NAT (Network Address Translation) — это механизм сетевой адресации, обеспечивающий преобразование внутренних (частных) IP-адресов в публичные и наоборот для обеспечения доступа узлов локальной сети к внешним ресурсам. Технология функционирует на уровне сетевого шлюза или межсетевого экрана, осуществляя прозрачную трансляцию адресных пространств с возможностью статического или динамического сопоставления, а также с использованием технологии множественной адресации портов (PAT) для оптимизации использования публичных IP-адресов.
В системе ARMA Стена реализованы следующие способы трансляции сетевых адресов:
DNAT – позволяет получить доступ из внешней сети во внутреннюю сеть с перенаправлением на конкретный адрес и порт;
SNAT, Masquerading – позволяет множеству устройств, находящихся за NAT, выходить в сеть через один внешний IP-адрес. Скрывает структуру сети от внешнего мира;
IP Masquerading - технология трансляции адресов, которая обеспечивает инкапсуляцию приватного IP-пространства за единственным публичным IP-адресом. В процессе обработки исходящего трафика механизм подменяет исходные адреса узлов локальной сети на внешний адрес маршрутизирующего устройства, создавая иллюзию непосредственного источника пакетов. Данный метод стал де-факто стандартом для оптимизации использования дефицитного адресного пространства IPv4, в результате чего термины NAT и IP Masquerading часто используются как взаимозаменяемые.
NAT функционирует на основе конфигурации, состоящей из упорядоченного набора правил трансляции адресов. Каждое правило содержит набор параметров, определяющих алгоритм преобразования сетевых заголовков. Правила идентифицируются уникальными номерами и обрабатываются в строгой последовательности. Важно отметить, что идентификатор правила NAT является статичным атрибутом и не подлежит модификации после создания. Изменение порядкового номера правила требует его полного удаления из конфигурации с последующей реитерацией и присвоением нового идентификатора.
В связи с этим рекомендуется присваивать правилам NAT последовательные номера с интервалами между ними. Например, можно создать набор правил NAT с номерами 10, 20, 30 и 40. В случае необходимости добавления нового правила в определённое место последовательности, это можно будет сделать без изменения текущего набора правил.
Примечание
Изменения, внесённые в конфигурацию NAT, будут действовать только для новых соединений. Ранее установленные соединения останутся неизменными.
Для создания, просмотра или изменения правил NAT необходимо перейти в раздел «Межсетевой экран» - «NAT» (см. Рисунок – Правила NAT):
В таблице с правилами NAT реализован блок фильтрации, который позволяет сортировать и искать данные по всем столбцам в списке (см. Рисунок – Панель поиск и фильтрации). Он включает в себя следующие поля:
Сквозной поиск по полям таблицы «NAT» осуществляется с помощью ввода искомого значения в поле параметра «Поиск». Поиск производится без учёта регистра вводимых символов. Поиск производится по всем строкам таблицы согласно их сохранённым значениям в конфигурационном файле. Например, если ввести в поиске текст «destination», в таблице отобразятся все правила DNAT, поскольку в конфигурационном файле правила DNAT сохранены как destination.
С помощью фильтров «Тип», «Интерфейс», «Статус», «Логирование» и «Протокол» возможно осуществить отбор данных в соответствии с заданными параметрами.
Сброс всех установленных фильтров осуществляется нажатием кнопки «Сбросить фильтры».
Приоритет - номер приоритета правила DNAT. Возможно указать значение в диапазоне от «1» до «999999». Параметр должен быть уникальным в рамках выбранного набора правил и определяет последовательность выполнения правил от 1 к 999999.
Примечание
Рекомендуется присваивать правилам NAT последовательные номера с интервалами между ними, оставляя свободные номера для новых правил.
Статус - отключение правила преобразования сетевых адресов.
Исключить текущее правило - с помощью «исключающих» правил можно определить сетевые пакеты, для которых не будет выполняться преобразование сетевых адресов. Это особенно полезно в случаях, когда для некоторых видов трафика, например, для VPN-трафика, требуется исключить преобразование адресов.
