Maligayang pagdating sa Aralin 8. Napakahalaga ng araling ito, dahil sa pagtatapos nito, makakapag-set up ka ng internet access para sa iyong mga user! Totoo, maraming tao ang huminto sa pag-set up dito 🙂 Ngunit hindi tayo isa sa kanila! At marami pa tayong kawili-wiling bagay sa hinaharap. Ngayon, sa paksa ng ating aralin.
Tulad ng nahulaan mo na, pag-uusapan natin ang NAT ngayon. Sigurado akong alam ng lahat ng nanonood sa araling ito kung ano ang NAT, kaya hindi na namin idedetalye kung paano ito gumagana. Uulitin ko lang na ang NAT ay isang teknolohiya sa pagsasalin ng address na idinisenyo upang pangalagaan ang "puting" mga IP address (mga address na idinadaan sa internet).
Sa nakaraang aralin, malamang na napansin mo na ang NAT ay bahagi ng patakaran sa Access Control. Ito ay may perpektong kahulugan. Sa SmartConsole, ang mga setting ng NAT ay matatagpuan sa isang hiwalay na tab. Tiyak na titingnan natin ito ngayon. Sa araling ito, tatalakayin natin ang mga uri ng NAT, i-configure ang internet access, at titingnan ang isang klasikong halimbawa ng port forwarding—ang functionality na pinakakaraniwang ginagamit sa mga kumpanya. Magsimula na tayo.
Dalawang paraan upang i-configure ang NAT
Sinusuportahan ng Check Point ang dalawang paraan ng pag-configure ng NAT: Awtomatikong NAT и Manu-manong NATPara sa bawat isa sa mga pamamaraang ito, mayroong dalawang uri ng pagsasahimpapawid: Itago ang NAT и Static NATSa pangkalahatan, ganito ang hitsura ng larawang ito:
Naiintindihan ko na marahil ang lahat ng ito ay tila medyo kumplikado sa ngayon, kaya tingnan natin ang bawat uri nang mas detalyado.
Awtomatikong NAT
Ito ang pinakamabilis at pinakamadaling paraan. Ang pagse-set up ng NAT ay literal na tumatagal ng dalawang pag-click. Ang kailangan mo lang gawin ay buksan ang mga katangian ng nais na bagay (maging gateway, network, host, atbp.), pumunta sa tab na NAT, at suriin ang "Magdagdag ng mga awtomatikong panuntunan sa pagsasalin ng address" Dito mo makikita ang field ng broadcast method. Gaya ng nabanggit sa itaas, may dalawa.
1. Awtomatikong Itago ang NAT
Bilang default, ito ay Itago. Sa kasong ito, ang aming network ay "itatago" sa likod ng isang pampublikong IP address. Maaaring kunin ang address na ito mula sa panlabas na interface ng gateway, o maaari kang tumukoy ng iba. Ang ganitong uri ng NAT ay madalas na tinatawag na dynamic o marami-sa-isa, dahil ang ilang mga panloob na address ay isinalin sa isang solong panlabas na address. Natural, ito ay posible sa pamamagitan ng paggamit ng iba't ibang mga port para sa pagsasalin. Gumagana lang ang Hide NAT sa isang direksyon (mula sa loob hanggang sa labas) at mainam para sa mga lokal na network na kailangan lang ng internet access. Kung ang trapiko ay pinasimulan mula sa panlabas na network, natural na mabibigo ang NAT. Nagbibigay ito ng karagdagang proteksyon para sa mga panloob na network.
2. Awtomatikong Static NAT
Itago ang NAT ay mahusay, ngunit marahil kailangan mong magbigay ng access mula sa panlabas na network sa isang panloob na server. Halimbawa, isang DMZ server, tulad ng sa aming halimbawa. Sa kasong ito, makakatulong ang Static NAT. Medyo madali din itong i-configure. Baguhin lamang ang paraan ng pagsasalin sa Static sa mga katangian ng bagay at tukuyin ang pampublikong IP address na gagamitin para sa NAT (tingnan ang larawan sa itaas). Nangangahulugan ito na kung ang isang tao mula sa panlabas na network ay nag-access sa address na ito (sa anumang port!), ang kahilingan ay ipapasa sa server na may panloob na IP address. Kung ang server mismo ang mag-a-access sa internet, ang IP address nito ay magbabago din sa address na aming tinukoy. Ito ang NAT sa magkabilang direksyon. Tinatawag din ito isa sa isa At kung minsan ito ay ginagamit para sa mga pampublikong server. Bakit "minsan"? Dahil mayroon itong isang pangunahing disbentaha: ang pampublikong IP address ay ganap na inookupahan (lahat ng mga port). Hindi ka maaaring gumamit ng isang pampublikong address para sa iba't ibang panloob na server (na may iba't ibang port), tulad ng HTTP, FTP, SSH, SMTP, atbp. Maaaring lutasin ng Manual NAT ang problemang ito.
Manu-manong NAT
Ang natatanging tampok ng Manual NAT ay dapat kang lumikha ng mga panuntunan sa pagsasalin nang mag-isa. Ginagawa ito sa tab na NAT ng Access Control Policy. Gayunpaman, pinapayagan ka ng Manual NAT na lumikha ng mas kumplikadong mga panuntunan sa pagsasalin. Mayroon kang access sa mga field gaya ng: Orihinal na Pinagmulan, Orihinal na Patutunguhan, Mga Orihinal na Serbisyo, Naisaling Pinagmulan, Naisaling Patutunguhan, at Mga Serbisyong Isinalin.
Mayroon ding dalawang posibleng uri ng NAT dito: Itago at Static.
1. Manu-manong Itago ang NAT
Itago ang NAT ay maaaring gamitin sa iba't ibang sitwasyon. Narito ang ilang halimbawa:
- Kapag nag-a-access ng isang partikular na mapagkukunan mula sa isang lokal na network, gusto mong gumamit ng ibang address ng broadcast (iba sa ginagamit para sa lahat ng iba pang mga kaso).
- Napakaraming computer sa lokal na network. Hindi angkop dito ang Automatic Hide NAT, dahil ang setup na ito ay nagpapahintulot lamang ng isang pampublikong IP address kung saan "magtatago" ang mga computer. Hindi sapat ang mga port para sa pagsasalin. Gaya ng maaaring matandaan mo, mayroong mahigit 65 sa mga ito. Bukod pa rito, ang bawat computer ay maaaring bumuo ng daan-daang session. Ang Manual Hide NAT ay nagbibigay-daan sa iyong tukuyin ang isang pool ng mga pampublikong port sa field na Translated Source. Mga IP addressSa gayon ay nadaragdagan ang bilang ng mga posibleng pagsasalin ng NAT.
2. Manu-manong Static NAT
Mas madalas na ginagamit ang static NAT kapag manu-manong gumagawa ng mga panuntunan sa pagsasalin. Ang isang klasikong halimbawa ay ang port forwarding. Nangyayari ito kapag ang isang kahilingan mula sa panlabas na network ay ginawa sa isang pampublikong IP address (na maaaring kabilang sa isang gateway) sa isang partikular na port, at ang kahilingan ay ipinasa sa isang panloob na mapagkukunan. Sa aming lab, ipapasa namin ang port 80 sa DMZ server.
Video tutorial
Manatiling nakatutok para sa higit pa at sumali sa amin 🙂
Pinagmulan: www.habr.com
