5. Fortinet Getting Started v6.0. NAT

5. Fortinet Getting Started v6.0. NAT


Приветствую! Добро пожаловать на пятый урок курса Fortinet Getting Started . На прошлом уроке мы разобрались с работой политик безопасности. Теперь пришло время выпустить локальных пользователей в Интернет. Для этого на данном уроке мы рассмотрим работу механизма NAT. Помимо выпуска пользователей в Интернет, мы также рассмотрим метод публикации внутренних сервисов. Под катом представлена краткая теория из видео, а также сам видео урок.
Технология NAT (Network Address Translation) представляет собой механизм преобразования IP адресов сетевых пакетов. В терминах Fortinet NAT делится на два типа: Source NAT и Destination NAT.
Названия говорят сами за себя — при использовании Source NAT изменяется адрес источника, при использовании Destination NAT — адрес назначения.
Помимо этого, вариантов настройки NATа также несколько — Firewall Policy NAT и Central NAT.



При использовании первого варианта Source и Destination NAT должны быть настроены для каждой политики безопасности. В таком случае Source NAT использует либо IP адрес исходящего интерфейса, либо преднастроенный IP Pool. Destination NAT использует преднастроенный объект (так называемый VIP — Virtual IP) в качестве адреса назначения.
При использовании Central NAT конфигурация Source и Destination NAT производится сразу для всего устройства (или виртуального домена). В таком случае, параметры NAT применяются ко всем политикам, в зависимости от правил Source NAT и Destination NAT.
Правила Source NAT настраиваются в центральной политике Source NAT. Destination NAT конфигурируется из меню DNAT с использованием IP адресов.
В данном уроке мы рассмотрим только Firewall Policy NAT — как показывает практика, этот вариант конфигурации встречается намного чаще, чем Central NAT.

Как я уже говорил, при конфигурации Firewall Policy Source NAT есть два варианта настройки: замена IP адреса на адрес исходящего интерфейса, либо на IP адрес из преднастроенного пула IP адресов. Выглядит это примерно так, как показано на рисунке ниже. Далее я кратко расскажу о возможных пулах, но на практике мы с вами рассмотрим только вариант с адресом исходящего интерфейса — на нашем макете пулы IP адресов нам ни к чему.



IP пул определяет один или несколько IP адресов, которые будут использоваться как адрес источника в течении сессии. Эти IP адреса будут использоваться вместо IP адреса исходящего интерфейса FortiGate.
Существует 4 типа IP пулов, которые могут быть настроены на FortiGate:

  • Overload
  • One-to-ine
  • Fixed Port Range
  • Port block allocation

Overload это основной IP пул. В нем IP адреса преобразуются по схеме много к одному или много к нескольким. Также используется трансляция портов. Рассмотрим схему, указанную на рисунке ниже. У нас есть пакет с определенными полями Source и Destination. При попадании под политику межсетевого экранирования, которая разрешает этому пакету доступ во внешнюю сеть, к нему применяется правило NATа. По итогу в данном пакете поле Source заменяется на один из IP адресов, указанных в IP пуле.



В пуле типа One to One также определяется множество внешних IP адресов. При попадании пакета под политику межсетевого экранирования с включенным правилом NAT IP адрес в поле Source изменяется на один из адресов, принадлежащих данному пулу. Замена происходит по правилу — “первый поступил, первый обслужен”. Чтобы стало понятнее, рассмотрим на примере.
Компьютер из локальной сети с IP адресом 192.168.1.25 отсылает пакет во внешнюю сеть. Он попадает под правило NATа, и поле Source изменяется на первый IP адрес из пула, в нашем случае это 83.235.123.5. Стоит отметить, что при использовании данного IP пула трансляция портов не используется. Если после этого компьютер из той же локальной сети, с адресом, допустим, 192.168.1.35 отправит пакет во внешнюю сеть и тоже попадет под данное правило NAT, IP адрес в поле Source этого пакета изменится на 83.235.123.6. Если адресов в пуле больше не останется, последующие подключения будут отклоняться. Т.е в данном случае под наше правило NAT одновременно может попасть 4 компьютера.



FIxed Port Range связывает между собой внутренние и внешние диапазоны IP адресов. Трансляция портов также отключена. Это позволяет фиксированно связать начало или конец пула внутренних IP адресов с началом или концом пула внешних IP адресов. В примере, приведенном ниже, внутренний пул адресов 192.168.1.25 — 192.168.1.28 ставится в соответствие с внешним пулом адресов 83.235.123.5 — 83.235.125.8.



Port Block Allocation — этот IP пул используется для выделения блока портов для пользователей IP пула. Помимо самого IP пула, здесь также должны быть указаны два параметра — размер блока и количество блоков, выделяемых для каждого пользователя.



Теперь рассмотрим технологию Destination NAT. Она основана на основе виртуальных IP адресов (VIP). У пакетов, которые попадают под правила Destination NAT изменяется IP адрес в поле Destination: обычно публичный интернет адрес меняется на приватный адрес сервера. Виртуальные IP адреса используются в политиках межсетевого экранирования в качестве поля Destination.
Стандартный тип виртуальных IP адресов — Static NAT. Это соответствие внешних и внутренних адресов один к одному.
Вместо Static NAT виртуальные адреса можно ограничить пробросом конкретных портов. Например, подключения к внешнему адресу по порту 8080 ассоциировать с подключением к внутреннему IP адресу по 80 порту.
В примере, приведенном ниже, компьютер с адресом 172.17.10.25 пытается получить доступ к адресу 83.235.123.20 по 80 порту. Данное соединение попадает под правило DNAT, поэтому IP адрес назначения изменяется на 10.10.10.10.



В видео рассмотрена теория, а также приведены практические примеры настройки Source и Destination NAT.



На следующих уроках мы перейдем к обеспечению безопасности пользователей на просторах Интернета. Конкретно в следующем уроке будет рассмотрен функционал веб фильтрации и контроля приложений. Чтобы не пропустить его, следите за обновлениями на следующих каналах:

Youtube
Группа Вконтакте
Яндекс Дзен
Наш сайт
Телеграм канал
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.