Входящий интерфейс - указание входного интерфейса, на котором будет выполняться правило DNAT. Преобразование сетевого адреса получателя (DNAT) будет осуществляться для трафика, принятого на указанном интерфейсе. Возможно указать следующие значения:
Интерфейс - ввести наименование сетевого интерфейса. В этом поле возможно использовать следующие символы: символы латинского алфавита; цифры; подстановочный знак«*» (например, «eth1*» — все интерфейсы, имена которых начинаются с «eth1»); «any» (система будет обрабатывать весь входящий трафик независимо от того, через какой интерфейс он пришел). Имя интерфейса должно начинаться с латинской буквы, иметь длину не более 14 символов, подстановочный знак должен располагаться в конце.
Группа интерфейсов - выбор из предложенного списка название ранее созданной группы интерфейсов.
При установке флажка в чек-боксе «Все кроме указанного интерфейса» правило будет срабатывать на всех интерфейсах, кроме указанного.
«Транспортный протокол» - указание протоколов, для которых осуществляется преобразование сетевых адресов. Возможно указать значение номером или именем протокола:
«Название» - выбор транспортного протокола из выпадающего списка;
«Номер» - номер протокола в соответствии с документом IANA. Возможно указать значение в диапазоне от «0» до «255».
Отправитель - указать парамтеры отправителя, на основе которых будет осуществляться сопоставление в правиле NAT:
«Вид отправителя» - выбор вида отправителя из списка, который будет использоваться для проверки соответствия сетевого пакета правилу NAT:
«Адрес» - IPv4-адрес отправителя для проверки соответствия в формате <x.x.x.x>;
«Сеть» - IPv4-сеть отправителя для проверки соответствия в формате <x.x.x.x/х>;
«Диапазон адресов» - указать диапазон IPv4-адресов отправителя в соответствующих полях;
«Группа адресов» - выбрать группу адресов из списка;
«Группа сетей» - выбрать группу сетей из списка;
«Группа доменов» - выбрать группу доменов из списка.
Для типов отправителей «Адрес», «Сеть» и «Диапазон адресов» доступна функция инверсии значений. Для её активации необходимо установить флажок в чекбоксе «Все кроме указанного отправителя». В этом случае правило будет применяться ко всем адресам, за исключением указанных.
При выборе одной из групп предусмотрена возможность указать дополнительные категории групп: «Группа MAC-адресов» и «Группа портов» (группа портов доступна при условии выбора транспортного протокола типа TCP, UDP или TCP/UDP).
«Группа MAC-адресов» - указать группу MAC-адресов отправителя, которые будут использоваться для проверки соответствия сетевых пакетов правилу NAT.
«Порт отправителя» - секция параметров доступна при условии выбора транспортного протокола типа TCP, UDP или TCP/UDP. Возможно настроить следующие параметры:
«Группа портов» - указать группу портов отправителя, которые будут использоваться для проверки соответствия сетевых пакетов правилу NAT.
«Порты» - указать порт отправителя, который будет использоваться для проверки соответствия сетевого пакета правилу NAT. Для конфигурации портов необходимо нажать кнопку «» справа от поля «Настройка портов» и в раскрывшемся поле нажать кнопку «+Добавить». Доступны следующие параметры:
«Номер порта» - в поле «Порт» ввести номер порта в диапазоне от «1» до «65535»;
«Диапазон портов» - указать диапазон портов в соответствующих полях;
«Протокол» - выбрать протокол из списка.
Кнопки «+Добавить» и «Удалить» позволяют добавлять или удалять порты отправителя.
При установке флажка в чекбоксе «Все кроме указанных портов» правило будет применяться ко всем портам, за исключением указанных.
Получатель - указать парамтеры получателя, на основе которых будет осуществляться сопоставление в правиле NAT:
«Вид получателя» - выбор вида получателя из списка, который будет использоваться для проверки соответствия сетевого пакета правилу NAT:
«Адрес» - IPv4-адрес получателя для проверки соответствия в формате <x.x.x.x>;
«Сеть» - IPv4-сеть получателя для проверки соответствия в формате <x.x.x.x/х>;
«Диапазон адресов» - указать диапазон IPv4-адресов получателя в соответствующих полях;
«Группа адресов» - выбрать группу адресов из списка;
«Группа сетей» - выбрать группу сетей из списка;
«Группа доменов» - выбрать группу доменов из списка.
