வாழ்த்துக்கள்! பாடத்தின் ஐந்தாவது பாடத்திற்கு வரவேற்கிறோம்
இணையத்தில் பயனர்களை விடுவிப்பதைத் தவிர, உள் சேவைகளை வெளியிடுவதற்கான முறையையும் பார்ப்போம். வெட்டுக்கு கீழே வீடியோவிலிருந்து ஒரு சுருக்கமான கோட்பாடு உள்ளது, அதே போல் வீடியோ பாடமும் உள்ளது.
NAT (நெட்வொர்க் அட்ரஸ் டிரான்ஸ்லேஷன்) தொழில்நுட்பம் என்பது நெட்வொர்க் பாக்கெட்டுகளின் IP முகவரிகளை மாற்றுவதற்கான ஒரு பொறிமுறையாகும். Fortinet அடிப்படையில், NAT இரண்டு வகைகளாகப் பிரிக்கப்பட்டுள்ளது: Source NAT மற்றும் Destination NAT.
பெயர்கள் தங்களைப் பற்றி பேசுகின்றன - Source NAT ஐப் பயன்படுத்தும் போது, மூல முகவரி மாறுகிறது, Destination NAT ஐப் பயன்படுத்தும் போது, இலக்கு முகவரி மாறுகிறது.
கூடுதலாக, NAT - Firewall Policy NAT மற்றும் Central NAT ஆகியவற்றை அமைப்பதற்கான பல விருப்பங்களும் உள்ளன.
முதல் விருப்பத்தைப் பயன்படுத்தும் போது, ஒவ்வொரு பாதுகாப்புக் கொள்கைக்கும் ஆதாரம் மற்றும் இலக்கு NAT கட்டமைக்கப்பட வேண்டும். இந்த வழக்கில், Source NAT ஆனது வெளிச்செல்லும் இடைமுகத்தின் IP முகவரியை அல்லது முன் கட்டமைக்கப்பட்ட IP பூலைப் பயன்படுத்துகிறது. இலக்கு NAT ஆனது முன்-கட்டமைக்கப்பட்ட பொருளை (விஐபி - விர்ச்சுவல் ஐபி என அழைக்கப்படுவது) இலக்கு முகவரியாகப் பயன்படுத்துகிறது.
மத்திய NAT ஐப் பயன்படுத்தும் போது, முழு சாதனத்திற்கும் (அல்லது மெய்நிகர் டொமைன்) ஒரே நேரத்தில் மூல மற்றும் இலக்கு NAT உள்ளமைவு செய்யப்படுகிறது. இந்த வழக்கில், NAT அமைப்புகள் அனைத்து கொள்கைகளுக்கும், Source NAT மற்றும் Destination NAT விதிகளைப் பொறுத்து பொருந்தும்.
மூல NAT விதிகள் மத்திய மூல NAT கொள்கையில் கட்டமைக்கப்பட்டுள்ளன. இலக்கு NAT ஐபி முகவரிகளைப் பயன்படுத்தி DNAT மெனுவிலிருந்து கட்டமைக்கப்படுகிறது.
இந்த பாடத்தில், ஃபயர்வால் பாலிசி NATஐ மட்டுமே கருத்தில் கொள்வோம் - நடைமுறையில் காட்டுவது போல, இந்த உள்ளமைவு விருப்பம் மத்திய NAT ஐ விட மிகவும் பொதுவானது.
நான் ஏற்கனவே கூறியது போல், ஃபயர்வால் கொள்கை மூல NAT ஐ உள்ளமைக்கும் போது, இரண்டு உள்ளமைவு விருப்பங்கள் உள்ளன: IP முகவரியை வெளிச்செல்லும் இடைமுகத்தின் முகவரி அல்லது IP முகவரிகளின் முன் கட்டமைக்கப்பட்ட தொகுப்பிலிருந்து IP முகவரியுடன் மாற்றுதல். இது கீழே உள்ள படத்தில் காட்டப்பட்டுள்ளதைப் போன்றது. அடுத்து, சாத்தியமான குளங்களைப் பற்றி நான் சுருக்கமாகப் பேசுவேன், ஆனால் நடைமுறையில் வெளிச்செல்லும் இடைமுகத்தின் முகவரியுடன் விருப்பத்தை மட்டுமே கருத்தில் கொள்வோம் - எங்கள் அமைப்பில், எங்களுக்கு ஐபி முகவரி குளங்கள் தேவையில்லை.
