శుభాకాంక్షలు! కోర్సు యొక్క ఐదవ పాఠానికి స్వాగతం . న భద్రతా విధానాలు ఎలా పని చేస్తాయో మేము గుర్తించాము. ఇప్పుడు స్థానిక వినియోగదారులను ఇంటర్నెట్లోకి విడుదల చేసే సమయం వచ్చింది. దీన్ని చేయడానికి, ఈ పాఠంలో మనం NAT మెకానిజం యొక్క ఆపరేషన్ను పరిశీలిస్తాము.
ఇంటర్నెట్కు వినియోగదారులను విడుదల చేయడంతో పాటు, అంతర్గత సేవలను ప్రచురించే పద్ధతిని కూడా మేము పరిశీలిస్తాము. కట్ క్రింద వీడియో నుండి సంక్షిప్త సిద్ధాంతం, అలాగే వీడియో పాఠం కూడా ఉంది.
NAT (నెట్వర్క్ అడ్రస్ ట్రాన్స్లేషన్) టెక్నాలజీ అనేది నెట్వర్క్ ప్యాకెట్ల IP చిరునామాలను మార్చడానికి ఒక మెకానిజం. ఫోర్టినెట్ పరంగా, NAT రెండు రకాలుగా విభజించబడింది: సోర్స్ NAT మరియు డెస్టినేషన్ NAT.
పేర్లు తమకు తాముగా మాట్లాడుకుంటాయి - సోర్స్ NATని ఉపయోగిస్తున్నప్పుడు, మూల చిరునామా మారుతుంది, డెస్టినేషన్ NATని ఉపయోగిస్తున్నప్పుడు, గమ్యం చిరునామా మారుతుంది.
అదనంగా, NAT - ఫైర్వాల్ పాలసీ NAT మరియు సెంట్రల్ NAT సెటప్ చేయడానికి అనేక ఎంపికలు కూడా ఉన్నాయి.
మొదటి ఎంపికను ఉపయోగిస్తున్నప్పుడు, ప్రతి భద్రతా విధానానికి మూలం మరియు గమ్యం NAT తప్పనిసరిగా కాన్ఫిగర్ చేయబడాలి. ఈ సందర్భంలో, Source NAT అవుట్గోయింగ్ ఇంటర్ఫేస్ యొక్క IP చిరునామా లేదా ముందుగా కాన్ఫిగర్ చేయబడిన IP పూల్ని ఉపయోగిస్తుంది. డెస్టినేషన్ NAT ముందుగా కాన్ఫిగర్ చేయబడిన వస్తువును (VIP - వర్చువల్ IP అని పిలవబడేది) గమ్యస్థాన చిరునామాగా ఉపయోగిస్తుంది.
సెంట్రల్ NATని ఉపయోగిస్తున్నప్పుడు, సోర్స్ మరియు డెస్టినేషన్ NAT కాన్ఫిగరేషన్ మొత్తం పరికరం (లేదా వర్చువల్ డొమైన్) కోసం ఒకేసారి నిర్వహించబడుతుంది. ఈ సందర్భంలో, సోర్స్ NAT మరియు డెస్టినేషన్ NAT నియమాలపై ఆధారపడి NAT సెట్టింగ్లు అన్ని విధానాలకు వర్తిస్తాయి.
సోర్స్ NAT నియమాలు సెంట్రల్ సోర్స్ NAT విధానంలో కాన్ఫిగర్ చేయబడ్డాయి. గమ్యం NAT IP చిరునామాలను ఉపయోగించి DNAT మెను నుండి కాన్ఫిగర్ చేయబడింది.
ఈ పాఠంలో, మేము ఫైర్వాల్ పాలసీ NATని మాత్రమే పరిశీలిస్తాము - ప్రాక్టీస్ చూపినట్లుగా, ఈ కాన్ఫిగరేషన్ ఎంపిక సెంట్రల్ NAT కంటే చాలా సాధారణం.