Для типов получателя «Адрес», «Сеть» и «Диапазон адресов» доступна функция инверсии значений. Для её активации необходимо установить флажок в чекбоксе «Все кроме указанного получателя». В этом случае правило будет применяться ко всем адресам, за исключением указанных.
При выборе одной из групп предусмотрена возможность указать дополнительные категории групп: «Группа MAC-адресов» и «Группа портов» (группа портов доступна при условии выбора транспортного протокола типа TCP, UDP или TCP/UDP).
«Группа MAC-адресов» - указать группу MAC-адресов получателя, которые будут использоваться для проверки соответствия сетевых пакетов правилу NAT.
«Порт получателя» - секция параметров доступна при условии выбора транспортного протокола типа TCP, UDP или TCP/UDP. Возможно настроить следующие параметры:
«Группа портов» - указать группу портов получателя, которые будут использоваться для проверки соответствия сетевых пакетов правилу NAT.
«Порты» - указать порт получателя, который будет использоваться для проверки соответствия сетевого пакета правилу NAT. Для конфигурации портов необходимо нажать кнопку «» справа от поля «Настройка портов» и в раскрывшемся поле нажать кнопку «+Добавить». Доступны следующие параметры:
«Номер порта» - в поле «Порт» ввести номер порта в диапазоне от «1» до «65535»;
«Диапазон портов» - указать диапазон портов в соответствующих полях;
«Протокол» - выбрать протокол из списка.
Кнопки «+Добавить» и «Удалить» позволяют добавлять или удалять порты получателя.
При установке флажка в чекбоксе «Все кроме указанных портов» правило будет применяться ко всем портам, за исключением указанных.
«Преобразованный адрес» - указать адрес, на который будет заменен исходный адрес назначения пакетов. Возможен выбор следующих значений:
«Адрес» - IP-адрес в формате IPv4;
«Диапазон адресов» - указать диапазон IP-адресов в соответствующих полях;
«Сеть» - указать сеть: IP-адрес и маску подсети.
«Преобразованный порт» - указать порт для трансляции. Возможен выбор следующих значений:
«Номер порта» - ввести номер порта в диапазоне от «1» до «65535»;
«Диапазон портов» - указать диапазон портов в соответствующих полях.
«Перенаправление трафика» - указать порт, на который будет перенаправляться входящий трафик. Возможен выбор следующих значений:
«Номер порта» - ввести номер порта в диапазоне от «1» до «65535»;
«Диапазон портов» - указать диапазон портов в соответствующих полях.
«Назначение IP-адреса» - определить тип механизма сопоставления адресов для трансляции в правиле NAT:
«Случайный IP» (random) - cлучайное распределение адресов отправителя или получателя для каждого соединения. Используется по умолчанию.
«Постоянный IP» (persistent)- пользователь получает один и тот же адрес отправителя или получателя для каждого соединения.
«Назначение порта» - определить метода сопоставления портов при трансляции адресов в правилах NAT:
«Порт без изменений» (none) - отключает динамическое сопоставление портов, использует исходный порт исходного пакета. Используется по умолчанию.
«Случайный порт» (random )- выбирает случайный доступный порт из диапазона трансляции.
«Балансировка»
В рамках одного правила возможно определить несколько транслируемых адресов, чтобы NAT мог сбалансировать трансляцию между ними. Алгоритм балансировки использует хэш для распределения нагрузки. При определении транслируемых адресов, называемых бэкендами, необходимо настроить вес. Это позволяет пользователю самостоятельно определить распределение нагрузки в соответствии с его предпочтениями.
Параметры настройки балансировки:
«Метод распределения» - выбрать алгоритм генерации хэша. Возможен множественный выбор следующих значений: «Случайное», «По IP-адресу отправителя», «По IP-адресу получателя», «По порту отправителя», «По порту получателя». Выбор значений «По порту отправителя» и «По порту получателя» допускается при указанном для параметра «Транспортный протокол» значении «tcp», «udp» или «tcp/udp». По умолчанию хэш генерируется случайным образом - метод «Случайное».