ஒரு அமர்வின் போது மூல முகவரியாகப் பயன்படுத்தப்படும் ஒன்று அல்லது அதற்கு மேற்பட்ட IP முகவரிகளை IP பூல் வரையறுக்கிறது. இந்த IP முகவரிகள் FortiGate வெளிச்செல்லும் இடைமுக IP முகவரிக்குப் பதிலாகப் பயன்படுத்தப்படும்.
FortiGate இல் உள்ளமைக்கக்கூடிய 4 வகையான IP பூல்கள் உள்ளன:
- ஓவர்லோடு
- நேருக்கு நேர்
- நிலையான துறைமுக வரம்பு
- துறைமுக தொகுதி ஒதுக்கீடு
ஓவர்லோட் முக்கிய ஐபி பூல் ஆகும். இது பல-ஒன்று அல்லது பல-க்கு-பல திட்டத்தைப் பயன்படுத்தி ஐபி முகவரிகளை மாற்றுகிறது. துறைமுக மொழிபெயர்ப்பும் பயன்படுத்தப்படுகிறது. கீழே உள்ள படத்தில் காட்டப்பட்டுள்ள சுற்றுகளைக் கவனியுங்கள். எங்களிடம் வரையறுக்கப்பட்ட மூல மற்றும் இலக்கு புலங்கள் கொண்ட தொகுப்பு உள்ளது. இந்த பாக்கெட் வெளிப்புற நெட்வொர்க்கை அணுக அனுமதிக்கும் ஃபயர்வால் கொள்கையின் கீழ் வந்தால், அதற்கு NAT விதி பயன்படுத்தப்படும். இதன் விளைவாக, இந்த பாக்கெட்டில் மூல புலம் ஐபி பூலில் குறிப்பிடப்பட்ட ஐபி முகவரிகளில் ஒன்றால் மாற்றப்படுகிறது.
ஒன் டு ஒன் பூல் பல வெளிப்புற ஐபி முகவரிகளையும் வரையறுக்கிறது. NAT விதி இயக்கப்பட்ட ஃபயர்வால் கொள்கையின் கீழ் ஒரு பாக்கெட் வரும்போது, மூலப் புலத்தில் உள்ள IP முகவரி இந்தக் குளத்திற்குச் சொந்தமான முகவரிகளில் ஒன்றாக மாற்றப்படும். மாற்றீடு "முதலில், முதலில் வெளியே" விதியைப் பின்பற்றுகிறது. அதை தெளிவுபடுத்த, ஒரு உதாரணத்தைப் பார்ப்போம்.
192.168.1.25 ஐபி முகவரியுடன் உள்ளூர் நெட்வொர்க்கில் உள்ள கணினி வெளிப்புற நெட்வொர்க்கிற்கு ஒரு பாக்கெட்டை அனுப்புகிறது. இது NAT விதியின் கீழ் வருகிறது, மேலும் ஆதாரப் புலமானது பூலில் இருந்து முதல் IP முகவரிக்கு மாற்றப்பட்டது, எங்கள் விஷயத்தில் இது 83.235.123.5 ஆகும். இந்த ஐபி பூலைப் பயன்படுத்தும் போது, போர்ட் மொழிபெயர்ப்பு பயன்படுத்தப்படாது என்பது குறிப்பிடத்தக்கது. இதற்குப் பிறகு, அதே உள்ளூர் நெட்வொர்க்கில் இருந்து ஒரு கணினி, 192.168.1.35 என்ற முகவரியுடன், வெளிப்புற நெட்வொர்க்கிற்கு ஒரு பாக்கெட்டை அனுப்புகிறது மற்றும் இந்த NAT விதியின் கீழ் வந்தால், இந்த பாக்கெட்டின் மூல புலத்தில் உள்ள IP முகவரி மாறும் 83.235.123.6. குளத்தில் மேலும் முகவரிகள் இல்லை என்றால், அடுத்தடுத்த இணைப்புகள் நிராகரிக்கப்படும். அதாவது, இந்த விஷயத்தில், ஒரே நேரத்தில் 4 கணினிகள் நமது NAT விதியின் கீழ் வரலாம்.
