Zasadniczo translacja adresów sieciowych (NAT) jest istotnym mechanizmem w świecie sieci. Po pierwsze, umożliwia wielu urządzeniom współdzielenie jednego publicznego adresu IP. Dodatkowo poprawia bezpieczeństwo i skutecznie zarządza brakami adresów IPv4.
Na końcu artykułu znajdziesz mały test to ci pozwoli oceniać wiedzę zdobytą w tej lekturze
Etap
Wyobraź sobie biuro, w którym kilku pracowników korzysta z urządzeń podłączonych do Internetu. Bez NAT każde urządzenie wymagałoby własnego publicznego adresu IP. Wręcz przeciwnie, dzięki NAT wszystkie urządzenia mogą współdzielić jeden publiczny adres IP, oszczędzając adresy IP i upraszczając zarządzanie siecią.
Rodzaje adresów IP
Aby zrozumieć, jak to działa, ważne jest, aby znać typy adresów IP biorących udział w tym procesie.
- Po pierwsze, są to prywatne adresy IP przypisane każdemu urządzeniu w sieci wewnętrznej.
- Po drugie, istnieją publiczne adresy IP, używane do komunikacji z urządzeniami zewnętrznymi przez Internet.
NAT działa jako pośrednik, tłumacząc prywatne adresy IP na publiczne adresy IP i odwrotnie.
Przykład ilustrujący proces
Załóżmy, że pracownik chce uzyskać dostęp do strony internetowej ze swojego komputera.
- Komputer wysyła żądanie, którego źródłem jest jego prywatny adres IP.
- NAT po otrzymaniu żądania tłumaczy je, zastępując prywatny adres IP publicznym adresem IP przypisanym do routera.
- W ten sposób żądanie dociera do serwera WWW, którego nadawcą jest publiczny adres IP.
- Gdy serwer odpowie, odpowiedź jest wysyłana na publiczny adres IP.
- NAT ponownie włącza się i tłumaczy publiczny adres IP na odpowiadający mu prywatny adres IP, umożliwiając komputerowi otrzymanie odpowiedzi.
Należy pamiętać, że istnieją różne typy NAT:
- statyczny NAT
- dynamiczny NAT
- Translacja adresów portów (PAT).
Każdy z nich ma swoją własną charakterystykę i specyficzne zastosowania.
Na przykład, statyczny NAT przypisuje unikalny publiczny adres IP do każdego prywatnego adresu IP, podczas gdy dynamiczny NAT korzysta z puli publicznych adresów IP przydzielanych rotacyjnie.
Ze swojej strony, PAT umożliwia wielu urządzeniom współdzielenie jednego publicznego adresu IP poprzez translację numerów portów zamiast adresów IP.
Podsumowując
Umożliwiając wielu urządzeniom współdzielenie jednego publicznego adresu IP, optymalizujesz wykorzystanie adresów IPv4 i poprawiasz bezpieczeństwo sieci wewnętrznych.
Dodatkowo jego zdolność do tłumaczenia prywatnych adresów IP na publiczne adresy IP i odwrotnie ułatwia komunikację między urządzeniami wewnętrznymi i zewnętrznymi, zapewniając w ten sposób wydajną i bezproblemową obsługę.
Jak wdrożyć NAT w MikroTik RouterOS
Następnie wyjaśnimy szczegółowo, jak wdrożyć NAT na urządzeniu MikroTik za pomocą RouterOS.
1.- Uzyskaj dostęp do interfejsu RouterOS
Najpierw musisz uzyskać dostęp do interfejsu administracyjnego swojego urządzenia MikroTik. Można to zrobić za pomocą narzędzia graficznego „Winbox” w systemie Windows lub poprzez interfejs sieciowy.
2.- Przejdź do konfiguracji NAT
Po wejściu do interfejsu RouterOS przejdź do sekcji „IP” w menu głównym i wybierz „Firewall”. Tutaj znajdziesz kilka zakładek, w tym „NAT”.
3.- Dodaj nową regułę NAT
Kliknij przycisk „Dodaj” (symbolizowany znakiem „+”), aby utworzyć nową regułę NAT. Otworzy się okno konfiguracji, w którym możesz zdefiniować właściwości reguły.
4.- Zdefiniuj łańcuch i działanie
W oknie konfiguracji reguły wybierz odpowiedni łańcuch, czyli „srcnat” dla źródłowego NAT lub „dstnat” dla docelowego NAT. Następnie wybierz akcję, którą chcesz wykonać, np. „maskarada” dla źródłowego NAT lub „dst-nat” (tłumaczenie adresu docelowego) dla docelowego NAT.
