入门教程︰ 网络地址转换 (NAT)
Resolution
在您设置了防火墙之后, 在入门系列的前一期文章中, 您可能需要开始设置服务器. 除非你有拥有一个公共的 IP 子网的足够大,以主机内部的所有主机下面的详细信息指导您如何配置网络地址转换 (NAT) 或端口地址翻译 (PAT),使主机可以到达从外面,或使用特定 IP 出去到互联网的奢侈品。
在这一部分中,我将讨论几个方案,可能派上用场时确定如何配置 NAT 或帕特来最好地满足您的需求,并扔在几条告诫要注意。
多一隐藏源 NAT NAT
基础入门,隐藏 NAT 是最常用的地址翻译在那里。它隐藏在一个单一的外部公共 IP 后面的所有内部子网和外观将类似于这样:
这个 NAT 政策将翻译所有会话源自信任区,要去看区,并将更改的源地址为分配给外部物理接口的 IP。它还会随机的源端口。
返回数据包将自动反向翻译作为防火墙保持跟踪所有活动会话和 NAT 行为的状态表
多多 NAT
简单的隐藏 NAT 政策的变化是添加更多的源地址,如果有更多可用。如果,例如,ISP 为您提供一个公共子网 29 或更大,你有额外的 IP 地址,可以用于各种各样的东西。如果内部网络相当大, 则可能需要这些附加地址来防止对 NAT 池的过度订阅.
此配置的地址类型更改从 '接口' 到 '翻译地址'。然后可用的 IP 地址添加一个 IP 范围或 IP 子网:
防火墙将从基于哈希的源 IP 地址的可用池中选择 IP。这个源地址将从该来源 IP 的所有会话都保持不变。仍然会随机的源端口。
如果源端口需要保持不变 (一些应用程序可能需要特定的源端口) 翻译类型可以设置为动态 IP,会保留每个会话的客户端的源端口。已转换的地址分配的 '下一个可用' 这意味着有一些注意事项:
- 支持不超过 32.000 连续的 IP 地址
- 转换后的地址池需要具有相同的大小或大于你的主机,作为每个内部主机的内部数量分配它自己翻译的地址
如果上述条件通常满足,但有时会被打破,可以设置备份故障回复到动态 IP 和端口。都翻译地址和接口地址选项是可用,默认值是无:
一对一 NAT,静态 NAT
如果您需要使服务器可从互联网,像本地 SMTP 或 web 服务器,一对一的 NAT 政策需要要创建,将转发传入连接到特定的服务器。有几个不同的方式来实现此目的:
双向政策:
在双向策略中,就像上述的 NAT 政策,创建一个定期的出站静态 NAT 策略和双向设置了标志,它允许系统创建 (不可见) 的隐含入站的策略。
该政策将源从信任并将注定看,源地址设置为服务器的内部 IP 和源翻译被其公用的 NAT 地址。看了源区域和目标的任何目标 IP 的 NAT 的公共地址和目的地翻译到服务器的 IP 地址,将创建隐含的策略。
这是方便地创建几个一对一翻译和完美的作品,如果几个服务器都有自己独特的公共 IP 地址,这给我们带来:
单向政策:
单向 NAT 允许多一点控制策略比双向,而且它允许的帕特或端口地址转换。帕特使您能够在不同的内部服务共享单个公用 IP 地址。
在接下来 3 规则中你可以看到 3 不同的入站静态 NAT 的例子:
- 规则 #1是一种传统的一对一规则, 它将所有入站端口转换为内部服务器, 从而维护目标端口
- 规则 #2仅将目标端口80上的入站连接转换为端口8080上的内部服务器
- 规则 #3 将同一公用 IP 地址的入站会话转换为规则 #2, 但对于目标端口 25, 则在维护目标端口25时将其用于不同的内部服务器
- 为什么目标区域设置为不信任和与目标接口是什么?
