Maligayang pagdating sa aralin 8. Napakahalaga ng aral, dahil... Sa pagkumpleto, magagawa mong i-configure ang Internet access para sa iyong mga user! Aaminin ko na maraming tao ang huminto sa pagse-set up sa puntong ito π Ngunit hindi tayo isa sa kanila! At marami pa tayong kawili-wiling bagay sa hinaharap. At ngayon sa paksa ng aming aralin.
Tulad ng nahulaan mo na, ngayon ay pag-uusapan natin ang tungkol sa NAT. Sigurado ako na alam ng lahat ng nanonood ng araling ito kung ano ang NAT. Samakatuwid, hindi namin ilalarawan nang detalyado kung paano ito gumagana. Uulitin ko lang muli na ang NAT ay isang address translation technology na naimbento para makatipid ng "white money," i.e. mga pampublikong IP (ang mga address na idinadaan sa Internet).
Sa nakaraang aralin, malamang na napansin mo na ang NAT ay bahagi ng patakaran sa Access Control. Ito ay medyo lohikal. Sa SmartConsole, ang mga setting ng NAT ay inilalagay sa isang hiwalay na tab. Tiyak na titingin kami doon ngayon. Sa pangkalahatan, sa araling ito ay tatalakayin natin ang mga uri ng NAT, i-configure ang Internet access at tingnan ang klasikong halimbawa ng port forwarding. Yung. ang functionality na kadalasang ginagamit sa mga kumpanya. Magsimula na tayo.
Dalawang paraan upang i-configure ang NAT
Sinusuportahan ng Check Point ang dalawang paraan upang i-configure ang NAT: Awtomatikong NAT ΠΈ Manu-manong NAT. Bukod dito, para sa bawat isa sa mga pamamaraang ito mayroong dalawang uri ng pagsasalin: Itago ang NAT ΠΈ Static NAT. Sa pangkalahatan, ganito ang hitsura ng larawang ito:
Naiintindihan ko na malamang na ang lahat ay mukhang napakakomplikado ngayon, kaya tingnan natin ang bawat uri nang mas detalyado.
Awtomatikong NAT
Ito ang pinakamabilis at pinakamadaling paraan. Ang pag-configure ng NAT ay ginagawa sa dalawang pag-click lamang. Ang kailangan mo lang gawin ay buksan ang mga katangian ng nais na bagay (maging gateway, network, host, atbp.), pumunta sa tab na NAT at suriin ang "Magdagdag ng mga awtomatikong panuntunan sa pagsasalin ng address" Dito makikita mo ang field - ang paraan ng pagsasalin. Mayroong, tulad ng nabanggit sa itaas, dalawa sa kanila.
1. Aitomatic Itago ang NAT
Bilang default, ito ay Itago. Yung. sa kasong ito, ang aming network ay "magtatago" sa likod ng ilang pampublikong IP address. Sa kasong ito, maaaring kunin ang address mula sa panlabas na interface ng gateway, o maaari mong tukuyin ang isa pa. Ang ganitong uri ng NAT ay madalas na tinatawag na dynamic o marami-sa-isa, dahil Ang ilang mga panloob na address ay isinalin sa isang panlabas. Natural, ito ay posible sa pamamagitan ng paggamit ng iba't ibang mga port kapag nagbo-broadcast. Itago ang NAT ay gumagana lamang sa isang direksyon (mula sa loob hanggang sa labas) at mainam para sa mga lokal na network kapag kailangan mo lang magbigay ng access sa Internet. Kung ang trapiko ay pinasimulan mula sa isang panlabas na network, natural na hindi gagana ang NAT. Ito ay lumalabas na karagdagang proteksyon para sa mga panloob na network.
2. Awtomatikong Static NAT
Itago ang NAT ay mabuti para sa lahat, ngunit marahil kailangan mong magbigay ng access mula sa isang panlabas na network sa ilang panloob na server. Halimbawa, sa isang DMZ server, tulad ng sa aming halimbawa. Sa kasong ito, matutulungan tayo ng Static NAT. Medyo madali din itong i-set up. Ito ay sapat na upang baguhin ang paraan ng pagsasalin sa Static sa mga katangian ng bagay at tukuyin ang pampublikong IP address na gagamitin para sa NAT (tingnan ang larawan sa itaas). Yung. kung ang isang tao mula sa panlabas na network ay nag-access sa address na ito (sa anumang port!), ang kahilingan ay ipapasa sa isang server na may panloob na IP. Bukod dito, kung ang server mismo ay mag-online, ang IP nito ay magbabago din sa address na aming tinukoy. Yung. Ito ay NAT sa parehong direksyon. Tinatawag din itong isa sa isa at minsan ginagamit para sa mga pampublikong server. Bakit "minsan"? Dahil mayroon itong isang malaking sagabal - ang pampublikong IP address ay ganap na inookupahan (lahat ng mga port). Hindi ka maaaring gumamit ng isang pampublikong address para sa iba't ibang mga panloob na server (na may iba't ibang mga port). Halimbawa HTTP, FTP, SSH, SMTP, atbp. Maaaring malutas ng manu-manong NAT ang problemang ito.
Manu-manong NAT
Ang kakaiba ng Manual NAT ay kailangan mong gumawa ng mga panuntunan sa pagsasalin sa iyong sarili. Sa parehong tab na NAT sa Access Control Policy. Kasabay nito, pinapayagan ka ng Manual NAT na lumikha ng mas kumplikadong mga panuntunan sa pagsasalin. Available sa iyo ang mga sumusunod na field: Original Source, Original Destination, Original Services, Translated Source, Translated Destination, Translated Services.
Mayroon ding dalawang uri ng NAT na posible dito - Itago at Static.
1. Manu-manong Itago ang NAT
Itago ang NAT sa kasong ito ay maaaring gamitin sa iba't ibang sitwasyon. Isang pares ng mga halimbawa:
- Kapag nag-a-access ng isang partikular na mapagkukunan mula sa lokal na network, gusto mong gumamit ng ibang address ng broadcast (iba sa ginagamit para sa lahat ng iba pang mga kaso).
- Mayroong isang malaking bilang ng mga computer sa lokal na network. Hindi gagana rito ang Automatic Hide NAT, dahil... Sa setup na ito, posibleng magtakda lamang ng isang pampublikong IP address, kung saan ang mga computer ay "magtatago". Maaaring walang sapat na mga port para sa pagsasahimpapawid. Mayroong, tulad ng naaalala mo, higit sa 65 libo. Bukod dito, ang bawat computer ay maaaring makabuo ng daan-daang session. Binibigyang-daan ka ng Manual Hide NAT na magtakda ng pool ng mga pampublikong IP address sa field ng Translated Source. Sa gayon ay tumataas ang bilang ng mga posibleng pagsasalin ng NAT.
2.Manwal na Static NAT
Mas madalas na ginagamit ang static NAT kapag manu-manong gumagawa ng mga panuntunan sa pagsasalin. Ang isang klasikong halimbawa ay ang port forwarding. Ang kaso kapag ang isang pampublikong IP address (na maaaring kabilang sa isang gateway) ay na-access mula sa isang panlabas na network sa isang partikular na port at ang kahilingan ay isinalin sa isang panloob na mapagkukunan. Sa aming gawaing laboratoryo, ipapasa namin ang port 80 sa server ng DMZ.
Video tutorial
Manatiling nakatutok para sa higit pa at sumali sa amin π
Pinagmulan: www.habr.com