«Настройка преобразованных IP-адресов» - возможно указание преобразованных IP-адресов и веса для каждого бэкенда. Сумма всех весов, присвоенных бэкендам, должна составлять «100». Иными словами, вес, присвоенный конкретному бэкенду, представляет собой процент соединений, которые будут направлены на этот бэкенд.
«Тип пакета» - настроить правило соответствия на основе типа пакета. Возможно указание следующих типов: «Широковещательный пакет», «Одиночный пакет», «Пакеты для группы устройств», «Другие типы».
По завершении нажать кнопку «Сохранить».
После сохранения нового правила NAT необходимо нажать кнопку «Сохранить» в правом верхнем углу формы «Настройки межсетевого экрана» для сохранения и применения новых настроек в системе ARMA Стена (см. Рисунок – Кнопка сохранения и применения новых настроек системы).
Рисунок – Кнопка сохранения и применения новых настроек системы.
Приоритет - номер приоритета правила SNAT. Возможно указать значение в диапазоне от «1» до «999999». Параметр должен быть уникальным в рамках выбранного набора правил и определяет последовательность выполнения правил от 1 к 999999.
Примечание
Рекомендуется присваивать правилам NAT последовательные номера с интервалами между ними, оставляя свободные номера для новых правил.
Статус - отключение правила преобразования сетевых адресов.
Исключить текущее правило - с помощью «исключающих» правил можно определить сетевые пакеты, для которых не будет выполняться преобразование сетевых адресов. Это особенно полезно в случаях, когда для некоторых видов трафика, например, для VPN-трафика, требуется исключить преобразование адресов.
Исходящий интерфейс - указание интерфейса, на который будет передаваться исходящий трафик для правил преобразования адресов отправителя (SNAT) и правил «маскировки» (masquerade). Возможно указать следующие значения:
Интерфейс - ввести наименование сетевого интерфейса. В этом поле возможно использовать следующие символы: символы латинского алфавита; цифры; подстановочный знак«*» (например, «eth1*» — все интерфейсы, имена которых начинаются с «eth1»); «any» (система будет обрабатывать весь входящий трафик независимо от того, через какой интерфейс он пришел). Имя интерфейса должно начинаться с латинской буквы, иметь длину не более 14 символов, подстановочный знак должен располагаться в конце.
Группа интерфейсов - выбор из предложенного списка название ранее созданной группы интерфейсов.
При установке флажка в чек-боксе «Все кроме указанного интерфейса» правило будет срабатывать на всех интерфейсах, кроме указанного.
«Транспортный протокол» - указание протоколов, для которых осуществляется преобразование сетевых адресов. Возможно указать значение номером или именем протокола:
«Название» - выбор транспортного протокола из выпадающего списка;
«Номер» - номер протокола в соответствии с документом IANA. Возможно указать значение в диапазоне от «0» до «255».
Отправитель - указать парамтеры отправителя, на основе которых будет осуществляться сопоставление в правиле NAT:
«Вид отправителя» - выбор вида отправителя из списка, который будет использоваться для проверки соответствия сетевого пакета правилу NAT:
«Адрес» - IPv4-адрес отправителя для проверки соответствия в формате <x.x.x.x>;
«Сеть» - IPv4-сеть отправителя для проверки соответствия в формате <x.x.x.x/х>;
«Диапазон адресов» - указать диапазон IPv4-адресов отправителя в соответствующих полях;
«Группа адресов» - выбрать группу адресов из списка;
«Группа сетей» - выбрать группу сетей из списка;
«Группа доменов» - выбрать группу доменов из списка.
Для типов отправителей «Адрес», «Сеть» и «Диапазон адресов» доступна функция инверсии значений. Для её активации необходимо установить флажок в чекбоксе «Все кроме указанного отправителя». В этом случае правило будет применяться ко всем адресам, за исключением указанных.
При выборе одной из групп предусмотрена возможность указать дополнительные категории групп: «Группа MAC-адресов» и «Группа портов» (группа портов доступна при условии выбора транспортного протокола типа TCP, UDP или TCP/UDP).
«Группа MAC-адресов» - указать группу MAC-адресов отправителя, которые будут использоваться для проверки соответствия сетевых пакетов правилу NAT.
