salam wanoh! Wilujeng sumping di palajaran kalima kursus . Asupkeun Kami geus ilahar kaluar kumaha kawijakan kaamanan jalan. Ayeuna waktuna pikeun ngaleupaskeun pangguna lokal kana Internét. Jang ngalampahkeun ieu, dina palajaran ieu bakal kasampak di operasi mékanisme NAT.
Salian ngabebaskeun pangguna ka Internét, urang ogé bakal ningali metode pikeun nyebarkeun jasa internal. Di handap cut aya téori ringkes tina video, kitu ogé palajaran video sorangan.
Téknologi NAT (Network Address Translation) nyaéta mékanisme pikeun ngarobih alamat IP tina pakét jaringan. Dina istilah Fortinet, NAT dibagi jadi dua jenis: Sumber NAT sareng Tujuan NAT.
Ngaranna nyarios sorangan - nalika nganggo Source NAT, alamat sumberna robih, nalika nganggo Destination NAT, alamat tujuanna robih.
Salaku tambahan, aya ogé sababaraha pilihan pikeun nyetél NAT - Firewall Policy NAT sareng Central NAT.
Nalika nganggo pilihan kahiji, Sumber sareng Tujuan NAT kedah dikonpigurasi pikeun tiap kawijakan kaamanan. Dina hal ieu, Source NAT nganggo alamat IP tina antarmuka kaluar atanapi IP Pool anu tos dikonpigurasikeun. Tujuan NAT ngagunakeun obyék tos dikonpigurasikeun (nu disebut VIP - Virtual IP) salaku alamat tujuan.
Nalika nganggo Central NAT, Konfigurasi NAT Sumber sareng Tujuan dilaksanakeun pikeun sadaya alat (atanapi domain virtual) sakaligus. Dina hal ieu, setelan NAT dilarapkeun ka sadaya kawijakan, gumantung kana aturan Source NAT jeung Tujuan NAT.
Aturan Sumber NAT dikonpigurasi dina kawijakan Sumber NAT sentral. Tujuan NAT dikonpigurasi tina menu DNAT nganggo alamat IP.
Dina palajaran ieu, urang ngan ukur nganggap Firewall Policy NAT - sakumaha prakték nunjukkeun, pilihan konfigurasi ieu langkung umum tibatan Central NAT.
Sakumaha anu kuring parantos nyarios, nalika ngonpigurasikeun Sumber Kawijakan Firewall NAT, aya dua pilihan konfigurasi: ngagentos alamat IP sareng alamat antarmuka anu kaluar, atanapi nganggo alamat IP tina kolam renang alamat IP anu parantos dikonfigurasi. Sigana sapertos anu dipidangkeun dina gambar di handap ieu. Salajengna, kuring sakeudeung bakal ngobrol ngeunaan kamungkinan pools, tapi dina praktekna urang ngan bakal mertimbangkeun pilihan jeung alamat tina panganteur kaluar - dina perenah urang, urang teu kedah pools alamat IP.
Hiji kolam renang IP ngahartikeun hiji atawa leuwih alamat IP anu bakal dipaké salaku alamat sumber salila sési. Alamat IP ieu bakal dianggo tibatan alamat IP antarmuka kaluar FortiGate.
Aya 4 jinis kolam renang IP anu tiasa dikonpigurasi dina FortiGate:
- Beungeut teuing
- Hiji-to-hiji
- Maneuh Port Range
- Alokasi blok palabuhan
Overload mangrupikeun kolam renang IP utama. Éta ngarobih alamat IP nganggo skéma many-to-one atanapi many-to-many. Tarjamahan port ogé dianggo. Mertimbangkeun sirkuit ditémbongkeun dina gambar di handap ieu. Kami ngagaduhan pakét sareng widang Sumber sareng Tujuan anu ditetepkeun. Upami aya dina kawijakan firewall anu ngamungkinkeun pakét ieu ngaksés jaringan éksternal, aturan NAT diterapkeun kana éta. Hasilna, dina pakét ieu widang Sumber diganti ku salah sahiji alamat IP dieusian dina IP pool.
