Armis
January 2nd, 2016, 15:02
فصل چهارم : NAT (Network Address Translation)
بخش اول :
Firewall :
فایروال در لغت به معنی دیواره آتش می باشد که در کاربرد نیز همین مفهوم را دارد.زمانی که دو شبکه را به یکدیگر متصل می کنیم احتیاج به حافظت از هر یک نسبت به دیگری داریم که اکثر فایروال های امروزی برای حفاظت از یک شبکه در مقابل اینترنت استفاده میشوند.میکروتیک را می توان به عنوان یک فایروال قوی استفاده کرد.از قابلیت های فایروال میکروتیک ایجاد NAT و Filtering میتوان نام برد.
در شبکه معمولا فایروال را بر روی Gateway نصب می کنند که کار حفاظتی شبکه داخلی را از حملات خارجی را به عهده دارد.فایروال ها ممکن است استراتژی های مختلفی داشته باشند که بسته به نوع شبکه و سطوح امنیت آنها دارد.
در این فصل ما قابلیت NAT در میکروتیک را بررسی میکنیم و در فصل های بعد به بررسی Filtering و Mangle که از قابلیت های فایروال میکروتیک می باشد خواهیم پرداخت.
NAT :
NAT مخفف Network Address Translation می باشد فرایند تغییر در هدرهای یک بسته اطلاعاتی است و این تغییرات انواع مختلفی از Nat را ایجاد می کند.
ما برای شبکه ای داخلی از IP های Private استفاده می کنیم این IP ها در شبکه های محلی استفاده می شود و در دنیای (Wan )اینترنت قابل مسیریابی نیستند به همین خاطر یک سرویس به نام NAT به وجود آمد که آن را روی روتر راه اندازی می کنیم و با تنظیم این سرویس کامپیوترهای Private می توانند با کمک این سرویس IP آدرس Private را به IP آدرس Public ترجمه کنند و با کمک این IP به دنیای اینترنت ارتباط برقرار کنند.
انواع NAT :
بطور کلی ما دو روش برای اجرای NAT وجود دارد :
1 - Source Nat=Src Nat : در این روش آدرس IP مبدا تغییر می کند ( Nat می شود)
29541
2 - Destination Nat=Dst Nat : در این روش آدرس IP مقصد تغییر می کند ( Nat می شود)
29542
قاعده کلی برای تمام روش های NAT بصورت زیر می باشد :
هر بسته ای که روی کارت شبکه محلی روتر دریافت می شود عملیات جایگزینی ( NAT ) آدرس مبدا با آدرس اینترنتی (Public IP ) روترانجام می شود سپس بسته به مقصد ارسال می شود( Source Nat )
بعد از آن پاسخ این بسته از سمت سیستم گیرنده به روتر فرستاده می شود.روتر آدرس مقصد که آدرس اینترنتی روتر است را به آدرس
محلی سیستم فرستنده تغییر می دهد و در نهایت روتر بسته را به سیستم اصلی تحویل می دهد( Destination Nat )
تظیمات Source Nat در روتر :
[admin@Router-1]>ip firewall nat add chain=[srcnat/dstnat] out-interface=etherX src-address=[source ip address] dst-address=[destination ip address] action=[masquerade/src-nat] to address=[ip range]
1 - chain : برای مشخص کردن نوع NAT استفاده می شود.
2 - out-interface : اسم کارت شبکه روتر که می خواهیم بسته ها از آن خارج شوند را مشخص می کنیم.
3 - src-address : از این پارامتر برای مشخص کردن محدوده ی شبکه مبدا استفاده می شود
مثال هایی برای Src-Address :
3-1 - اعمال عملیات NAT بر روی یک سیستم خاص :
Src-address = 192.168.10.2
3-2 - اعمال عملیات NAT بر روی تمامی کلاینت های یک شبکه :
Src-address = 192.168.10.0/24
3-3 - اعمال عملیات NAT بر روی تعدادی از سیستم های یک شبکه :
در ادامه بصورت عملی این عملیات را پیاده سازی خواهیم کرد.
نکته : چنانچه بخواهیم تمامی کلاینت ها موجود در شبکه مبدا بتوانند بسته های خود را به سمت روتر ارسال کنند در src-address چیزی نمی نویسیم.
4 - dst-address : برای اعمال عملیات NAT بر روی سیستم هایی که مقصد آنها سیستم مشخصی است استفاده می شود.
