سلام! کورس کے پانچویں سبق میں خوش آمدید . پر ہم نے اندازہ لگایا ہے کہ سیکیورٹی پالیسیاں کیسے کام کرتی ہیں۔ اب مقامی صارفین کو انٹرنیٹ پر جاری کرنے کا وقت آگیا ہے۔ ایسا کرنے کے لیے، اس سبق میں ہم NAT میکانزم کے عمل کو دیکھیں گے۔
صارفین کو انٹرنیٹ پر جاری کرنے کے علاوہ، ہم داخلی خدمات کی اشاعت کا طریقہ بھی دیکھیں گے۔ کٹ کے نیچے ویڈیو کا ایک مختصر نظریہ ہے، ساتھ ہی ویڈیو سبق بھی۔
NAT (نیٹ ورک ایڈریس ٹرانسلیشن) ٹیکنالوجی نیٹ ورک پیکٹ کے IP پتوں کو تبدیل کرنے کا ایک طریقہ کار ہے۔ Fortinet کے لحاظ سے، NAT کو دو اقسام میں تقسیم کیا گیا ہے: سورس NAT اور Destination NAT۔
نام خود ہی بولتے ہیں - سورس NAT استعمال کرتے وقت، سورس ایڈریس بدل جاتا ہے، جب Destination NAT استعمال ہوتا ہے تو منزل کا پتہ بدل جاتا ہے۔
اس کے علاوہ، NAT - Firewall Policy NAT اور Central NAT کو ترتیب دینے کے لیے بھی کئی آپشنز موجود ہیں۔
پہلا آپشن استعمال کرتے وقت، ہر سیکیورٹی پالیسی کے لیے سورس اور ڈیسٹینیشن NAT کو کنفیگر کیا جانا چاہیے۔ اس صورت میں، سورس NAT یا تو آؤٹ گوئنگ انٹرفیس کا IP ایڈریس یا پہلے سے تشکیل شدہ IP پول کا استعمال کرتا ہے۔ Destination NAT ایک پہلے سے ترتیب شدہ آبجیکٹ (نام نہاد VIP - ورچوئل IP) کو منزل کے پتے کے طور پر استعمال کرتا ہے۔
سنٹرل NAT استعمال کرتے وقت، سورس اور ڈیسٹینیشن NAT کنفیگریشن پورے ڈیوائس (یا ورچوئل ڈومین) کے لیے ایک ساتھ کی جاتی ہے۔ اس صورت میں، NAT کی ترتیبات ماخذ NAT اور Destination NAT کے قواعد پر منحصر، تمام پالیسیوں پر لاگو ہوتی ہیں۔
ماخذ NAT قواعد مرکزی سورس NAT پالیسی میں ترتیب دیئے گئے ہیں۔ ڈیسٹینیشن NAT کو IP پتوں کا استعمال کرتے ہوئے DNAT مینو سے کنفیگر کیا جاتا ہے۔
اس سبق میں، ہم صرف فائر وال پالیسی NAT پر غور کریں گے - جیسا کہ پریکٹس شو، یہ کنفیگریشن آپشن سنٹرل NAT سے زیادہ عام ہے۔
جیسا کہ میں پہلے ہی کہہ چکا ہوں، فائر وال پالیسی سورس NAT کو کنفیگر کرتے وقت، کنفیگریشن کے دو آپشن ہوتے ہیں: آئی پی ایڈریس کو آؤٹ گوئنگ انٹرفیس کے ایڈریس سے بدلنا، یا آئی پی ایڈریس کے پہلے سے کنفیگرڈ پول سے آئی پی ایڈریس کے ساتھ۔ یہ کچھ ایسا لگتا ہے جیسا کہ نیچے دی گئی تصویر میں دکھایا گیا ہے۔ اگلا، میں ممکنہ پولز کے بارے میں مختصراً بات کروں گا، لیکن عملی طور پر ہم صرف آؤٹ گوئنگ انٹرفیس کے ایڈریس والے آپشن پر غور کریں گے - ہمارے لے آؤٹ میں، ہمیں IP ایڈریس پولز کی ضرورت نہیں ہے۔
ایک آئی پی پول ایک یا زیادہ IP پتوں کی وضاحت کرتا ہے جو سیشن کے دوران سورس ایڈریس کے طور پر استعمال ہوں گے۔ یہ IP پتے FortiGate آؤٹ گوئنگ انٹرفیس IP ایڈریس کے بجائے استعمال کیے جائیں گے۔
4 قسم کے آئی پی پولز ہیں جو فورٹی گیٹ پر کنفیگر کیے جا سکتے ہیں:
- اوورلوڈ
- ون ٹو ون
- فکسڈ پورٹ رینج
- پورٹ بلاک ایلوکیشن
اوورلوڈ اہم IP پول ہے۔ یہ آئی پی ایڈریس کو کئی سے ایک یا کئی سے کئی اسکیم کا استعمال کرتے ہوئے تبدیل کرتا ہے۔ پورٹ ترجمہ بھی استعمال کیا جاتا ہے۔ ذیل کی تصویر میں دکھائے گئے سرکٹ پر غور کریں۔ ہمارے پاس متعین سورس اور ڈیسٹینیشن فیلڈز کے ساتھ ایک پیکیج ہے۔ اگر یہ فائر وال پالیسی کے تحت آتا ہے جو اس پیکٹ کو بیرونی نیٹ ورک تک رسائی کی اجازت دیتا ہے، تو اس پر NAT کا اصول لاگو ہوتا ہے۔ نتیجے کے طور پر، اس پیکٹ میں سورس فیلڈ کو آئی پی پول میں مخصوص آئی پی ایڈریسز میں سے ایک سے تبدیل کیا جاتا ہے۔