நிலையான போர்ட் வரம்பு IP முகவரிகளின் உள் மற்றும் வெளிப்புற வரம்புகளை இணைக்கிறது. போர்ட் மொழிபெயர்ப்பும் முடக்கப்பட்டுள்ளது. வெளிப்புற ஐபி முகவரிகளின் தொடக்கம் அல்லது முடிவுடன் உள் ஐபி முகவரிகளின் தொடக்கம் அல்லது முடிவை நிரந்தரமாக இணைக்க இது உங்களை அனுமதிக்கிறது. கீழே உள்ள எடுத்துக்காட்டில், உள் முகவரிக் குளம் 192.168.1.25 - 192.168.1.28 வெளிப்புற முகவரிக் குளம் 83.235.123.5 - 83.235.125.8 க்கு வரைபடமாக்கப்பட்டுள்ளது.
போர்ட் பிளாக் ஒதுக்கீடு - இந்த ஐபி பூல் ஐபி பூல் பயனர்களுக்கு ஒரு தொகுதி போர்ட்களை ஒதுக்க பயன்படுகிறது. ஐபி பூலுக்கு கூடுதலாக, இரண்டு அளவுருக்கள் இங்கே குறிப்பிடப்பட வேண்டும் - தொகுதி அளவு மற்றும் ஒவ்வொரு பயனருக்கும் ஒதுக்கப்பட்ட தொகுதிகளின் எண்ணிக்கை.
இப்போது Destination NAT தொழில்நுட்பத்தைப் பார்ப்போம். இது மெய்நிகர் ஐபி முகவரிகளை (விஐபி) அடிப்படையாகக் கொண்டது. இலக்கு NAT விதிகளின் கீழ் வரும் பாக்கெட்டுகளுக்கு, இலக்கு புலத்தில் உள்ள IP முகவரி மாறுகிறது: பொதுவாக பொது இணைய முகவரி சேவையகத்தின் தனிப்பட்ட முகவரிக்கு மாறுகிறது. விர்ச்சுவல் ஐபி முகவரிகள் ஃபயர்வால் கொள்கைகளில் இலக்குப் புலமாகப் பயன்படுத்தப்படுகின்றன.
மெய்நிகர் IP முகவரிகளின் நிலையான வகை நிலையான NAT ஆகும். இது வெளிப்புற மற்றும் உள் முகவரிகளுக்கு இடையேயான கடிதப் பரிமாற்றமாகும்.
நிலையான NATக்கு பதிலாக, குறிப்பிட்ட போர்ட்களை முன்னனுப்புவதன் மூலம் மெய்நிகர் முகவரிகளை வரம்பிடலாம். எடுத்துக்காட்டாக, போர்ட் 8080 இல் உள்ள வெளிப்புற முகவரியுடன் போர்ட் 80 இல் உள்ள உள் ஐபி முகவரியுடன் இணைப்புகளை இணைக்கவும்.
கீழே உள்ள எடுத்துக்காட்டில், 172.17.10.25 என்ற முகவரியுடன் கூடிய கணினி போர்ட் 83.235.123.20 இல் 80 என்ற முகவரியை அணுக முயற்சிக்கிறது. இந்த இணைப்பு DNAT விதியின் கீழ் வருகிறது, எனவே இலக்கு IP முகவரி 10.10.10.10 க்கு மாற்றப்பட்டது.
வீடியோ கோட்பாட்டைப் பற்றி விவாதிக்கிறது மற்றும் மூல மற்றும் இலக்கு NAT ஐ உள்ளமைப்பதற்கான நடைமுறை எடுத்துக்காட்டுகளையும் வழங்குகிறது.
அடுத்த பாடங்களில் இணையத்தில் பயனர் பாதுகாப்பை உறுதிசெய்வதற்குச் செல்வோம். குறிப்பாக, அடுத்த பாடம் வலை வடிகட்டுதல் மற்றும் பயன்பாட்டுக் கட்டுப்பாட்டின் செயல்பாட்டைப் பற்றி விவாதிக்கும். தவறவிடாமல் இருக்க, பின்வரும் சேனல்களில் புதுப்பிப்புகளைப் பின்பற்றவும்:
ஆதாரம்: www.habr.com