සුභ පැතුම්! පාඨමාලාවේ පස්වන පාඩමට සාදරයෙන් පිළිගනිමු . සක්රීයයි ආරක්ෂක ප්රතිපත්ති ක්රියාත්මක වන ආකාරය අපි හඳුනාගෙන ඇත. දැන් දේශීය පරිශීලකයින් අන්තර්ජාලයට මුදා හැරීමට කාලයයි. මෙය සිදු කිරීම සඳහා, මෙම පාඩමේදී අපි NAT යාන්ත්රණයේ ක්රියාකාරිත්වය දෙස බලමු.
පරිශීලකයින් අන්තර්ජාලයට මුදා හැරීමට අමතරව, අභ්යන්තර සේවාවන් ප්රකාශයට පත් කිරීමේ ක්රමයක් ද අපි බලමු. කප්පාදුවට පහළින් වීඩියෝවෙන් කෙටි න්යායක් මෙන්ම වීඩියෝ පාඩමද ඇත.
NAT (ජාල ලිපින පරිවර්තනය) තාක්ෂණය යනු ජාල පැකට් වල IP ලිපින පරිවර්තනය කිරීමේ යාන්ත්රණයකි. Fortinet අනුව, NAT වර්ග දෙකකට බෙදා ඇත: මූලාශ්ර NAT සහ ගමනාන්ත NAT.
නම් තමාටම කථා කරයි - Source NAT භාවිතා කරන විට, මූලාශ්ර ලිපිනය වෙනස් වේ, ගමනාන්ත NAT භාවිතා කරන විට, ගමනාන්ත ලිපිනය වෙනස් වේ.
මීට අමතරව, NAT - Firewall Policy NAT සහ Central NAT පිහිටුවීම සඳහා විකල්ප කිහිපයක් ද ඇත.
පළමු විකල්පය භාවිතා කරන විට, එක් එක් ආරක්ෂක ප්රතිපත්ති සඳහා මූලාශ්රය සහ ගමනාන්තය NAT වින්යාස කළ යුතුය. මෙම අවස්ථාවෙහිදී, Source NAT විසින් පිටතට යන අතුරු මුහුණතේ IP ලිපිනය හෝ පෙර-වින්යාස කළ IP සංචිතයක් භාවිතා කරයි. ගමනාන්තය NAT ගමනාන්ත ලිපිනය ලෙස පෙර-වින්යාසගත වස්තුවක් (ඊනියා VIP - Virtual IP) භාවිතා කරයි.
මධ්යම NAT භාවිතා කරන විට, ප්රභවය සහ ගමනාන්ත NAT වින්යාසය සම්පූර්ණ උපාංගය (හෝ අතථ්ය වසම) සඳහා එකවර සිදු කෙරේ. මෙම අවස්ථාවෙහිදී, NAT සැකසුම් මූලාශ්ර NAT සහ ගමනාන්ත NAT රීති මත පදනම්ව, සියලුම ප්රතිපත්ති සඳහා අදාළ වේ.
මූලාශ්ර NAT රීති මධ්යම මූලාශ්ර NAT ප්රතිපත්තිය තුළ වින්යාස කර ඇත. ගමනාන්ත NAT වින්යාස කර ඇත්තේ IP ලිපින භාවිතයෙන් DNAT මෙනුවෙනි.
මෙම පාඩමේදී, අපි සලකා බලන්නේ ෆයර්වෝල් ප්රතිපත්ති NAT පමණි - ප්රායෝගිකව පෙන්වන පරිදි, මෙම වින්යාස කිරීමේ විකල්පය මධ්යම NAT ට වඩා බෙහෙවින් පොදු ය.