«Порт отправителя» - секция параметров доступна при условии выбора транспортного протокола типа TCP, UDP или TCP/UDP. Возможно настроить следующие параметры:
«Группа портов» - указать группу портов отправителя, которые будут использоваться для проверки соответствия сетевых пакетов правилу NAT.
«Порты» - указать порт отправителя, который будет использоваться для проверки соответствия сетевого пакета правилу NAT. Для конфигурации портов необходимо нажать кнопку «» справа от поля «Настройка портов» и в раскрывшемся поле нажать кнопку «+Добавить». Доступны следующие параметры:
«Номер порта» - в поле «Порт» ввести номер порта в диапазоне от «1» до «65535»;
«Диапазон портов» - указать диапазон портов в соответствующих полях;
«Протокол» - выбрать протокол из списка.
Кнопки «+Добавить» и «Удалить» позволяют добавлять или удалять порты отправителя.
При установке флажка в чекбоксе «Все кроме указанных портов» правило будет применяться ко всем портам, за исключением указанных.
Получатель - указать парамтеры получателя, на основе которых будет осуществляться сопоставление в правиле NAT:
«Вид получателя» - выбор вида получателя из списка, который будет использоваться для проверки соответствия сетевого пакета правилу NAT:
«Адрес» - IPv4-адрес получателя для проверки соответствия в формате <x.x.x.x>;
«Сеть» - IPv4-сеть получателя для проверки соответствия в формате <x.x.x.x/х>;
«Диапазон адресов» - указать диапазон IPv4-адресов получателя в соответствующих полях;
«Группа адресов» - выбрать группу адресов из списка;
«Группа сетей» - выбрать группу сетей из списка;
«Группа доменов» - выбрать группу доменов из списка.
Для типов получателя «Адрес», «Сеть» и «Диапазон адресов» доступна функция инверсии значений. Для её активации необходимо установить флажок в чекбоксе «Все кроме указанного получателя». В этом случае правило будет применяться ко всем адресам, за исключением указанных.
При выборе одной из групп предусмотрена возможность указать дополнительные категории групп: «Группа MAC-адресов» и «Группа портов» (группа портов доступна при условии выбора транспортного протокола типа TCP, UDP или TCP/UDP).
«Группа MAC-адресов» - указать группу MAC-адресов получателя, которые будут использоваться для проверки соответствия сетевых пакетов правилу NAT.
«Порт получателя» - секция параметров доступна при условии выбора транспортного протокола типа TCP, UDP или TCP/UDP. Возможно настроить следующие параметры:
«Группа портов» - указать группу портов получателя, которые будут использоваться для проверки соответствия сетевых пакетов правилу NAT.
«Порты» - указать порт получателя, который будет использоваться для проверки соответствия сетевого пакета правилу NAT. Для конфигурации портов необходимо нажать кнопку «» справа от поля «Настройка портов» и в раскрывшемся поле нажать кнопку «+Добавить». Доступны следующие параметры:
«Номер порта» - в поле «Порт» ввести номер порта в диапазоне от «1» до «65535»;
«Диапазон портов» - указать диапазон портов в соответствующих полях;
«Протокол» - выбрать протокол из списка.
Кнопки «+Добавить» и «Удалить» позволяют добавлять или удалять порты получателя.
При установке флажка в чекбоксе «Все кроме указанных портов» правило будет применяться ко всем портам, за исключением указанных.
«Преобразованный адрес» - указать адрес, на который будет заменен исходный адрес назначения пакетов. Возможен выбор следующих значений:
«Адрес» - IP-адрес в формате IPv4;
«Диапазон адресов» - указать диапазон IP-адресов в соответствующих полях;
«Сеть» - указать сеть: IP-адрес и маску подсети.
«Преобразованный порт» - указать порт для трансляции. Возможен выбор следующих значений:
«Номер порта» - ввести номер порта в диапазоне от «1» до «65535»;
«Диапазон портов» - указать диапазон портов в соответствующих полях.
«Перенаправление трафика» - указать порт, на который будет перенаправляться входящий трафик. Возможен выбор следующих значений:
«Номер порта» - ввести номер порта в диапазоне от «1» до «65535»;
«Диапазон портов» - указать диапазон портов в соответствующих полях.
