Comment configurer demi-tour NAT
Resolution
Si vous souhaitez en savoir plus sur NAT u-Turn, ou traversés et comment le configurer avec un pare-feu de Palo Alto Networks, alors vous aurez envie de jeter un oeil à cette vidéo.
Salut !
Il s’agit de Tom Piens avec l’équipe de Palo Alto Networks communautaire. Dans le tutoriel vidéo de cette semaine, je vais expliquer NAT u-Turn et comment configurer et tester.
- Ce qui est demi-tour NAT ?
- Quelle est demi-tour NAT utile ?
- Configuration et test d’u-Turn NAT
Ce qui est demi-tour NAT ?
Le terme qu'u-Turn est utilisé lorsque le chemin logique d’une connexion traverse le pare-feu à partir de l’intérieur en extérieur et en, en se connectant à une ressource interne à l’aide de son adresse IP externe adresse. U-Turn NAT est un truc de configuration pour permettre un déploiement où l’adresse IP externe doit atteindre une ressource interne.
Quelle est demi-tour NAT utile ?
Dans certains environnements, un hôte interne peut exiger une adresse IP externe pour exécuter un service donné, par exemple, un serveur web hébergées localement ou le serveur de messagerie. Hôtes internes devrez utiliser l’adresse IP externe en raison de l’absence d’un serveur DNS interne ou d’autres exigences spécifiques au service.
Dans l’exemple, à l’aide de la configuration NAT de destination régulière, toutes les connexions provenant de l’ordinateur portable redirigée vers le serveur sur son adresse IP externe, 198.51.100.230, soient réaffectées à la passerelle par défaut, l’adresse IP n’est pas sur le sous-réseau local. Il obtient alors traduit à l’adresse IP de destination 192.168.0.97, sans appliquer la source NAT, ce qui provoque le serveur web d’envoyer des paquets retour directement au poste de travail, ce qui entraîne un écoulement asymétrique.
Remarque: les flux asymétriques sont rejetés par le pare-feu en raison de leur potentiel d'être malveillants.
Avec u-Turn NAT configurée, les paquets sortants de l’ordinateur portable ont également source que NAT qui leur sont appliquée.
La source NAT, le serveur envoyer des paquets de réponse directement sur le pare-feu, plutôt que d’envoyer à l’ordinateur portable. Envoi de paquets directement au pare-feu empêche l’asymétrie et permet le pare-feu d’appliquer toujours analyse du contenu de la session.
U-Turn de configuration NAT
Nous allons tout d’abord prendre un coup d’oeil à la configuration actuelle, qui reflète ce qui ressemble à une configuration commune sans demi-tour NAT.
La stratégie de sécurité possède une règle entrante qui autorise les connexions entrantes provenant d’Internet sur le serveur web interne avec l’application navigation sur le web, qui est le port 80 par défaut. En outre, nous avons une politique de sécurité sortante simple qui permet à tout utilisateur d’aller à l’Internet sur n’importe quelle application. Enfin, nous avons les deux règles implicites qui permettent le trafic intrazone, par exemple, la fiducie de la fiducie, et la zone intranet refus qui empêche les sessions d’atteindre d’autres zones sans une politique explicite autorisant.
La stratégie nat a une règle entrante pour permettre aux connexions de n'importe où à l'adresse IP externe à traduire à l'adresse IP interne du serveur et une règle Hide-NAT pour permettre aux connexions internes pour aller à l'Internet et obtenir source-traduit derrière l'adresse IP de l'interface externe du pare-feu.
Lorsque nous regardons le client PC, si j’ouvre un navigateur et essayez d’accéder à 198.51.100.230, qui est l’adresse à Internet IP de mon serveur interne, vous verrez que la page ne se charge pas. Si j’ai élever Wireshark, vous verrez un paquet syn est envoyé à l’adresse IP externe, un syn/ack est reçu de l’adresse IP interne 192.168.0.97, et une remise à zéro est envoyé que le client ne comprend pas ce qui se passe.
Si nous revenons maintenant le pare-feu et ouvrez la politique NAT, nous voyons que la règle NAT entrante a été mises en place à accepter n’importe quelle zone de la source et qui se traduisent par l’adresse IP de serveur interne approprié.
Création d’une règle de NAT de nouveaux détails :
Nom — accès interne
Zone source—confiance
Fuseau horaire de destination — untrust
Adresse de destination — 198.51.100.230
Sous l’onglet Packet traduit :
Adresse de destination — 192.168.0.97 (adresse IP du serveur web en question)
Source de traduction d’adresses — Dynamic IP / Port
Changer le type d’adresse — Interface
Interface — ethernet1/2 (Interface interne du pare-feu)
Adresse IP —192.168.0.230/24
Si nous ajoutons une nouvelle règle, nommez-la Internal Access, accédez à l'onglet de paquet d'origine et définissez la zone source sur approbation, zone de destination à non-confiance et définissez l'adresse de destination sur 198.51.100.230. Puis passez à l’onglet de paquet de translation et définir la destination, comme avec la règle ordinaire, à 192.168.0.97, puis aussi activer translation d’adresse source en lui affectant une IP dynamique et le Port, passer le type d’adresse à adresse de l’interface.
Vous pouvez définir le type d'adresse à l' adresse traduite et choisir une adresse dans la plage IP affectée à l'interface, dans cet exemple nous allons coller avec l'adresse IP attribuée à l'interface, pour la facilité d'utilisation.
Sélectionnez l’interface de zone trust dans la liste déroulante et son adresse IP, puis cliquez sur OK.
Note: Veillez à placer la nouvelle règle de nat au-dessus de la règle entrante, ou la règle d'origine de nat prendra precedece sur le nouvellement créé.
Validez la configuration et revenir à l’ordinateur client.
Vérification et essais demi-tour NAT
Si nous ouvrons la page Web maintenant, chargement de la page par défaut d’internet information server 7 et le serveur web est accessible de l’intérieur sur son adresse IP externe.
Si nous prenons un coup d’oeil à la capture des paquets Wireshark, le client reçoit ses paquets de retour de l’adresse IP externe, car le pare-feu peut maintenant perfom NAT sur les deux sens de l’écoulement.
Merci de regarder !