5.- Ustal warunki reguły
Na tym etapie należy określić warunki, w jakich będzie stosowana reguła NAT. Na przykład, jeśli chcesz zastosować źródłowy NAT dla ruchu wychodzącego z sieci wewnętrznej do Internetu, możesz skonfigurować opcję „Out. Interface” jako interfejs WAN i „Adres” w polu „Src. Adres” jako zakres prywatnych adresów IP w Twojej sieci wewnętrznej.
6.- Skonfiguruj translację adresu i portu
Jeśli konfigurujesz docelowy NAT, musisz określić, w jaki sposób adresy IP i numery portów powinny być tłumaczone. W zakładce „Akcja” wybierz akcję „dst-nat”, a następnie ustaw odpowiednio „Do adresów” i „Do portów”.
7.- Zapisz i zastosuj regułę
Po skonfigurowaniu wszystkich niezbędnych parametrów kliknij „OK”, aby zapisać regułę. Nowa reguła NAT pojawi się na liście reguł w zakładce „NAT” zapory sieciowej.
8.- Sprawdź i monitoruj regułę
Aby upewnić się, że reguła NAT działa poprawnie, sprawdź ruch przechodzący przez regułę i przejrzyj statystyki dostarczane przez RouterOS. W razie potrzeby dostosuj ustawienia reguły, aby poprawić jej działanie lub rozwiązać problemy.
Konfiguracja na routerze MikroTik za pomocą wiersza poleceń
Oto przykład konfiguracji źródłowego NAT (maskarady) na urządzeniu MikroTik za pomocą wiersza poleceń. Ta konfiguracja umożliwia urządzeniom w sieci wewnętrznej dostęp do Internetu przy użyciu publicznego adresu IP przypisanego do routera MikroTik.
Załóżmy, że interfejs WAN (połączenie internetowe) to „ether1”, a zakres prywatnych adresów IP sieci wewnętrznej to „192.168.1.0/24”. Źródłowa konfiguracja NAT (maskarada) wyglądałaby następująco:
# Ingresa al terminal del router MikroTik
[admin@MikroTik] >
# Configura la interfaz WAN
[admin@MikroTik] > interface set ether1 name=WAN
# Configura la dirección IP en la interfaz WAN (asumiendo que tu ISP te proporciona una dirección IP dinámica)
[admin@MikroTik] > ip dhcp-client add interface=WAN disabled=no
# Configura la dirección IP en la interfaz LAN (la interfaz que se conecta a la red interna)
[admin@MikroTik] > ip address add address=192.168.1.1/24 interface=LAN
# Agrega la regla de NAT de origen (masquerade) para el tráfico que sale de la red interna hacia Internet
[admin@MikroTik] > ip firewall nat add chain=srcnat out-interface=WAN action=masquerade
Ten przykład dotyczy konfiguracji docelowego NAT (dst-nat) na urządzeniu MikroTik przy użyciu wiersza poleceń. Ta konfiguracja umożliwia użytkownikom Internetu dostęp do wewnętrznego serwera WWW (na przykład 192.168.1.100) na porcie 80 poprzez publiczny adres IP routera MikroTik.
Załóżmy, że interfejs WAN to „ether1”, a publiczny adres IP przypisany do routera MikroTik to „203.0.113.2”. Docelowa konfiguracja NAT wyglądałaby następująco:
# Ingresa al terminal del router MikroTik
[admin@MikroTik] >
# Configura la interfaz WAN
[admin@MikroTik] > interface set ether1 name=WAN
# Configura la dirección IP en la interfaz WAN (asumiendo que tu ISP te proporciona una dirección IP estática)
[admin@MikroTik] > ip address add address=203.0.113.2/24 interface=WAN
# Agrega la regla de NAT de destino (dst-nat) para el tráfico que ingresa desde Internet hacia el servidor web interno
[admin@MikroTik] > ip firewall nat add chain=dstnat dst-address=203.0.113.2 protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.1.100 to-ports=80
Te przykłady konfiguracji mają zastosowanie, jeśli używasz wiersza poleceń w RouterOS. Możesz jednak zastosować te ustawienia również za pomocą narzędzia graficznego „Winbox” lub interfejsu internetowego, postępując zgodnie z powyższymi krokami.