Ласкаво просимо на 8-й урок. Урок дуже важливий, т.к. на його завершення ви вже зможете налаштувати вихід в інтернет для ваших користувачів! Треба визнати, що багато хто на цьому налаштування і закінчує 🙂 Але ми не з їх числа! І ми ще багато цікавого попереду. А тепер до теми нашого уроку.
Як ви вже напевно здогадалися, ми сьогодні говоритимемо про NAT. Впевнений, що всі, хто дивиться на цей урок, знають, що таке NAT. Тому ми не будемо детально розписувати, як це працює. Я лише вкотре повторюю, що NAT це технологія трансляції адрес, що була придумана з метою економії “білих”, тобто. публічних IP-шників (тих адрес, що маршрутизуються в мережі Інтернет).
У попередньому уроці ви вже встигли помітити, що NAT входить до складу політики Access Control. Це дуже логічно. У SmartConsole параметри NAT винесені в окрему вкладку. Ми сьогодні туди обов'язково зазирнемо. Загалом у цьому уроці ми обговоримо типи NAT, налаштуємо вихід в Інтернет і розглянемо класичний приклад з port forwarding. Тобто. той функціонал, який найчастіше використовують у компаніях. Приступимо.
Два способи налаштування NAT
Check Point підтримує два способи налаштування NAT: Automatic NAT и Manual NAT. При цьому для кожного з цих способів є два типи трансляції: Hide NAT и Статичний NAT. Загалом це виглядає як на цій картинці:
Розумію, що швидше за все зараз все виглядає дуже складно, тому розглянемо кожен тип трохи докладніше.
Automatic NAT
Це найшвидший і найпростіший спосіб. Налаштування NAT здійснюється буквально у два кліки. Все що потрібно зробити, це відкрити властивості потрібного об'єкта (чи то gateway, network, host і т.д.), перейти у вкладку NAT і поставити галочку “Add automatic address translation rules”. Тут ви якраз і побачите поле — метод трансляції. Їх, як уже було сказано вище, два.
1. Aitomatic Hide NAT
За дефолтом це Hide. Тобто. у цьому випадку, наша мережа “ховатиметься” за якоюсь публічною IP-адресою. При цьому адреса може бути взята із зовнішнього інтерфейсу шлюзу, або можна вказати якийсь інший. Такий тип NAT-а часто називають динамічним або багато в один, т.к. кілька внутрішніх адрес транслюються в один зовнішній. Звичайно це можливо за рахунок використання різних портів при трансляції. Hide NAT працює лише в один бік (зсередини-назовні) і ідеально підходить для локальних мереж, коли потрібно просто забезпечити вихід в Інтернет. Якщо трафік ініціюватиметься із зовнішньої мережі, то NAT природно не спрацює. Виходить ще додатковий захист внутрішніх мереж.
2. Automatic Static NAT
Hide NAT всім хороший, але можливо вам потрібно забезпечити доступ із зовнішньої мережі до якогось внутрішнього сервера. Наприклад, до DMZ-сервера, як у нашому прикладі. У цьому випадку нам допоможе Static NAT. Налаштовується він досить просто. Достатньо у властивостях об'єкта змінити метод трансляції на Static і вказати публічну IP-адресу, яка буде використовуватися для NAT-а (див. картинку вище). Тобто. якщо хтось із зовнішньої мережі звернеться до цієї адреси (за будь-яким портом!), то запит буде перекинутий на сервер із уже внутрішнім IP-шником. При цьому якщо сам сервер виходитиме в Інтернет, його ip-шник також зміниться на вказану нами адресу. Тобто. це NAT в обидві сторони. Його ще називають одне одного та іноді використовують для публічних серверів. Чому "іноді"? Тому що у нього є один великий недолік - публічна IP-адреса займається повністю (всі порти). Не можна використовувати одну публічну адресу під різні внутрішні сервери (з різними портами). Наприклад, HTTP, FTP, SSH, SMTP і т.д. Вирішити цю проблему може Manual NAT.
Manual NAT
Особливість Manual NAT у тому, що необхідно самостійно створювати правила трансляції. У тій вкладці NAT в Access Control Policy. При цьому Manual NAT дозволяє створювати складніші правила трансляції. Вам доступні такі поля як: Original Source, Original Destination, Original Services, Translated Source, Translated Destination, Translated Services.
Тут також можливі два типи NAT – Hide та Static.
1. Manual Hide NAT
Hide NAT у разі може використовуватися у різних ситуаціях. Пара прикладів:
- При зверненні до якогось конкретного ресурсу з локальної мережі, ви хочете використовувати іншу адресу для трансляції (відмінна від того, яка використовується для всіх інших випадків).
- У локальній мережі велика кількість комп'ютерів. Automatic Hide NAT не підійде, т.к. при такому налаштуванні можна виставити лише одну публічну IP-адресу, за якою будуть "ховатися" комп'ютери. Портів для трансляції може просто не вистачити. Їх, як ви пам'ятаєте, трохи більше ніж 65 тисяч. У цьому кожен комп'ютер може генерувати сотні сесій. Manual Hide NAT дозволяє в полі Translated Source виставити пул публічних IP-адрес. Тим самим збільшивши кількість можливих NAT-трансляцій.
2. Manual Static NAT
Static NAT використовується набагато частіше за ручного створення правил трансляції. Класичний приклад - прокидання портів. Випадок, коли із зовнішньої мережі звертаються на публічну IP-адресу (яка може належати шлюзу) по певному порту та запит транслюється на внутрішній ресурс. У нашій лабораторній роботі ми прокинемо 80 портів до DMZ сервера.
Відео урок
Stay tuned for more and join our 🙂
Джерело: habr.com