Vitajte na lekcii 8. Lekcia je veľmi dôležitá, pretože... Po dokončení budete môcť nakonfigurovať prístup na internet pre svojich používateľov! Musím priznať, že veľa ľudí sa v tomto bode prestáva nastavovať 🙂 My však medzi nich nepatríme! A ešte nás čaká veľa zaujímavého. A teraz k téme našej lekcie.
Ako ste už určite uhádli, dnes si povieme niečo o NAT. Som si istý, že každý, kto sleduje túto lekciu, vie, čo je NAT. Preto nebudeme podrobne popisovať, ako to funguje. Len ešte raz zopakujem, že NAT je technológia prekladu adries, ktorá bola vynájdená na šetrenie „bielych peňazí“, t.j. verejné IP adresy (tie adresy, ktoré sú smerované na internete).
V predchádzajúcej lekcii ste si už pravdepodobne všimli, že NAT je súčasťou politiky kontroly prístupu. To je celkom logické. V SmartConsole sú nastavenia NAT umiestnené na samostatnej karte. Dnes sa tam určite pozrieme. Vo všeobecnosti budeme v tejto lekcii diskutovať o typoch NAT, konfigurovať prístup na internet a pozrieť sa na klasický príklad presmerovania portov. Tie. funkcionalitu, ktorá sa vo firmách používa najčastejšie. Začnime.
Dva spôsoby konfigurácie NAT
Check Point podporuje dva spôsoby konfigurácie NAT: Automatický NAT и Manuálny NAT. Okrem toho pre každú z týchto metód existujú dva typy prekladu: Skryť NAT и Statický NAT. Vo všeobecnosti to vyzerá takto:
Chápem, že s najväčšou pravdepodobnosťou teraz všetko vyzerá veľmi komplikovane, takže sa pozrime na každý typ trochu podrobnejšie.
Automatický NAT
Toto je najrýchlejší a najjednoduchší spôsob. Konfigurácia NAT sa vykonáva iba dvoma kliknutiami. Všetko, čo musíte urobiť, je otvoriť vlastnosti požadovaného objektu (či už je to brána, sieť, hostiteľ atď.), prejsť na kartu NAT a skontrolovať „Pridajte pravidlá automatického prekladu adries" Tu uvidíte pole - metóda prekladu. Ako už bolo spomenuté vyššie, sú dve.
1. Aitomatic Hide NAT
V predvolenom nastavení je to Skryť. Tie. v tomto prípade sa naša sieť „schová“ za nejakú verejnú IP adresu. V tomto prípade môže byť adresa prevzatá z externého rozhrania brány, alebo môžete zadať inú. Tento typ NAT sa často nazýva dynamický resp veľa na jedného, pretože Niekoľko interných adries sa preloží do jednej externej. Prirodzene je to možné použitím rôznych portov pri vysielaní. Hide NAT funguje iba v jednom smere (zvnútra von) a je ideálny pre lokálne siete, keď potrebujete iba poskytnúť prístup na internet. Ak je prevádzka iniciovaná z externej siete, NAT prirodzene nebude fungovať. Ukazuje sa, že ide o dodatočnú ochranu interných sietí.
2. Automatický statický NAT
Hide NAT je dobré pre každého, ale možno budete musieť poskytnúť prístup z externej siete na nejaký interný server. Napríklad na server DMZ, ako v našom príklade. V tomto prípade nám môže pomôcť statický NAT. Je tiež celkom jednoduché nastaviť. Vo vlastnostiach objektu stačí zmeniť spôsob prekladu na Statický a určiť verejnú IP adresu, ktorá bude použitá pre NAT (viď obrázok vyššie). Tie. ak niekto z externej siete pristúpi na túto adresu (na akomkoľvek porte!), požiadavka bude presmerovaná na server s internou IP. Navyše, ak samotný server prejde online, jeho IP sa tiež zmení na adresu, ktorú sme zadali. Tie. Toto je NAT v oboch smeroch. Je to aj tzv one-to-one a niekedy sa používa pre verejné servery. Prečo "niekedy"? Pretože má jeden veľký nedostatok – verejná IP adresa je kompletne obsadená (všetky porty). Nemôžete použiť jednu verejnú adresu pre rôzne interné servery (s rôznymi portami). Napríklad HTTP, FTP, SSH, SMTP atď. Manuálny NAT môže vyriešiť tento problém.
Manuálny NAT
Zvláštnosťou Manual NAT je, že si musíte vytvoriť pravidlá prekladu sami. Na rovnakej karte NAT v politike riadenia prístupu. Manuálny NAT zároveň umožňuje vytvárať komplexnejšie pravidlá prekladu. K dispozícii máte nasledujúce polia: Pôvodný zdroj, Pôvodný cieľ, Pôvodné služby, Preložený zdroj, Preložený cieľ, Preložené služby.
Sú tu tiež možné dva typy NAT – Hide a Static.
1. Manuálne skrytie NAT
Skryť NAT v tomto prípade možno použiť v rôznych situáciách. Pár príkladov:
- Pri prístupe ku konkrétnemu zdroju z lokálnej siete chcete použiť inú vysielaciu adresu (odlišnú od tej, ktorá sa používa vo všetkých ostatných prípadoch).
- V lokálnej sieti je obrovské množstvo počítačov. Automatické skrytie NAT tu nebude fungovať, pretože... Pri tomto nastavení je možné nastaviť len jednu verejnú IP adresu, za ktorú sa budú počítače „schovávať“. Jednoducho nemusí byť dostatok portov na vysielanie. Ako si pamätáte, je ich o niečo viac ako 65 tisíc. Okrem toho môže každý počítač generovať stovky relácií. Manual Hide NAT vám umožňuje nastaviť skupinu verejných IP adries v poli Translated Source. Tým sa zvyšuje počet možných prekladov NAT.
2.Manuálny statický NAT
Statický NAT sa používa oveľa častejšie pri manuálnom vytváraní pravidiel prekladu. Klasickým príkladom je presmerovanie portov. Prípad, keď sa na verejnú IP adresu (ktorá môže patriť bráne) pristupuje z externej siete na špecifickom porte a požiadavka je preložená do interného zdroja. V našej laboratórnej práci prepošleme port 80 na server DMZ.
Video tutoriál
Zostaňte naladení na ďalšie a pripojte sa k nám ????
Zdroj: hab.com