Hiji kolam renang Hiji ka Hiji ogé nangtukeun loba alamat IP éksternal. Nalika pakét digolongkeun kana kawijakan firewall kalayan aturan NAT diaktipkeun, alamat IP dina widang Sumber dirobah jadi salah sahiji alamat milik kolam renang ieu. Ngagantian nuturkeun aturan "mimiti asup, kaluar heula". Sangkan leuwih jelas, hayu urang nempo hiji conto.
Komputer dina jaringan lokal sareng alamat IP 192.168.1.25 ngirimkeun pakét ka jaringan éksternal. Digolongkeun dina aturan NAT, sarta widang Sumber dirobah jadi alamat IP munggaran ti kolam renang nu, bisi urang éta 83.235.123.5. Perhatos yén nalika nganggo kolam renang IP ieu, tarjamahan port henteu dianggo. Upami saatos ieu komputer ti jaringan lokal anu sami, sareng alamatna, sebutkeun, 192.168.1.35, ngirim pakét ka jaringan éksternal sareng ogé kalebet dina aturan NAT ieu, alamat IP dina widang Sumber tina pakét ieu bakal robih janten. 83.235.123.6. Upami teu aya deui alamat anu tinggaleun di kolam renang, sambungan anu salajengna bakal ditolak. Nyaéta, dina hal ieu, 4 komputer tiasa digolongkeun dina aturan NAT kami dina waktos anu sami.
Fixed Port Range nyambungkeun rentang internal sareng éksternal alamat IP. Tarjamahan port ogé ditumpurkeun. Hal ieu ngamungkinkeun anjeun pikeun permanén ngahubungkeun awal atawa tungtung hiji kolam renang alamat IP internal jeung awal atawa tungtung hiji kolam renang alamat IP éksternal. Dina conto di handap, éta kolam renang alamat internal 192.168.1.25 - 192.168.1.28 dipetakeun ka kolam renang alamat éksternal 83.235.123.5 - 83.235.125.8.
Port Blok Alokasi - IP pool ieu dipaké pikeun allocate blok palabuhan pikeun pamaké IP pool. Salian kolam renang IP sorangan, dua parameter ogé kedah dieusian - ukuran blok sareng jumlah blok anu dialokasikeun pikeun unggal pangguna.
Ayeuna hayu urang tingali téknologi Destination NAT. Hal ieu dumasar kana alamat IP virtual (VIP). Pikeun pakét anu digolongkeun dina aturan Destination NAT, alamat IP dina widang Tujuan robah: biasana alamat Internét umum robah jadi alamat pribadi tina server. Alamat IP maya dipaké dina kawijakan firewall salaku widang Tujuan.
Jenis standar alamat IP virtual nyaéta statik NAT. Ieu susuratan hiji-ka-hiji antara alamat éksternal jeung internal.
Gantina statik NAT, alamat maya bisa diwatesan ku diteruskeun palabuhan husus. Salaku conto, gaulkeun sambungan ka alamat éksternal dina port 8080 sareng sambungan ka alamat IP internal dina port 80.
Dina conto di handap, komputer kalawan alamat 172.17.10.25 nyoba ngakses alamat 83.235.123.20 dina port 80. Sambungan ieu digolongkeun dina aturan DNAT, jadi alamat IP tujuan dirobah jadi 10.10.10.10.
Video ngabahas téori sareng ogé nyayogikeun conto praktis pikeun ngonpigurasikeun Sumber sareng Tujuan NAT.
Dina palajaran salajengna urang bakal ngaléngkah ka mastikeun kaamanan pamaké dina Internét. Husus, palajaran salajengna bakal ngabahas pungsionalitas nyaring wéb sareng kontrol aplikasi. Pikeun henteu sono, tuturkeun apdet dina saluran ieu:
sumber: www.habr.com