نکته : چنانچه بخواهیم تمام بسته هایی که از روتر خارج می شوند بدون توجه به مقصد ، آنها را NAT کنیم پارامتر Dst-address را خالی می گذاریم.بنابراین تمامی بسته ها از روتر عبور می کنند.
5 - Action : عملیاتی که بر روی بسته ها انجام می شود توسط این پارامتر انجام می شود.
5-1 - Masquerade : در این روش IP روتر جایگزین فیلد Source IP در بسته ارسالی از سمت کلاینت می شود.در این حالت ارتباط به سمت شبکه خارجی توسط خود روتر برقرار می شود.چرا که آدرس IP روتر در فیلد Source IP جایگزین آدرس IP کلاینت می شود.
5-2 - Src-nat : در این روش یک یا چند IP خاص جایگزین Source IP در بسته ارسالی می شود بنابراین امنیت و کنترل بیشتری روی شبکه های محلی خود خواهید داشت.
6 - To Address : در این پارامتر تعدادی IP در نظر گرفته می شود و عملیات NAT برای هر سیستم با استفاده از یکی از این IP ها صورت میگیرد.در حقیقت برای انتساب آدرس IP به کلاینت ها Pooling تعریف می شود.
منطق Pooling به این صورت می باشد که هر Request که به سمت Nat Router فرستاده می شود یک IP انتساب داده می شود.زمانی که تمامی IP ها مورد استفاده قرار گرفت Request بعدی نمی تواند ارتباط برقرار کند و به حالت Wating وارد می شودتا زمانی که یکی از Request های قبلی ارتباط را قطع کند.
حالت های مختلف Pooling :
6-1 در پارامتر To Address می توان برای اعمال Nat بر روی بسته ها تنها یک IP را مشخص کرد.در مثال زیر مشخص کردیم تمامی سیستم هایی که می خواهند از روتر عبور کنند به آدرس 192.168.10.1 Nat شوند.
To Address : 192.168.10.1
6-2 - در پارامتر To Address می توان برای اعمال Nat بر روی بسته ها یک محدوده کامل از IP ها را مشخص کرد.
To Address : 192.168.10.0/24
6-3 - تعیین کردن یک محدوده ی مشخص از IP ها :
To Address : 192.168.10.1-192.168.10.25
در بخش های بعدی به چند سناریو می پردازیم :53::53:
بخش اول :
Firewall :
فایروال در لغت به معنی دیواره آتش می باشد که در کاربرد نیز همین مفهوم را دارد.زمانی که دو شبکه را به یکدیگر متصل می کنیم احتیاج به حافظت از هر یک نسبت به دیگری داریم که اکثر فایروال های امروزی برای حفاظت از یک شبکه در مقابل اینترنت استفاده میشوند.میکروتیک را می توان به عنوان یک فایروال قوی استفاده کرد.از قابلیت های فایروال میکروتیک ایجاد NAT و Filtering میتوان نام برد.
در شبکه معمولا فایروال را بر روی Gateway نصب می کنند که کار حفاظتی شبکه داخلی را از حملات خارجی را به عهده دارد.فایروال ها ممکن است استراتژی های مختلفی داشته باشند که بسته به نوع شبکه و سطوح امنیت آنها دارد.
در این فصل ما قابلیت NAT در میکروتیک را بررسی میکنیم و در فصل های بعد به بررسی Filtering و Mangle که از قابلیت های فایروال میکروتیک می باشد خواهیم پرداخت.
NAT :
NAT مخفف Network Address Translation می باشد فرایند تغییر در هدرهای یک بسته اطلاعاتی است و این تغییرات انواع مختلفی از Nat را ایجاد می کند.
ما برای شبکه ای داخلی از IP های Private استفاده می کنیم این IP ها در شبکه های محلی استفاده می شود و در دنیای (Wan )اینترنت قابل مسیریابی نیستند به همین خاطر یک سرویس به نام NAT به وجود آمد که آن را روی روتر راه اندازی می کنیم و با تنظیم این سرویس کامپیوترهای Private می توانند با کمک این سرویس IP آدرس Private را به IP آدرس Public ترجمه کنند و با کمک این IP به دنیای اینترنت ارتباط برقرار کنند.
