لاءِ بندرگاهن جو هڪ بلاڪ IP پول استعمال ڪندڙن لاءِ. IP پول کان علاوه، ٻه پيٽرول پڻ هتي بيان ڪيا وڃن - بلاڪ سائيز ۽ بلاڪ جو تعداد هر صارف لاء مختص ڪيو ويو آهي.
ھاڻي اچو ته ڏسو Destination NAT ٽيڪنالاجي. اهو مجازي IP پتي (VIP) تي ٻڌل آهي. پيڪٽس لاءِ جيڪي منزل جي NAT ضابطن جي تحت اچن ٿا، منزل جي ميدان ۾ IP پتو تبديل ٿئي ٿو: عام طور تي عوامي انٽرنيٽ ايڊريس سرور جي خانگي پتي ۾ تبديل ٿي ويندي آهي. مجازي IP پتا فائر وال پاليسين ۾ منزل جي ميدان طور استعمال ڪيا ويندا آهن.
مجازي IP پتي جو معياري قسم جامد NAT آهي. هي خارجي ۽ اندروني پتي جي وچ ۾ هڪ کان هڪ خطوط آهي.
جامد NAT جي بدران، مجازي پتي کي محدود ڪري سگھجي ٿو مخصوص بندرگاهن کي اڳتي وڌائڻ سان. مثال طور، پورٽ 8080 تي هڪ ٻاهرين ايڊريس سان ڪنيڪشن جوڙيو پورٽ 80 تي اندروني IP پتي سان ڪنيڪشن سان.
هيٺ ڏنل مثال ۾، هڪ ڪمپيوٽر ايڊريس 172.17.10.25 سان 83.235.123.20 پورٽ 80 تي ايڊريس تائين پهچڻ جي ڪوشش ڪري رهيو آهي. هي ڪنيڪشن DNAT قاعدي جي تحت اچي ٿو، تنهنڪري منزل IP پتي کي 10.10.10.10 ۾ تبديل ڪيو ويو آهي.
وڊيو نظريي تي بحث ڪري ٿي ۽ ماخذ ۽ منزل NAT کي ترتيب ڏيڻ جا عملي مثال پڻ مهيا ڪري ٿي.
ايندڙ سبقن ۾ اسان اڳتي وڌنداسين انٽرنيٽ تي صارف جي حفاظت کي يقيني بڻائڻ لاءِ. خاص طور تي، ايندڙ سبق ويب فلٽرنگ ۽ ايپليڪيشن ڪنٽرول جي ڪارڪردگي تي بحث ڪندو. ان کي نه وڃائڻ لاء، هيٺ ڏنل چينلن تي تازه ڪاري جي پيروي ڪريو:
جو ذريعو: www.habr.com