ایک سے ایک پول بہت سے بیرونی IP پتوں کی بھی وضاحت کرتا ہے۔ جب ایک پیکٹ NAT اصول کے ساتھ فائر وال پالیسی کے تحت آتا ہے، تو سورس فیلڈ میں آئی پی ایڈریس کو اس پول سے تعلق رکھنے والے پتے میں سے ایک میں تبدیل کر دیا جاتا ہے۔ تبدیلی "پہلے اندر، پہلے باہر" کے اصول کی پیروی کرتی ہے۔ اسے واضح کرنے کے لیے، آئیے ایک مثال دیکھتے ہیں۔
IP ایڈریس 192.168.1.25 کے ساتھ مقامی نیٹ ورک پر ایک کمپیوٹر بیرونی نیٹ ورک کو ایک پیکٹ بھیجتا ہے۔ یہ NAT اصول کے تحت آتا ہے، اور سورس فیلڈ کو پول سے پہلے IP ایڈریس میں تبدیل کر دیا جاتا ہے، ہمارے معاملے میں یہ 83.235.123.5 ہے۔ یہ بات قابل غور ہے کہ اس آئی پی پول کو استعمال کرتے وقت، پورٹ ترجمہ استعمال نہیں کیا جاتا ہے۔ اگر اس کے بعد اسی مقامی نیٹ ورک کا ایک کمپیوٹر، جس کا پتہ 192.168.1.35 ہے، ایک بیرونی نیٹ ورک کو ایک پیکٹ بھیجتا ہے اور وہ بھی اس NAT اصول کے تحت آتا ہے، تو اس پیکٹ کے سورس فیلڈ میں IP ایڈریس تبدیل ہو جائے گا۔ 83.235.123.6. اگر پول میں مزید پتے باقی نہیں ہیں، تو بعد کے کنکشنز کو مسترد کر دیا جائے گا۔ یعنی، اس صورت میں، 4 کمپیوٹر ایک ہی وقت میں ہمارے NAT اصول کے تحت آ سکتے ہیں۔
فکسڈ پورٹ رینج IP پتوں کی اندرونی اور بیرونی حدود کو جوڑتی ہے۔ پورٹ ترجمہ بھی غیر فعال ہے۔ یہ آپ کو اندرونی IP پتوں کے پول کے آغاز یا اختتام کو بیرونی IP پتوں کے پول کے آغاز یا اختتام کے ساتھ مستقل طور پر منسلک کرنے کی اجازت دیتا ہے۔ نیچے دی گئی مثال میں، اندرونی ایڈریس پول 192.168.1.25 - 192.168.1.28 کو بیرونی ایڈریس پول 83.235.123.5 - 83.235.125.8 میں میپ کیا گیا ہے۔
پورٹ بلاک ایلوکیشن - یہ آئی پی پول آئی پی پول استعمال کرنے والوں کے لیے بندرگاہوں کا ایک بلاک مختص کرنے کے لیے استعمال ہوتا ہے۔ خود IP پول کے علاوہ، یہاں دو پیرامیٹرز بھی بتائے جائیں - بلاک کا سائز اور ہر صارف کے لیے مختص بلاکس کی تعداد۔
اب Destination NAT ٹیکنالوجی کو دیکھتے ہیں۔ یہ ورچوئل آئی پی ایڈریس (VIP) پر مبنی ہے۔ ڈیسٹینیشن این اے ٹی کے اصولوں کے تحت آنے والے پیکٹوں کے لیے، ڈیسٹینیشن فیلڈ میں آئی پی ایڈریس بدل جاتا ہے: عام طور پر پبلک انٹرنیٹ ایڈریس سرور کے پرائیویٹ ایڈریس میں بدل جاتا ہے۔ مجازی IP پتے فائر وال پالیسیوں میں منزل کے میدان کے طور پر استعمال ہوتے ہیں۔
مجازی IP پتوں کی معیاری قسم Static NAT ہے۔ یہ بیرونی اور اندرونی پتوں کے درمیان ون ٹو ون خط و کتابت ہے۔
Static NAT کے بجائے، ورچوئل ایڈریس کو مخصوص پورٹس کو آگے بھیج کر محدود کیا جا سکتا ہے۔ مثال کے طور پر، پورٹ 8080 پر ایک بیرونی ایڈریس سے کنکشن جوڑیں اور پورٹ 80 پر اندرونی IP ایڈریس سے کنکشن کریں۔
نیچے دی گئی مثال میں، 172.17.10.25 ایڈریس والا کمپیوٹر پورٹ 83.235.123.20 پر 80 ایڈریس تک رسائی حاصل کرنے کی کوشش کر رہا ہے۔ یہ کنکشن DNAT اصول کے تحت آتا ہے، لہذا منزل کا IP ایڈریس 10.10.10.10 میں تبدیل کر دیا جاتا ہے۔
ویڈیو تھیوری پر بحث کرتی ہے اور ماخذ اور منزل NAT کو ترتیب دینے کی عملی مثالیں بھی فراہم کرتی ہے۔
اگلے اسباق میں ہم انٹرنیٹ پر صارف کی حفاظت کو یقینی بنانے کی طرف بڑھیں گے۔ خاص طور پر، اگلا سبق ویب فلٹرنگ اور ایپلیکیشن کنٹرول کی فعالیت پر بحث کرے گا۔ اس سے محروم نہ ہونے کے لیے، درج ذیل چینلز پر اپ ڈیٹس کی پیروی کریں:
ماخذ: www.habr.com