«Назначение IP-адреса» - определить тип механизма сопоставления адресов для трансляции в правиле NAT:
«Случайный IP» (random) - cлучайное распределение адресов отправителя или получателя для каждого соединения. Используется по умолчанию.
«Постоянный IP» (persistent)- пользователь получает один и тот же адрес отправителя или получателя для каждого соединения.
«Назначение порта» - определить метода сопоставления портов при трансляции адресов в правилах NAT:
«Порт без изменений» (none) - отключает динамическое сопоставление портов, использует исходный порт исходного пакета. Используется по умолчанию.
«Случайный порт» (random )- выбирает случайный доступный порт из диапазона трансляции.
«Балансировка»
В рамках одного правила возможно определить несколько транслируемых адресов, чтобы NAT мог сбалансировать трансляцию между ними. Алгоритм балансировки использует хэш для распределения нагрузки. При определении транслируемых адресов, называемых бэкендами, необходимо настроить вес. Это позволяет пользователю самостоятельно определить распределение нагрузки в соответствии с его предпочтениями.
Параметры настройки балансировки:
«Метод распределения» - выбрать алгоритм генерации хэша. Возможен множественный выбор следующих значений: «Случайное», «По IP-адресу отправителя», «По IP-адресу получателя», «По порту отправителя», «По порту получателя». Выбор значений «По порту отправителя» и «По порту получателя» допускается при указанном для параметра «Транспортный протокол» значении «tcp», «udp» или «tcp/udp». По умолчанию хэш генерируется случайным образом - метод «Случайное».
«Настройка преобразованных IP-адресов» - возможно указание преобразованных IP-адресов и веса для каждого бэкенда. Сумма всех весов, присвоенных бэкендам, должна составлять «100». Иными словами, вес, присвоенный конкретному бэкенду, представляет собой процент соединений, которые будут направлены на этот бэкенд.
«Тип пакета» - настроить правило соответствия на основе типа пакета. Возможно указание следующих типов: «Широковещательный пакет», «Одиночный пакет», «Пакеты для группы устройств», «Другие типы».
По завершении нажать кнопку «Сохранить».
После сохранения нового правила NAT необходимо нажать кнопку «Сохранить» в правом верхнем углу формы «Настройки межсетевого экрана» для сохранения и применения новых настроек в системе ARMA Стена (см. Рисунок – Кнопка сохранения и применения новых настроек системы).
Приоритет - номер приоритета правила One-to-one. Возможно указать значение в диапазоне от «1» до «999999». Параметр должен быть уникальным в рамках выбранного набора правил и определяет последовательность выполнения правил от 1 к 999999.
Примечание
Рекомендуется присваивать правилам NAT последовательные номера с интервалами между ними, оставляя свободные номера для новых правил.
Статус - отключение правила преобразования сетевых адресов.
Входящий интерфейс - указание входного интерфейса системы, на котором будет выполняться правило One-to-one. Допускается указать значение «any» - система будет обрабатывать весь входящий трафик независимо от того, через какой интерфейс он пришел.
«Вид получателя» - выбор вида получателя из списка:
«Адрес» - IP-адрес получателя в формате IPv4;
«Сеть» - указать сеть получателя: IP-адрес и маску подсети.
«Преобразованный адрес» - указание преобразованного адреса. Возможен выбор следующих значений:
«Адрес» - IP-адрес в формате IPv4;
«Сеть» - указать сеть: IP-адрес и маску подсети.
По завершении нажать кнопку «Сохранить».
После сохранения нового правила NAT необходимо нажать кнопку «Сохранить» в правом верхнем углу формы «Настройки межсетевого экрана» для сохранения и применения новых настроек в системе ARMA Стена (см. Рисунок – Кнопка сохранения и применения новых настроек системы).
Для редактирования правила NAT необходимо нажать ЛКМ на строке с нужным правилом и в открывшейся боковой панели внести корректировки в атрибуты правила. По завершении нажать кнопку «Сохранить».
» справа от поля «Настройка портов» и в раскрывшемся поле нажать кнопку «+Добавить». Доступны следующие параметры:
