Mirë se vini në mësimin 8. Mësimi është shumë i rëndësishëm, sepse... Pas përfundimit, do të jeni në gjendje të konfiguroni aksesin në internet për përdoruesit tuaj! Më duhet të pranoj që shumë njerëz ndalojnë së krijuari në këtë pikë 🙂 Por ne nuk jemi një prej tyre! Dhe ne kemi ende shumë gjëra interesante përpara. Dhe tani në temën e mësimit tonë.
Siç ndoshta e keni menduar tashmë, sot do të flasim për NAT. Jam i sigurt që të gjithë ata që e shikojnë këtë mësim e dinë se çfarë është NAT. Prandaj, ne nuk do të përshkruajmë në detaje se si funksionon. Unë thjesht do të përsëris edhe një herë se NAT është një teknologji e përkthimit të adresave që u shpik për të kursyer "para të bardha", d.m.th. IP publike (ato adresa që drejtohen në internet).
Në mësimin e mëparshëm, ndoshta keni vënë re tashmë se NAT është pjesë e politikës së Kontrollit të Aksesit. Kjo është mjaft logjike. Në SmartConsole, cilësimet NAT vendosen në një skedë të veçantë. Ne patjetër do të shohim atje sot. Në përgjithësi, në këtë mësim do të diskutojmë llojet NAT, do të konfigurojmë aksesin në internet dhe do të shohim shembullin klasik të përcjelljes së portit. Ato. funksionaliteti që përdoret më shpesh në kompani. Le të fillojmë.
Dy mënyra për të konfiguruar NAT
Check Point mbështet dy mënyra për të konfiguruar NAT: NAT automatike и Manuali NAT. Për më tepër, për secilën nga këto metoda ekzistojnë dy lloje të përkthimit: Fshih NAT и NAT statike. Në përgjithësi, duket si kjo foto:
Unë e kuptoj që ka shumë të ngjarë që gjithçka duket shumë e ndërlikuar tani, kështu që le të shohim çdo lloj në pak më shumë detaje.
NAT automatike
Kjo është mënyra më e shpejtë dhe më e lehtë. Konfigurimi i NAT bëhet me vetëm dy klikime. E tëra çfarë ju duhet të bëni është të hapni vetitë e objektit të dëshiruar (qoftë portë, rrjet, host, etj.), shkoni te skeda NAT dhe kontrolloni "Shto rregullat e përkthimit automatik të adresës" Këtu do të shihni fushën - metoda e përkthimit. Ka, siç u përmend më lart, dy prej tyre.
1. Aitomatic Hide NAT
Si parazgjedhje është Hide. Ato. në këtë rast, rrjeti ynë do të "fshihet" pas një adrese IP publike. Në këtë rast, adresa mund të merret nga ndërfaqja e jashtme e portës, ose mund të specifikoni një tjetër. Ky lloj NAT shpesh quhet dinamik ose shumë-për-një, sepse Disa adresa të brendshme përkthehen në një të jashtme. Natyrisht, kjo është e mundur duke përdorur porte të ndryshme gjatë transmetimit. Hide NAT funksionon vetëm në një drejtim (nga brenda në jashtë) dhe është ideal për rrjetet lokale kur thjesht duhet të siguroni akses në internet. Nëse trafiku fillon nga një rrjet i jashtëm, atëherë NAT natyrisht nuk do të funksionojë. Rezulton të jetë mbrojtje shtesë për rrjetet e brendshme.
2. NAT automatike statike
Fshehja e NAT është e mirë për të gjithë, por ndoshta ju duhet të siguroni akses nga një rrjet i jashtëm në një server të brendshëm. Për shembull, në një server DMZ, si në shembullin tonë. Në këtë rast, Static NAT mund të na ndihmojë. Është gjithashtu mjaft e lehtë për t'u vendosur. Mjafton të ndryshoni metodën e përkthimit në Static në vetitë e objektit dhe të specifikoni adresën IP publike që do të përdoret për NAT (shih figurën më lart). Ato. nëse dikush nga rrjeti i jashtëm i qaset kësaj adrese (në çdo port!), kërkesa do të përcillet te një server me një IP të brendshëm. Për më tepër, nëse vetë serveri shkon në internet, IP-ja e tij gjithashtu do të ndryshojë në adresën që kemi specifikuar. Ato. Ky është NAT në të dy drejtimet. Quhet gjithashtu një-për-një dhe nganjëherë përdoret për serverë publikë. Pse "ndonjëherë"? Sepse ka një pengesë të madhe - adresa IP publike është plotësisht e zënë (të gjitha portet). Ju nuk mund të përdorni një adresë publike për serverë të ndryshëm të brendshëm (me porte të ndryshme). Për shembull HTTP, FTP, SSH, SMTP, etj. Manuali NAT mund ta zgjidhë këtë problem.
Manuali NAT
E veçanta e Manual NAT është se ju duhet të krijoni vetë rregullat e përkthimit. Në të njëjtën skedë NAT në Politikën e Kontrollit të Aksesit. Në të njëjtën kohë, Manuali NAT ju lejon të krijoni rregulla më komplekse përkthimi. Fushat e mëposhtme janë në dispozicion për ju: Burimi origjinal, Destinacioni origjinal, Shërbimet origjinale, Burimi i përkthyer, Destinacioni i përkthyer, Shërbimet e përkthyera.
Ekzistojnë gjithashtu dy lloje të NAT të mundshme këtu - Hide dhe Static.
1. Fshih manualisht NAT
Hide NAT në këtë rast mund të përdoret në situata të ndryshme. Nja dy shembuj:
- Kur aksesoni një burim specifik nga rrjeti lokal, dëshironi të përdorni një adresë transmetimi të ndryshme (të ndryshme nga ajo e përdorur për të gjitha rastet e tjera).
- Ka një numër të madh kompjuterësh në rrjetin lokal. Fshehja automatike NAT nuk do të funksionojë këtu, sepse... Me këtë konfigurim, është e mundur të vendosni vetëm një adresë IP publike, pas së cilës kompjuterët do të "fshihen". Thjesht mund të mos ketë porte të mjaftueshme për transmetim. Janë, siç e mbani mend, pak më shumë se 65 mijë. Për më tepër, çdo kompjuter mund të gjenerojë qindra seanca. Fshih manualisht NAT ju lejon të vendosni një grup adresash IP publike në fushën Burimi i përkthyer. Duke rritur kështu numrin e përkthimeve të mundshme NAT.
2.Manual Static NAT
NAT statike përdoret shumë më shpesh kur krijohen manualisht rregullat e përkthimit. Një shembull klasik është përcjellja e portit. Rasti kur një adresë IP publike (e cila mund t'i përkasë një porte) aksesohet nga një rrjet i jashtëm në një port specifik dhe kërkesa përkthehet në një burim të brendshëm. Në punën tonë laboratorike, ne do të përcjellim portin 80 te serveri DMZ.
Video mësimi
Qëndroni të sintonizuar për më shumë dhe bashkohuni me ne 🙂
Burimi: www.habr.com