انواع NAT :
بطور کلی ما دو روش برای اجرای NAT وجود دارد :
1 - Source Nat=Src Nat : در این روش آدرس IP مبدا تغییر می کند ( Nat می شود)
29541
2 - Destination Nat=Dst Nat : در این روش آدرس IP مقصد تغییر می کند ( Nat می شود)
29542
قاعده کلی برای تمام روش های NAT بصورت زیر می باشد :
هر بسته ای که روی کارت شبکه محلی روتر دریافت می شود عملیات جایگزینی ( NAT ) آدرس مبدا با آدرس اینترنتی (Public IP ) روترانجام می شود سپس بسته به مقصد ارسال می شود( Source Nat )
بعد از آن پاسخ این بسته از سمت سیستم گیرنده به روتر فرستاده می شود.روتر آدرس مقصد که آدرس اینترنتی روتر است را به آدرس
محلی سیستم فرستنده تغییر می دهد و در نهایت روتر بسته را به سیستم اصلی تحویل می دهد( Destination Nat )
تظیمات Source Nat در روتر :
[admin@Router-1]>ip firewall nat add chain=[srcnat/dstnat] out-interface=etherX src-address=[source ip address] dst-address=[destination ip address] action=[masquerade/src-nat] to address=[ip range]
1 - chain : برای مشخص کردن نوع NAT استفاده می شود.
2 - out-interface : اسم کارت شبکه روتر که می خواهیم بسته ها از آن خارج شوند را مشخص می کنیم.
3 - src-address : از این پارامتر برای مشخص کردن محدوده ی شبکه مبدا استفاده می شود
مثال هایی برای Src-Address :
3-1 - اعمال عملیات NAT بر روی یک سیستم خاص :
Src-address = 192.168.10.2
3-2 - اعمال عملیات NAT بر روی تمامی کلاینت های یک شبکه :
Src-address = 192.168.10.0/24
3-3 - اعمال عملیات NAT بر روی تعدادی از سیستم های یک شبکه :
در ادامه بصورت عملی این عملیات را پیاده سازی خواهیم کرد.
نکته : چنانچه بخواهیم تمامی کلاینت ها موجود در شبکه مبدا بتوانند بسته های خود را به سمت روتر ارسال کنند در src-address چیزی نمی نویسیم.
4 - dst-address : برای اعمال عملیات NAT بر روی سیستم هایی که مقصد آنها سیستم مشخصی است استفاده می شود.
نکته : چنانچه بخواهیم تمام بسته هایی که از روتر خارج می شوند بدون توجه به مقصد ، آنها را NAT کنیم پارامتر Dst-address را خالی می گذاریم.بنابراین تمامی بسته ها از روتر عبور می کنند.
5 - Action : عملیاتی که بر روی بسته ها انجام می شود توسط این پارامتر انجام می شود.
5-1 - Masquerade : در این روش IP روتر جایگزین فیلد Source IP در بسته ارسالی از سمت کلاینت می شود.در این حالت ارتباط به سمت شبکه خارجی توسط خود روتر برقرار می شود.چرا که آدرس IP روتر در فیلد Source IP جایگزین آدرس IP کلاینت می شود.
5-2 - Src-nat : در این روش یک یا چند IP خاص جایگزین Source IP در بسته ارسالی می شود بنابراین امنیت و کنترل بیشتری روی شبکه های محلی خود خواهید داشت.
6 - To Address : در این پارامتر تعدادی IP در نظر گرفته می شود و عملیات NAT برای هر سیستم با استفاده از یکی از این IP ها صورت میگیرد.در حقیقت برای انتساب آدرس IP به کلاینت ها Pooling تعریف می شود.
منطق Pooling به این صورت می باشد که هر Request که به سمت Nat Router فرستاده می شود یک IP انتساب داده می شود.زمانی که تمامی IP ها مورد استفاده قرار گرفت Request بعدی نمی تواند ارتباط برقرار کند و به حالت Wating وارد می شودتا زمانی که یکی از Request های قبلی ارتباط را قطع کند.
حالت های مختلف Pooling :
6-1 در پارامتر To Address می توان برای اعمال Nat بر روی بسته ها تنها یک IP را مشخص کرد.در مثال زیر مشخص کردیم تمامی سیستم هایی که می خواهند از روتر عبور کنند به آدرس 192.168.10.1 Nat شوند.
To Address : 192.168.10.1
6-2 - در پارامتر To Address می توان برای اعمال Nat بر روی بسته ها یک محدوده کامل از IP ها را مشخص کرد.
To Address : 192.168.10.0/24
6-3 - تعیین کردن یک محدوده ی مشخص از IP ها :
To Address : 192.168.10.1-192.168.10.25
در بخش های بعدی به چند سناریو می پردازیم :53::53: