NAT
Трансляция сетевых адресов, сокращённо NAT – это технология преобразования IP-адресов внутренней сети «LAN» в IP-адреса внешней сети «WAN». Существуют следующие способы трансляции сетевых адресов:
переадресация портов – позволяет получить доступ из внешней сети во внутреннюю сеть с перенаправлением на конкретный адрес и порт;
статический NAT, «Один-к-одному» – позволяет каждому внутреннему IP-адресу присваивать уникальный внешний IP-адрес;
исходящий NAT, «Маскарадинг» – позволяет множеству устройств, находящихся за NAT, выходить в сеть через один внешний IP-адрес. Скрывает структуру сети от внешнего мира.
Правила NAT задаются отдельно для каждого способа и располагаются в виде списка.
Порядок правил в списке имеет значение и им можно управлять с помощью кнопки «
» напротив каждого из созданных правил. Сетевой пакет проверяется на совпадение с критериями правил по порядку, сверху вниз, по следующему принципу:
последнего совпадения – производится действие, указанное в последнем совпавшем правиле, далее обработка сетевого пакета не производится.
Создание правила NAT «Переадресация портов»
Переадресация портов позволяет указать, что все запросы, приходящие на конкретный внешний адрес и конкретный порт маршрутизатора, должны быть перенаправлены на конкретный внутренний адрес и порт получателя.
Пример использования NAT «Переадресация портов» приведён на рисунке (см. Рисунок – NAT «Переадресация портов») все обращения на порт 8080 интерфейса «WAN» переадресовываются на порт 80 веб-сервера «WebServer».
Рисунок – NAT «Переадресация портов»
Для настройки переадресации портов необходимо выполнить следующие действия:
Перейти в подраздел управления переадресацией портов («Межсетевой экран» - «NAT» - «Переадресация портов») и нажать кнопку «+Добавить».
В открывшейся форме (см. Рисунок – Создание правила NAT «Переадресация портов») указать следующие значения:
«Интерфейс» – «WAN»;
«Версии TCP/IP» – «IPv4»;
«Протокол» – «TCP»;
«Отправитель» – «любой»;
«Диапазон портов источника» – «любой»;
«IP-адрес назначения» – «WAN адрес»;
«Диапазон портов назначения» – «от: (другое), 8080», «к: (другое), 8080»;
«Целевой IP-адрес» – «192.168.2.100»;
«Целевой порт перенаправления» – «HTTP».
Нажать кнопку «Сохранить», а затем нажать кнопку «Применить изменения».
Рисунок – Создание правила NAT «Переадресация портов»
Дополнительные параметры правила NAT «Переадресация портов»
Для параметров «Отправитель» и «IP-адрес назначения» существуют чек-боксы «Инвертировать отправителя» и «Инвертировать получателя» соответственно. При установке флажка в данных чек-боксах правило будет применено для всех отправителей/получателей, кроме значений, указанных в полях параметров «Отправитель»/«IP-адрес назначения».
Параметр «Режим работы с сетью» предназначен для выбора режима работы в случае использования конкретной сети в качестве целевого IP-адреса. По умолчанию используется циклический перебор транслируемых IP-адресов.
Поле «Установить локальный тег» предназначено для добавления внутреннего тэга пакетам, соответствующим критериям правила. Данный тэг могут проверять другие правила и фильтры NAT. Включение проверки тега осуществляется в поле «Проверка на соответствие локального тега».
Параметр «Не синхронизировать через XMLRPC» предназначен для предотвращения передачи информации о записях состояния соединений другим участникам кластера межсетевых экранов.
Параметр «Зеркальный NAT» предназначен для включения/выключения возможности получить доступ к внешнему сервису из внутренней сети по публичному IP-адресу.
Параметр «Ассоциация правила фильтрации» необходим для создания правила МЭ разрешающего прохождение трафика перенаправления NAT. По умолчанию для параметра задано значение «Rule», создающее правило МЭ, связанное с настраиваемым правилом NAT.
Также доступны следующие параметры:
«отсутствует» – правило МЭ создаваться не будет;
«добавить ассоциированное правило фильтрации» – создастся правило МЭ, связанное с правилом NAT;
«добавить неассоциированное правило фильтрации» – создастся правило МЭ, несвязанное с правилом NAT. При этом изменения, внесённые в правило NAT, необходимо будет вручную вносить в правило МЭ;
«разрешить (Pass)» – разрешает прохождение трафика без правила МЭ.
Создание правила NAT «Один-к-одному»
Статический NAT «Один-к-одному» сопоставляет один внешний IP-адрес, в большинстве случаев общедоступный, с одним внутренним IP-адресом, в большинстве случаев частным.
В ARMA FW предусмотрена настройка статического NAT двух типов:
«NAT» – позволяет организовать связь между сетями одного размера, то есть применяется только в одном направлении;
«BINAT» – позволяет организовать связь между разными подсетями без указания основного шлюза в настройках сетевого адаптера, то есть определяет двунаправленное отображение между внешней и внутренней сетями и может быть использован в обоих направлениях.
