Tīkla adrešu tulkošana (NAT) būtībā ir būtisks mehānisms tīklu pasaulē. Pirmkārt, tas ļauj vairākām ierīcēm koplietot vienu publisku IP adresi. Turklāt tas uzlabo drošību un efektīvi pārvalda IPv4 adrešu trūkumu.
Raksta beigās jūs atradīsiet nelielu pārbaude kas jums ļaus noteikt šajā lasījumā iegūtās zināšanas
Scenārijs
Iedomājieties biroju ar vairākiem darbiniekiem, kuri izmanto internetam pieslēgtas ierīces. Bez NAT katrai ierīcei būtu nepieciešama sava publiskā IP adrese. Gluži pretēji, pateicoties NAT, visas ierīces var koplietot vienu publisku IP adresi, saglabājot IP adreses un vienkāršojot tīkla pārvaldību.
IP adrešu veidi
Lai saprastu, kā tas darbojas, ir svarīgi zināt procesā iesaistīto IP adrešu veidus.
- Pirmkārt, katrai ierīcei iekšējā tīklā ir piešķirtas privātās IP adreses.
- Otrkārt, ir publiskas IP adreses, ko izmanto, lai sazinātos ar ārējām ierīcēm internetā.
NAT darbojas kā starpnieks, pārvēršot privātās IP adreses publiskās IP adresēs un otrādi.
Piemērs procesa ilustrēšanai
Pieņemsim, ka darbinieks vēlas piekļūt tīmekļa lapai no sava datora.
- Dators nosūta pieprasījumu ar savu privāto IP adresi kā avotu.
- NAT, saņemot pieprasījumu, to pārtulko, aizstājot privāto IP adresi ar maršrutētājam piešķirto publisko IP adresi.
- Tādā veidā pieprasījums sasniedz tīmekļa serveri ar publisko IP adresi kā sūtītāju.
- Kad serveris atbild, atbilde tiek nosūtīta uz publisko IP adresi.
- NAT atkal iedarbojas un pārvērš publisko IP adresi atbilstošā privātajā IP adresē, ļaujot datoram saņemt atbildi.
Ir svarīgi atzīmēt, ka pastāv dažādi NAT veidi:
- statisks NAT
- dinamisks NAT
- Portu adrešu tulkošana (PAT).
Katram no tiem ir savas īpašības un specifisks pielietojums.
Piemēram, statisks NAT piešķir unikālu publisko IP adresi katrai privātajai IP adresei, savukārt dinamisks NAT izmanto publisku IP adrešu kopu, kas tiek piešķirtas pēc rotācijas principa.
Savukārt PAT ļauj vairākām ierīcēm koplietot vienu publisku IP adresi, tulkojot portu numurus, nevis IP adreses.
Kopumā
Ļaujot vairākām ierīcēm koplietot vienu publisku IP adresi, jūs optimizējat IPv4 adrešu izmantošanu un uzlabojat iekšējo tīklu drošību.
Turklāt tā spēja pārveidot privātās IP adreses publiskās IP adresēs un otrādi atvieglo saziņu starp iekšējām un ārējām ierīcēm, tādējādi nodrošinot efektīvu un netraucētu lietotāja pieredzi.
Kā ieviest NAT ar MikroTik RouterOS
Tālāk mēs detalizēti paskaidrosim, kā ieviest NAT MikroTik ierīcē, izmantojot RouterOS.
1.- Piekļūstiet RouterOS saskarnei
Vispirms jums ir jāpiekļūst MikroTik ierīces administrēšanas saskarnei. To var izdarīt, izmantojot Windows grafisko rīku “Winbox” vai tīmekļa saskarni.
2.- Pārejiet uz NAT konfigurāciju
Kad esat nokļuvis RouterOS saskarnē, galvenajā izvēlnē dodieties uz sadaļu “IP” un atlasiet “Ugunsmūris”. Šeit atradīsit vairākas cilnes, tostarp “NAT”.
3.- Pievienojiet jaunu NAT kārtulu
Noklikšķiniet uz pogas “Pievienot” (simbolizē ar “+” zīmi), lai izveidotu jaunu NAT noteikumu. Tiks atvērts konfigurācijas logs, kurā varat definēt kārtulas rekvizītus.
4.- Definējiet ķēdi un darbību
Noteikumu konfigurācijas logā atlasiet atbilstošo ķēdi, kas ir “srcnat” avota NAT vai “dstnat” mērķa NAT. Pēc tam izvēlieties darbību, ko vēlaties veikt, piemēram, “masquerade” avota NAT vai “dst-nat” (galamērķa adreses tulkojums) galamērķa NAT.