- 可 '任何' 用于作为目标地址 (不信任,不信任) 入站 NAT
所以不信任的源区,应设置安全策略,目标区域 (最终目的地区域) 是信任和目的地地址是公用地址、预 nat。
源和目标 NAT
在某些情况下可能需要在同一时间执行源和目标 NAT。一个常见的例子是掉头的情况,内部主机需要连接到内部的服务器,它的公共 IP 地址上的客户端位于同一网络上。
已经有了一个伟大的文章和教程视频, 涵盖 U 转向更详细, 但简短的描述是:
要能达到上一个公共 ip 地址的内部资源,新的 NAT 政策需要创建以容纳信任不信任翻译。
如果源翻译不包括在这项政策,则服务器将接收的数据包带有原始的源地址,从而导致服务器回复数据包将直接发送到客户端。
这将创建一个不对称的循环: 客户端防火墙-服务器-客户端和防火墙会话将被终止,因为这违反了 TCP 检查。
解决方法是添加源翻译,例如,防火墙 IP,所以服务器的回复数据包被发送到防火墙,因而允许 '状态' 的会话。
奖金: NAT 上 VWire
也可以在 VWire 上实现 NAT,如果你能够编辑 (ISP 路由器可能不允许这样) 你路由器上的路由表。理想情况下,你会有一个路由器上任一端的 VWire 保持事情简单,但如果你是一个挑战,你也可以得到这项工作只有上游路由器:
两个路由器之间,您应该创建一个小的点对点子网,例如,10.0.0.0/30。分配的每个路由器的 IP 和添加指向远程路由器 IP 路由器位于翻译一侧上的翻译 IP 地址的路由。如。在看路由器上,指着可信的路由器 IP 添加路由的 198.51.100.1。防火墙会照顾的休息。
注意事项
- 通过路由查找实现区域分辨率。当防火墙上收到数据包,路由查找执行检查那里的子网源和目标子网路由,和适当的区域指派给该会话。来自 internet 的入站通信,在源区将看,默认路由 0.0.0.0/0 指看接口,以及目的地 IP 地址前 NAT,也是看它是 IP 连接到不受信任的接口 (在上述示例中的 198.51.100.0/24)
- 在 nat 策略中使用目标接口可以帮助在使用类似的 nat 策略时防止冲突. 如。如果两个外部接口的存在,对两个不同的 Isp,维持不同的公用 IP 地址,两个相同的出站 NAT 规则可以配置。
- 如果使用 NAT IP (如接口198.51.100.1、服务器198.51.100.5 的 nat), 则防火墙将发送无偿的 ARP数据包, 通知邻居它承载 IP 地址, 并将响应 ARP 请求从上游设备. 免费 ARP 也可以手动触发:
admin@MyFW 测试 arp 无偿接口 ethernet1/1 ip 198.51.100.6
警告:如果将 NAT 规则配置为将转换应用于在接口上未配置的子网, 则防火墙将为子网中的所有 IP 地址发送无偿 ARP.
1 ARPs 发送
- 因为防火墙提供代理 ARP 解析为目的地的目的地地址中列出的地址 (入站) NAT,目标地址子网,必须与目的地翻译子网匹配。不允许使用 "任意" 作为目标地址.
- 当为内部客户端创建 NAT 策略以通过其公共 IPs 到达 dmz 或受信任网络中的服务器时, 请确保将这些策略置于隐藏 NAT 政策之上.
过度订阅
过度订阅时发生防火墙已共享相同的多个 (两个或更多) 并发会话翻译 IP 地址和端口对并提供可伸缩性时被创建的会话数量太少公共 IP 地址。如。通常的并发会话的最大金额将 64 K (零下 1024 个 '服务器' 端口 65.000 源端口)。超额认购,依托该平台,允许为每个 IP 与 8 x 超额达 512 K 并发会话。
一些相关的文章:
感谢阅读 !
收割者