నేను ఇప్పటికే చెప్పినట్లుగా, ఫైర్వాల్ పాలసీ సోర్స్ NATని కాన్ఫిగర్ చేస్తున్నప్పుడు, రెండు కాన్ఫిగరేషన్ ఎంపికలు ఉన్నాయి: IP చిరునామాను అవుట్గోయింగ్ ఇంటర్ఫేస్ చిరునామాతో లేదా ముందుగా కాన్ఫిగర్ చేసిన IP చిరునామాల పూల్ నుండి IP చిరునామాతో భర్తీ చేయడం. ఇది క్రింది చిత్రంలో చూపిన విధంగా కనిపిస్తుంది. తరువాత, నేను క్లుప్తంగా సాధ్యం కొలనుల గురించి మాట్లాడతాను, కానీ ఆచరణలో మేము అవుట్గోయింగ్ ఇంటర్ఫేస్ యొక్క చిరునామాతో మాత్రమే ఎంపికను పరిశీలిస్తాము - మా లేఅవుట్లో, మాకు IP చిరునామా పూల్స్ అవసరం లేదు.
IP పూల్ సెషన్ సమయంలో మూల చిరునామాగా ఉపయోగించబడే ఒకటి లేదా అంతకంటే ఎక్కువ IP చిరునామాలను నిర్వచిస్తుంది. FortiGate అవుట్గోయింగ్ ఇంటర్ఫేస్ IP చిరునామాకు బదులుగా ఈ IP చిరునామాలు ఉపయోగించబడతాయి.
ఫోర్టిగేట్లో కాన్ఫిగర్ చేయగల 4 రకాల IP పూల్స్ ఉన్నాయి:
- Overload
- ముఖాముఖి
- స్థిర పోర్ట్ పరిధి
- పోర్ట్ బ్లాక్ కేటాయింపు
ఓవర్లోడ్ అనేది ప్రధాన IP పూల్. ఇది అనేక నుండి ఒకటి లేదా అనేక నుండి అనేక పథకాలను ఉపయోగించి IP చిరునామాలను మారుస్తుంది. పోర్ట్ అనువాదం కూడా ఉపయోగించబడుతుంది. దిగువ చిత్రంలో చూపిన సర్క్యూట్ను పరిగణించండి. మేము నిర్వచించిన మూలం మరియు గమ్యం ఫీల్డ్లతో ప్యాకేజీని కలిగి ఉన్నాము. బాహ్య నెట్వర్క్ని యాక్సెస్ చేయడానికి ఈ ప్యాకెట్ని అనుమతించే ఫైర్వాల్ పాలసీ కిందకు వస్తే, దానికి NAT నియమం వర్తించబడుతుంది. ఫలితంగా, ఈ ప్యాకెట్లో సోర్స్ ఫీల్డ్ IP పూల్లో పేర్కొన్న IP చిరునామాలలో ఒకదానితో భర్తీ చేయబడుతుంది.
వన్ టు వన్ పూల్ అనేక బాహ్య IP చిరునామాలను కూడా నిర్వచిస్తుంది. NAT నియమం ప్రారంభించబడిన ఒక ప్యాకెట్ ఫైర్వాల్ విధానం క్రిందకు వచ్చినప్పుడు, మూలాధార ఫీల్డ్లోని IP చిరునామా ఈ పూల్కు చెందిన చిరునామాలలో ఒకదానికి మార్చబడుతుంది. ప్రత్యామ్నాయం "ఫస్ట్ ఇన్, ఫస్ట్ అవుట్" నియమాన్ని అనుసరిస్తుంది. దీన్ని మరింత స్పష్టంగా చేయడానికి, ఒక ఉదాహరణ చూద్దాం.
IP చిరునామా 192.168.1.25తో స్థానిక నెట్వర్క్లోని కంప్యూటర్ బాహ్య నెట్వర్క్కు ప్యాకెట్ను పంపుతుంది. ఇది NAT నియమం కిందకు వస్తుంది మరియు మూల క్షేత్రం పూల్ నుండి మొదటి IP చిరునామాకు మార్చబడింది, మా విషయంలో ఇది 83.235.123.5. ఈ IP పూల్ను ఉపయోగిస్తున్నప్పుడు, పోర్ట్ అనువాదం ఉపయోగించబడదని గమనించాలి. దీని తర్వాత అదే స్థానిక నెట్వర్క్లోని కంప్యూటర్, 192.168.1.35 చిరునామాతో, బాహ్య నెట్వర్క్కు ప్యాకెట్ను పంపి, ఈ NAT నియమం కిందకు వస్తే, ఈ ప్యాకెట్ యొక్క మూలాధార ఫీల్డ్లోని IP చిరునామా ఇలా మారుతుంది. 83.235.123.6. పూల్లో మరిన్ని చిరునామాలు లేకుంటే, తదుపరి కనెక్షన్లు తిరస్కరించబడతాయి. అంటే, ఈ సందర్భంలో, 4 కంప్యూటర్లు ఒకే సమయంలో మా NAT నియమానికి వస్తాయి.
