Вітаю! Ласкаво просимо до п'ятого уроку курсу . На ми розібралися із роботою політик безпеки. Тепер настав час випустити локальних користувачів в Інтернет. Для цього на цьому уроці ми розглянемо роботу механізму NAT.
Окрім випуску користувачів в Інтернеті, ми також розглянемо метод публікації внутрішніх сервісів. Під катом представлено коротку теорію з відео, а також сам відео урок.
Технологія NAT (Network Address Translation) є механізмом перетворення IP адрес мережевих пакетів. У термінах Fortinet NAT поділяється на два типи: Source NAT та Destination NAT.
Назви говорять самі за себе – при використанні Source NAT змінюється адреса джерела, при використанні Destination NAT – адреса призначення.
Крім цього, варіантів налаштування NAT також кілька - Firewall Policy NAT і Central NAT.
При використанні першого варіанта Source та Destination NAT повинні бути налаштовані для кожної політики безпеки. У такому випадку Source NAT використовує або IP адресу вихідного інтерфейсу, або налаштований IP Pool. Destination NAT використовує налаштований об'єкт (так званий VIP - Virtual IP) як адресу призначення.
У разі використання Central NAT конфігурація Source і Destination NAT здійснюється відразу для всього пристрою (або віртуального домену). У такому разі параметри NAT застосовуються до всіх політиків, залежно від правил Source NAT та Destination NAT.
Правила Source NAT налаштовуються у центральній політиці Source NAT. Destination NAT конфігурується з меню DNAT за допомогою IP адрес.
У цьому уроці ми розглянемо лише Firewall Policy NAT - як показує практика, цей варіант конфігурації зустрічається набагато частіше, ніж Central NAT.
Як я вже говорив, при конфігурації Firewall Policy Source NAT є два варіанти налаштування: заміна IP адреси на адресу вихідного інтерфейсу, або IP адресу з преднастроенного пулу IP адрес. Виглядає приблизно так, як показано на малюнку нижче. Далі я коротко розповім про можливі пули, але на практиці ми з вами розглянемо лише варіант з адресою вихідного інтерфейсу — на нашому макеті пули IP адрес нам ні до чого.
IP пул визначає один або кілька IP адрес, які будуть використовуватися як адреса джерела протягом сесії. Ці IP-адреси будуть використовуватися замість IP-адреси вихідного інтерфейсу FortiGate.
Існує 4 типи IP пулів, які можуть бути налаштовані на FortiGate:
- Перевантаження
- Один до одного
- Fixed Port Range
- Port block allocation
Overload це основний IP пул. У ньому IP адреси перетворюються за схемою багато одного чи багато кількох. Також використовується трансляція портів. Розглянемо схему, вказану малюнку нижче. У нас є пакет з певними полями Source та Destination. При попаданні під політику міжмережевого екранування, що дозволяє цьому пакету доступом у зовнішню мережу, до нього застосовується правило NATа. За підсумками в даному пакеті поле Source замінюється однією з IP адрес, вказаних в IP пулі.
У пулі типу One to One також визначається безліч зовнішніх IP-адрес. При попаданні пакета під політику міжмережевого екранування з увімкненим правилом NAT IP адреса в полі Source змінюється на одну з адрес, що належать даному пулу. Заміна відбувається за правилом - "перший вступив, перший обслужений". Щоб стало зрозумілішим, розглянемо на прикладі.
Комп'ютер з локальної мережі з IP-адресою 192.168.1.25 відсилає пакет у зовнішню мережу. Він потрапляє під правило NAT, і поле Source змінюється на першу IP адресу з пулу, в нашому випадку це 83.235.123.5. При використанні даного IP пулу трансляція портів не використовується. Якщо комп'ютер з тієї ж локальної мережі, з адресою, припустимо, 192.168.1.35 відправить пакет у зовнішню мережу і теж потрапить під дане правило NAT, IP адреса у полі Source цього пакета зміниться на 83.235.123.6. Якщо адреси в кулі більше не залишаться, наступні підключення відхилятимуться. Тобто в даному випадку під наше правило NAT одночасно може потрапити 4 комп'ютери.
FIxed Port Range пов'язує між собою внутрішні та зовнішні діапазони IP адрес. Трансляцію портів також вимкнено. Це дозволяє фіксовано зв'язати початок або кінець пулу внутрішніх IP адрес з початком або кінцем пулу зовнішніх IP адрес. У прикладі, наведеному нижче, внутрішній пул адрес 192.168.1.25 - 192.168.1.28 ставиться у відповідність із зовнішнім пулом адрес 83.235.123.5 - 83.235.125.8.
Port Block Allocation — цей IP-пул використовується для виділення блоку портів для користувачів IP-пулу. Крім самого IP пулу, тут також мають бути вказані два параметри – розмір блоку та кількість блоків, що виділяються для кожного користувача.
Тепер розглянемо технологію Destination NAT. Вона заснована на основі віртуальних IP-адрес (VIP). У пакетів, які підпадають під правила Destination NAT змінюється IP адреса у полі Destination: зазвичай публічний інтернет адреса змінюється на приватну адресу сервера. Віртуальні IP-адреси використовуються в політиках міжмережевого екранування як поле Destination.
Стандартний тип віртуальних IP адрес - Static NAT. Це відповідність зовнішніх та внутрішніх адрес один до одного.
Замість Static NAT віртуальні адреси можна обмежити прокиданням конкретних портів. Наприклад, підключення до зовнішньої адреси порту 8080 асоціювати з підключенням до внутрішньої IP адреси по 80 порту.
У наведеному нижче прикладі комп'ютер з адресою 172.17.10.25 намагається отримати доступ до адреси 83.235.123.20 по 80 порту. Ця сполука підпадає під правило DNAT, тому IP адреса призначення змінюється на 10.10.10.10.
У відео розглянуто теорію, а також наведено практичні приклади налаштування Source та Destination NAT.
На наступних уроках ми перейдемо до безпеки користувачів на просторах Інтернету. Саме наступного уроці буде розглянуто функціонал веб фільтрації та контролю додатків. Щоб не пропустити його, слідкуйте за оновленнями на наступних каналах:
Джерело: habr.com