Dobrodošli v lekciji 8. Lekcija je zelo pomembna, ker... Po zaključku boste lahko konfigurirali dostop do interneta za svoje uporabnike! Moram priznati, da marsikdo na tej točki neha nastavljati 🙂 Ampak mi nismo eni izmed njih! In pred nami je še veliko zanimivega. In zdaj k temi naše lekcije.
Kot ste verjetno že uganili, bomo danes govorili o NAT. Prepričan sem, da vsi, ki gledajo to lekcijo, vedo, kaj je NAT. Zato ne bomo podrobno opisovali, kako deluje. Samo še enkrat bom ponovil, da je NAT tehnologija prevajanja naslovov, ki je bila izumljena za varčevanje »belega denarja«, tj. javni IP (tisti naslovi, ki so usmerjeni v internetu).
V prejšnji lekciji ste verjetno že opazili, da je NAT del pravilnika za nadzor dostopa. To je povsem logično. V SmartConsole so nastavitve NAT nameščene v ločenem zavihku. Danes bomo zagotovo pogledali tja. Na splošno bomo v tej lekciji obravnavali vrste NAT, konfigurirali dostop do interneta in si ogledali klasičen primer posredovanja vrat. Tisti. funkcionalnost, ki se najpogosteje uporablja v podjetjih. Začnimo.
Dva načina za konfiguracijo NAT
Check Point podpira dva načina konfiguracije NAT: Samodejni NAT и Ročni NAT. Poleg tega za vsako od teh metod obstajata dve vrsti prevajanja: Skrij NAT и Statični NAT. Na splošno je videti takole na sliki:
Razumem, da je zdaj najverjetneje vse videti zelo zapleteno, zato si poglejmo vsako vrsto nekoliko podrobneje.
Samodejni NAT
To je najhitrejši in najlažji način. Konfiguracija NAT se izvede v samo dveh klikih. Vse kar morate storiti je, da odprete lastnosti želenega predmeta (bodisi je to prehod, omrežje, gostitelj itd.), pojdite na zavihek NAT in označite »Dodajte pravila za samodejno prevajanje naslovov" Tukaj boste videli polje - način prevajanja. Kot je navedeno zgoraj, sta dva od njih.
1. Samodejno skrij NAT
Privzeto je Skrij. Tisti. v tem primeru se bo naše omrežje »skrilo« za nekim javnim naslovom IP. V tem primeru lahko naslov vzamete iz zunanjega vmesnika prehoda ali pa določite katerega drugega. To vrsto NAT pogosto imenujemo dinamična oz veliko proti enemu, Ker Več notranjih naslovov se prevede v enega zunanjega. Seveda je to mogoče z uporabo različnih vrat pri oddajanju. Hide NAT deluje samo v eni smeri (od znotraj navzven) in je idealen za lokalna omrežja, ko morate samo zagotoviti dostop do interneta. Če se promet sproži iz zunanjega omrežja, NAT seveda ne bo deloval. Izkazalo se je, da je to dodatna zaščita za notranja omrežja.
2. Samodejni statični NAT
Hide NAT je dober za vsakogar, vendar boste morda morali zagotoviti dostop iz zunanjega omrežja do nekega notranjega strežnika. Na primer na strežnik DMZ, kot v našem primeru. V tem primeru nam lahko pomaga statični NAT. Prav tako je zelo enostavno nastaviti. Dovolj je, da v lastnostih objekta spremenite metodo prevajanja na Static in določite javni naslov IP, ki bo uporabljen za NAT (glejte sliko zgoraj). Tisti. če nekdo iz zunanjega omrežja dostopi do tega naslova (na kateremkoli portu!), bo zahteva posredovana strežniku z notranjim IP-jem. Še več, če strežnik sam vzpostavi povezavo, se bo tudi njegov IP spremenil na naslov, ki smo ga navedli. Tisti. To je NAT v obe smeri. Imenuje se tudi one-to-one in se včasih uporablja za javne strežnike. Zakaj "včasih"? Ker ima eno veliko pomanjkljivost - javni IP naslov je popolnoma zaseden (vsa vrata). Ne morete uporabiti enega javnega naslova za različne notranje strežnike (z različnimi vrati). Na primer HTTP, FTP, SSH, SMTP itd. Ročni NAT lahko reši to težavo.
Ročni NAT
Posebnost Manual NAT je, da morate sami ustvariti pravila prevajanja. Na istem zavihku NAT v pravilniku za nadzor dostopa. Hkrati vam Manual NAT omogoča ustvarjanje bolj zapletenih pravil prevajanja. Na voljo so vam naslednja polja: Izvirni vir, Izvirni cilj, Izvirne storitve, Prevedeni vir, Prevedeni cilj, Prevedene storitve.
Tu sta možni tudi dve vrsti NAT - Skriti in Statični.
1. Ročno skrij NAT
Skrij NAT v tem primeru je mogoče uporabiti v različnih situacijah. Nekaj primerov:
- Ko dostopate do določenega vira iz lokalnega omrežja, želite uporabiti drug oddajni naslov (različen od tistega, ki se uporablja v vseh drugih primerih).
- V lokalnem omrežju je ogromno računalnikov. Samodejno skrivanje NAT tukaj ne bo delovalo, ker ... S to nastavitvijo je možno nastaviti samo en javni naslov IP, za katerim se bodo računalniki »skrili«. Morda preprosto ni dovolj vrat za oddajanje. Kot se spomnite, jih je nekaj več kot 65 tisoč. Poleg tega lahko vsak računalnik ustvari na stotine sej. Manual Hide NAT vam omogoča, da nastavite skupino javnih naslovov IP v polju Translated Source. S tem se poveča število možnih prevodov NAT.
2.Ročni statični NAT
Statični NAT se veliko pogosteje uporablja pri ročnem ustvarjanju pravil prevajanja. Klasičen primer je posredovanje vrat. Primer, ko se do javnega naslova IP (ki lahko pripada prehodu) dostopa iz zunanjega omrežja na določenih vratih in se zahteva prevede v notranji vir. V našem laboratoriju bomo vrata 80 posredovali strežniku DMZ.
Video vadnica
Ostanite z nami za več in se nam pridružite 🙂
Vir: www.habr.com