Пример использования NAT «Один-к-одному» приведён на рисунке (см. Рисунок – NAT «Один-к-одному»). Все обращения на IP-адрес интерфейса «WAN» переадресовываются на IP-адрес ПК «WebServer».
Рисунок – NAT «Один-к-одному»
Для настройки статического NAT необходимо выполнить следующие действия:
Перейти в подраздел настроек NAT один-к-одному («Межсетевой экран» - «NAT» - «Один-к-одному») и нажать кнопку «+Добавить».
В открывшейся форме (см. Рисунок – Создание правила NAT «Один-к-одному») указать следующие значения:
«Интерфейс» – «WAN»;
«Тип» – «BINAT»;
«Внешняя подсеть» – «37.146.176.0»;
«IP-адрес источника» – «Единственный хост или сеть, 192.168.2.100/32».
Остальные параметры оставить без изменения и нажать кнопку «Сохранить», а затем кнопку «Применить изменения».
Рисунок – Создание правила NAT «Один-к-одному»
Создание правила NAT «Исходящий»
В ARMA FW представлены четыре режима работы исходящего NAT:
«автоматическое создание правил исходящего NAT» – запрет использования созданных вручную правил;
«ручное создание правил исходящего NAT» – правила не будут созданы автоматически;
«смешанное создание правил исходящего NAT» – автоматически созданные правила применяются после созданных вручную правил;
«отключить создание правил исходящего NAT» – исходящий NAT отключён.
По умолчанию в ARMA FW используется режим «Автоматическое создание правил исходящего NAT».
Автоматическое создание правил исходящего NAT
В режиме автоматического создания правил исходящего NAT система автоматически добавляет правила NAT, которые обеспечивают соединение между сетью «WAN» и внутренней сетью «LAN» (см. Рисунок – Автоматический режим создания правил исходящего NAT).
Рисунок – Автоматический режим создания правил исходящего NAT
Ручное создание правил исходящего NAT
Режим ручного создания правил исходящего NAT позволяет вручную создавать правила исходящего NAT. Правила контролируют, как ARMA FW будет преобразовывать адрес источника и порты трафика, выходящего из интерфейса.
Для возможности создания правил необходимо выбрать режим ручного создания правил исходящего NAT в подразделе настроек исходящего NAT («Межсетевой экран» - «NAT» - «Исходящий») нажать кнопку «Сохранить», а затем нажать кнопку «Применить изменения». После этого появится кнопка «+Добавить» в правом верхнем углу страницы.
Для проверки работы созданных вручную правил исходящего NAT необходимо выполнить следующие шаги:
С помощью веб-браузера на ПК «Admin» (см. Рисунок – Стенд для проверки созданных правил исходящего NAT) проверить доступность сайта «yandex.ru/internet».
Создать правило NAT со следующими основными параметрами:
«Интерфейс» – «WAN»;
«IP-адрес источника» – «LAN-сеть»;
«Транслируемый IP-адрес/целевой IP-адрес» – «WAN-адрес».
С помощью браузера на ПК «Admin» (см. Рисунок – Стенд для проверки созданных правил исходящего NAT) проверить доступность сайта «yandex.ru/internet».
Рисунок – Стенд для проверки созданных правил исходящего NAT
Проверка доступности сайта
В режиме ручного создания правил исходящего NAT правила исходящего NAT отсутствуют.
Для проверки доступности сайта необходимо открыть веб-браузер на ПК «Admin», ввести в адресной строке «yandex.ru/internet» и нажать клавишу «Enter». В результате откроется страница, указывающая на отсутствие доступа к сайту (см. Рисунок – Недоступность сайта).
Рисунок – Недоступность сайта
Создание правила NAT
Для создания правила необходимо выполнить следующие действия:
Перейти в подраздел настроек исходящего NAT («Межсетевой экран» - «NAT» - «Исходящий») и нажать кнопку «+Добавить».
В открывшейся форме (см. Рисунок – Форма редактирования правил NAT) указать основные параметры указанные в примере (см. Ручное создание правил исходящего NAT), нажать кнопку «Сохранить» и затем нажать кнопку «Применить изменения».
Рисунок – Форма редактирования правил NAT
В результате правило исходящего NAT будет создано и отобразится в списке правил (см. Рисунок – Список правил исходящего NAT).
Рисунок – Список правил исходящего NAT
В примере рассматриваются только основные настройки исходящего правила NAT. Остальные параметры необходимы для более тонкой настройки правил.
Порядок правил в списке имеет значение и им можно управлять с помощью кнопки «» напротив каждого из созданных правил. Правила обрабатываются, начиная с самого верхнего и далее вниз по списку.
Проверка доступности сайта
В веб-браузере на ПК «Admin» ввести в адресной строке «yandex.ru/internet» и нажать клавишу «Enter». В результате откроется страница с данными о внешнем IP-адресе интерфейса «WAN» (см. Рисунок – Работа исходящего NAT).
Рисунок – Работа исходящего NAT
Смешанное создание правил исходящего NAT
Режим смешанного создания правил исходящего NAT позволяет создавать правила исходящего NAT, но также присутствуют автоматические правила исходящего NAT.
Отключить создание правил исходящего NAT
Режим отключения создания правил исходящего NAT отключает все правила исходящего NAT.