స్థిర పోర్ట్ పరిధి IP చిరునామాల అంతర్గత మరియు బాహ్య పరిధులను కలుపుతుంది. పోర్ట్ అనువాదం కూడా నిలిపివేయబడింది. బాహ్య IP చిరునామాల పూల్ యొక్క ప్రారంభం లేదా ముగింపుతో అంతర్గత IP చిరునామాల పూల్ యొక్క ప్రారంభం లేదా ముగింపును శాశ్వతంగా అనుబంధించడానికి ఇది మిమ్మల్ని అనుమతిస్తుంది. దిగువ ఉదాహరణలో, అంతర్గత చిరునామా పూల్ 192.168.1.25 - 192.168.1.28 బాహ్య చిరునామా పూల్ 83.235.123.5 - 83.235.125.8కి మ్యాప్ చేయబడింది.
పోర్ట్ బ్లాక్ కేటాయింపు - ఈ IP పూల్ IP పూల్ వినియోగదారుల కోసం పోర్ట్ల బ్లాక్ను కేటాయించడానికి ఉపయోగించబడుతుంది. IP పూల్తో పాటు, రెండు పారామితులు కూడా ఇక్కడ పేర్కొనబడాలి - బ్లాక్ పరిమాణం మరియు ప్రతి వినియోగదారుకు కేటాయించబడిన బ్లాక్ల సంఖ్య.
ఇప్పుడు డెస్టినేషన్ NAT టెక్నాలజీని చూద్దాం. ఇది వర్చువల్ IP చిరునామాల (VIP) ఆధారంగా రూపొందించబడింది. డెస్టినేషన్ NAT నియమాల పరిధిలోకి వచ్చే ప్యాకెట్ల కోసం, డెస్టినేషన్ ఫీల్డ్లోని IP చిరునామా మారుతుంది: సాధారణంగా పబ్లిక్ ఇంటర్నెట్ చిరునామా సర్వర్ యొక్క ప్రైవేట్ చిరునామాకు మారుతుంది. వర్చువల్ IP చిరునామాలు ఫైర్వాల్ విధానాలలో డెస్టినేషన్ ఫీల్డ్గా ఉపయోగించబడతాయి.
వర్చువల్ IP చిరునామాల యొక్క ప్రామాణిక రకం స్టాటిక్ NAT. ఇది బాహ్య మరియు అంతర్గత చిరునామాల మధ్య ఒకదానికొకటి అనురూప్యం.
స్టాటిక్ NATకి బదులుగా, నిర్దిష్ట పోర్ట్లను ఫార్వార్డ్ చేయడం ద్వారా వర్చువల్ చిరునామాలను పరిమితం చేయవచ్చు. ఉదాహరణకు, పోర్ట్ 8080లో అంతర్గత IP చిరునామాకు కనెక్షన్తో పోర్ట్ 80లోని బాహ్య చిరునామాకు కనెక్షన్లను అనుబంధించండి.
దిగువ ఉదాహరణలో, 172.17.10.25 చిరునామాతో ఉన్న కంప్యూటర్ పోర్ట్ 83.235.123.20లో 80 చిరునామాను యాక్సెస్ చేయడానికి ప్రయత్నిస్తోంది. ఈ కనెక్షన్ DNAT నియమం కిందకు వస్తుంది, కాబట్టి గమ్యం IP చిరునామా 10.10.10.10కి మార్చబడింది.
వీడియో సిద్ధాంతాన్ని చర్చిస్తుంది మరియు మూలం మరియు గమ్యం NATని కాన్ఫిగర్ చేయడానికి ఆచరణాత్మక ఉదాహరణలను కూడా అందిస్తుంది.
తదుపరి పాఠాలలో మేము ఇంటర్నెట్లో వినియోగదారు భద్రతను నిర్ధారించడానికి ముందుకు వెళ్తాము. ప్రత్యేకంగా, తదుపరి పాఠం వెబ్ ఫిల్టరింగ్ మరియు అప్లికేషన్ నియంత్రణ యొక్క కార్యాచరణను చర్చిస్తుంది. దీన్ని మిస్ కాకుండా ఉండటానికి, కింది ఛానెల్లలో అప్డేట్లను అనుసరించండి:
మూలం: www.habr.com