5.- Izveidojiet noteikuma nosacījumus
Šajā posmā ir jānorāda nosacījumi, saskaņā ar kuriem tiks piemērota NAT kārtula. Piemēram, ja vēlaties lietot avota NAT datplūsmai, kas iziet no jūsu iekšējā tīkla uz internetu, varat konfigurēt “Out. Interfeiss” kā WAN interfeiss un “Adrese” sadaļā “Src. Adrese” kā privāto IP adrešu diapazonu jūsu iekšējā tīklā.
6.- Konfigurējiet adreses un porta tulkošanu
Ja konfigurējat galamērķa NAT, jums jānorāda, kā jātulko IP adreses un portu numuri. Cilnē “Darbība” kā darbību atlasiet “dst-nat” un pēc tam iestatiet “Uz adresēm” un “Uz portiem”.
7.- Saglabājiet un piemērojiet noteikumu
Kad esat konfigurējis visus nepieciešamos parametrus, noklikšķiniet uz “OK”, lai saglabātu noteikumu. Jaunā NAT kārtula parādīsies kārtulu sarakstā ugunsmūra cilnē NAT.
8.- Pārbaudiet un uzraugiet noteikumu
Lai pārliecinātos, ka NAT kārtula darbojas pareizi, pārbaudiet trafiku, kas šķērso kārtulu, un pārskatiet RouterOS sniegto statistiku. Ja nepieciešams, pielāgojiet kārtulas iestatījumus, lai uzlabotu tā veiktspēju vai novērstu problēmas.
Konfigurācija MikroTik maršrutētājā ar komandrindu
Šeit ir piemērs, kā konfigurēt avota NAT (maskurādi) MikroTik ierīcē, izmantojot komandrindu. Šī konfigurācija ļauj iekšējā tīkla ierīcēm piekļūt internetam, izmantojot MikroTik maršrutētājam piešķirto publisko IP adresi.
Pieņemsim, ka WAN interfeiss (interneta savienojums) ir “ether1” un iekšējā tīkla privātā IP adrešu diapazons ir “192.168.1.0/24”. Avota NAT konfigurācija (maskerāde) izskatītos šādi:
# Ingresa al terminal del router MikroTik
[admin@MikroTik] >
# Configura la interfaz WAN
[admin@MikroTik] > interface set ether1 name=WAN
# Configura la dirección IP en la interfaz WAN (asumiendo que tu ISP te proporciona una dirección IP dinámica)
[admin@MikroTik] > ip dhcp-client add interface=WAN disabled=no
# Configura la dirección IP en la interfaz LAN (la interfaz que se conecta a la red interna)
[admin@MikroTik] > ip address add address=192.168.1.1/24 interface=LAN
# Agrega la regla de NAT de origen (masquerade) para el tráfico que sale de la red interna hacia Internet
[admin@MikroTik] > ip firewall nat add chain=srcnat out-interface=WAN action=masquerade
Šis piemērs ir paredzēts galamērķa NAT (dst-nat) konfigurēšanai MikroTik ierīcē, izmantojot komandrindu. Šī konfigurācija ļauj interneta lietotājiem piekļūt iekšējam tīmekļa serverim (piemēram, 192.168.1.100) 80. portā, izmantojot MikroTik maršrutētāja publisko IP adresi.
Pieņemsim, ka WAN interfeiss ir “ether1” un MikroTik maršrutētājam piešķirtā publiskā IP adrese ir “203.0.113.2”. Mērķa NAT konfigurācija izskatītos šādi:
# Ingresa al terminal del router MikroTik
[admin@MikroTik] >
# Configura la interfaz WAN
[admin@MikroTik] > interface set ether1 name=WAN
# Configura la dirección IP en la interfaz WAN (asumiendo que tu ISP te proporciona una dirección IP estática)
[admin@MikroTik] > ip address add address=203.0.113.2/24 interface=WAN
# Agrega la regla de NAT de destino (dst-nat) para el tráfico que ingresa desde Internet hacia el servidor web interno
[admin@MikroTik] > ip firewall nat add chain=dstnat dst-address=203.0.113.2 protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.1.100 to-ports=80
Šie konfigurācijas piemēri ir piemērojami, ja RouterOS izmantojat komandrindu. Tomēr šos iestatījumus varat lietot arī, izmantojot grafisko rīku “Winbox” vai tīmekļa saskarni, veicot iepriekš minētās darbības.