මා දැනටමත් පවසා ඇති පරිදි, ෆයර්වෝල් ප්රතිපත්ති ප්රභවය NAT වින්යාස කිරීමේදී, වින්යාස විකල්ප දෙකක් තිබේ: IP ලිපිනය පිටතට යන අතුරුමුහුණතේ ලිපිනය සමඟ ප්රතිස්ථාපනය කිරීම හෝ පෙර සැකසූ IP ලිපින සංචිතයකින් IP ලිපිනයක් සමඟ. එය පහත රූපයේ පෙන්වා ඇති ආකාරයට පෙනේ. ඊළඟට, මම හැකි සංචිත ගැන කෙටියෙන් කතා කරමි, නමුත් ප්රායෝගිකව අපි පිටතට යන අතුරු මුහුණතේ ලිපිනය සමඟ විකල්පය පමණක් සලකා බලමු - අපගේ පිරිසැලසුම තුළ, අපට IP ලිපින සංචිත අවශ්ය නොවේ.
IP සංචිතයක් සැසියක් අතරතුර මූලාශ්ර ලිපිනය ලෙස භාවිතා කරන IP ලිපින එකක් හෝ කිහිපයක් නිර්වචනය කරයි. FortiGate පිටතට යන අතුරු මුහුණත් IP ලිපිනය වෙනුවට මෙම IP ලිපින භාවිතා කරනු ඇත.
FortiGate මත වින්යාසගත කළ හැකි IP සංචිත වර්ග 4ක් ඇත:
- අධි බර
- එකට එක
- ස්ථාවර වරාය පරාසය
- වරාය වාරණ වෙන් කිරීම
අධි බර යනු ප්රධාන IP සංචිතයයි. එය බොහෝ-එකක් හෝ බොහෝ-බොහෝ යෝජනා ක්රමයක් භාවිතයෙන් IP ලිපින පරිවර්තනය කරයි. වරාය පරිවර්තනය ද භාවිතා වේ. පහත රූපයේ දැක්වෙන පරිපථය සලකා බලන්න. නිශ්චිත මූලාශ්ර සහ ගමනාන්ත ක්ෂේත්ර සහිත පැකේජයක් අප සතුව ඇත. මෙම පැකට්ටුවට බාහිර ජාලයට ප්රවේශ වීමට ඉඩ සලසන ෆයර්වෝල් ප්රතිපත්තියක් යටතේ එය පැමිණේ නම්, එයට NAT රීතියක් යොදනු ලැබේ. එහි ප්රතිඵලයක් ලෙස, මෙම පැකට්ටුවේ මූලාශ්ර ක්ෂේත්රය IP සංචිතයේ දක්වා ඇති IP ලිපින වලින් එකක් සමඟ ප්රතිස්ථාපනය වේ.
එකකින් එක සංචිතයක් බොහෝ බාහිර IP ලිපින ද නිර්වචනය කරයි. NAT රීතිය සක්රීය කර ඇති පැකට්ටුවක් ෆයර්වෝල් ප්රතිපත්තියක් යටතට වැටෙන විට, මූලාශ්ර ක්ෂේත්රයේ ඇති IP ලිපිනය මෙම සංචිතයට අයත් එක් ලිපිනයකට වෙනස් වේ. ආදේශ කිරීම "පළමුවෙන්, පළමු පිටතට" රීතිය අනුගමනය කරයි. එය වඩාත් පැහැදිලි කිරීම සඳහා, අපි උදාහරණයක් දෙස බලමු.
IP ලිපිනය 192.168.1.25 සමඟ දේශීය ජාලයේ පරිගණකයක් බාහිර ජාලයට පැකට්ටුවක් යවයි. එය NAT රීතියට යටත් වන අතර, මූලාශ්ර ක්ෂේත්රය සංචිතයෙන් පළමු IP ලිපිනයට වෙනස් වේ, අපගේ නඩුවේ එය 83.235.123.5 වේ. මෙම IP සංචිතය භාවිතා කරන විට, වරාය පරිවර්තනය භාවිතා නොකරන බව සඳහන් කිරීම වටී. මෙයින් පසුව, එම දේශීය ජාලයේ පරිගණකයක්, 192.168.1.35 ලිපිනයක් සහිත, පැකට්ටුවක් බාහිර ජාලයකට යවන්නේ නම් සහ මෙම NAT රීතියට යටත් වුවහොත්, මෙම පැකට්ටුවේ මූලාශ්ර ක්ෂේත්රයේ IP ලිපිනය වෙනස් වේ. 83.235.123.6. සංචිතයේ තවත් ලිපින නොමැති නම්, පසුව ඇති සම්බන්ධතා ප්රතික්ෂේප කරනු ලැබේ. එනම් මෙහිදී එකවර පරිගණක 4ක් අපගේ NAT රීතියට යටත් විය හැක.
ස්ථාවර වරාය පරාසය IP ලිපිනවල අභ්යන්තර සහ බාහිර පරාසයන් සම්බන්ධ කරයි. වරාය පරිවර්තනය ද අබල කර ඇත. අභ්යන්තර IP ලිපින සංචිතයක ආරම්භය හෝ අවසානය බාහිර IP ලිපින සංචිතයක ආරම්භය හෝ අවසානය සමඟ ස්ථිරව සම්බන්ධ කිරීමට මෙය ඔබට ඉඩ සලසයි. පහත උදාහරණයේ, අභ්යන්තර ලිපින සංචිතය 192.168.1.25 - 192.168.1.28 බාහිර ලිපින සංචිතය 83.235.123.5 - 83.235.125.8 වෙත සිතියම්ගත කර ඇත.
Port Block Allocation - මෙම IP pool එක IP pool භාවිතා කරන්නන් සඳහා ports block එකක් වෙන් කිරීමට භාවිතා කරයි. IP සංචිතයට අමතරව, පරාමිති දෙකක් ද මෙහි සඳහන් කළ යුතුය - බ්ලොක් ප්රමාණය සහ එක් එක් පරිශීලකයා සඳහා වෙන් කර ඇති කුට්ටි ගණන.
දැන් අපි බලමු Destination NAT තාක්ෂණය ගැන. එය අථත්ය IP ලිපින (VIP) මත පදනම් වේ. ගමනාන්ත NAT නීති යටතේ වැටෙන පැකට් සඳහා, ගමනාන්ත ක්ෂේත්රයේ IP ලිපිනය වෙනස් වේ: සාමාන්යයෙන් පොදු අන්තර්ජාල ලිපිනය සේවාදායකයේ පුද්ගලික ලිපිනයට වෙනස් වේ. අතථ්ය IP ලිපින ෆයර්වෝල් ප්රතිපත්තිවල ගමනාන්ත ක්ෂේත්රය ලෙස භාවිත කෙරේ.
අථත්ය IP ලිපින වල සම්මත වර්ගය Static NAT වේ. මෙය බාහිර හා අභ්යන්තර ලිපින අතර එකින් එක ලිපි හුවමාරුවකි.
Static NAT වෙනුවට, අථත්ය ලිපින විශේෂිත වරායන් යොමු කිරීමෙන් සීමා කළ හැක. උදාහරණයක් ලෙස, වරාය 8080 හි අභ්යන්තර IP ලිපිනයකට සම්බන්ධයක් සමඟ 80 වරායේ බාහිර ලිපිනයකට සම්බන්ධතා සම්බන්ධ කරන්න.
පහත උදාහරණයේ, 172.17.10.25 ලිපිනය සහිත පරිගණකයක් වරාය 83.235.123.20 හි 80 ලිපිනයට ප්රවේශ වීමට උත්සාහ කරයි. මෙම සම්බන්ධතාවය DNAT රීතියට යටත් වේ, එබැවින් ගමනාන්ත IP ලිපිනය 10.10.10.10 ලෙස වෙනස් වේ.
වීඩියෝව න්යාය සාකච්ඡා කරන අතර මූලාශ්රය සහ ගමනාන්තය NAT වින්යාස කිරීමේ ප්රායෝගික උදාහරණ ද සපයයි.
මීළඟ පාඩම් වලින් අපි අන්තර්ජාලයේ පරිශීලක ආරක්ෂාව සහතික කිරීමට ඉදිරියට යන්නෙමු. විශේෂයෙන්, මීළඟ පාඩම වෙබ් පෙරහන සහ යෙදුම් පාලනයේ ක්රියාකාරීත්වය ගැන සාකච්ඡා කරනු ඇත. එය අතපසු නොකිරීමට, පහත නාලිකා වල යාවත්කාලීන අනුගමනය කරන්න:
මූලාශ්රය: www.habr.com