Translacja, mapowanie i przekierowania portów w urządzeniach UTM NETASQ

NAT (ang. Network Address Translation) jest usługa polegająca na zmianie źródłowych i docelowych adresów IP pakietów przechodzących przez router. Funkcja translacji adresów jest wręcz niezbędna, kiedy provider internetowy (ISP) przydzielił firmie liczbę adresów IP mniejszą od liczby hostów w sieci LAN mających mieć dostęp do Internetu. Jest dość powszechną sytuacją. Funkcjię natowania podzielić można na dwa typy: source NAT, czyli usługa zmiany źródłowego adresu IP pakietu na inny adres, oraz destination NAT polegający na zmianie docelowego adresu IP.

W zależności od ilości publicznych adresów IP, topologii sieci, ilości serwerów, administrator może skorzystać z różnych rodzajów funkcji NAT. Poniższa instrukcja pokazuje 3 najczęstsze zastosowania translacji oraz sposób jego konfigurowania w wielofunkcyjnym firewallu NETASQ UTM. Ustawienie reguł NATu dokonuje się w aplikacji do zarządzania NETASQ Unified Manager. W lewym menu przejdź do sekcji Policy -> NAT. Wyświetli się okno z 10 zestawami reguł translacji. Wybierz jeden z nich i kliknij Edit.

Wpisz nazwę zestawu w polu Slote name.

MAP

Funkcja map służy do tłumaczenia dowolnej liczby adresów IP z jednej podsieci na jeden adres IP publiczny. Komputery z sieci wewnętrznej widoczne są w Internecie pod jednym publicznym adresem IP. Aby hosty miały dostęp do Internetu urządzenie NETASQ dokonuje zamiany źródłowego adresu IP pakietów wychodzących z sieci LAN. Taki rodzaj translacji określany jest również jako translacja n:1.

Uruchom regułę klikając dwukrotnie w kolumnie Status (On). W polu Action wskaż map. Jako Original source wybierz adres źródłowy pakietu. Z okna poniżej wskaż obiekt i umieść go w polu kolumny. W tym przypadku będzie to cała sieć wewnętrzna, czyli network_bridge. Reguła ta ma dotyczyć wszystkich połączeń do dowolnej lokalizacji w Internecie, więc kolumnie Destination pozostaw ustawienie <Any>. Destination port również pozostaw jako <Any>. Reguła będzie dotyczyła każdej usługi. W kolumnie Translated zaznacz adres interfejsu zewnętrznego, na którego adres zamieniany będzie adres źródłowy pakietów. W tym przypadku adres interfejsu to firewall_out.

BIMAP

Innym zastosowaniem funkcji natowania jest wykorzystanie go, gdy jeden z serwerów z sieci wewnętrznej (odseparowany w strefie DMZ) ma być widoczny w Internecie pod osobnym publicznym adresem IP. Adres źródłowy połączenia wychodzącego z serwera będzie tłumaczony na adres zewnętrzny firewalla. Z kolei docelowy adres IP połączenia przychodzącego do serwera znajdującego się w DMZ tłumaczony będzie przez router na niepubliczny adres IP serwera w sieci. Funkcja dwukierunkowego mapowania określana jest jako bi-directional map. Zwana jest również jako mapowanie 1:1 lub n:n, kiedy dotyczy dwóch podsieci.

Dodaj nową regułę klikając „+”. W kolumnie status zaznacz On. W polu Action wskaż bidirectional map. Jako Original source wybierz adres źródłowy pakietu, np. jeden z serwerów. W kolumnie Destination pozostaw <Any> jako, że serwer będzie się łączył z dowolna lokalizacją w Internecie. W kolumnie Destination port pozostaw bez zmian <Any>. W kolumnie Translated zaznacz odpowiedni adres interfejsu zewnętrznego pod jakim ma być widoczny w Internecie serwer.

REDIRECT

Jeśli kilka serwerów z sieci wewnętrznej widocznych ma być pod jednym adresem publicznym, wtedy niezbędne jest przekierowanie połączenia na odpowiedni z serwerów. Robi się to z wykorzystaniem opcji redirect, która jest trzecim sposobem wykorzystania translacji adresów.

Skonfiguruj regułę przekierowania w następujący sposób. Aktywuj regułę w kolumnie Status. Jako interfejs wskaż interfejs zewnętrzny Out. W kolumnie Action wybierz redirect. Jako Original source wybierz <Any>. W polu Destination wstaw obiekt reprezentujący sieć na zewnątrz np. firewall_out. W pierwszym przypadku portem docelowym będzie odpowiedni port dla ruchu http. NETASQ przetłumaczy adres docelowy na prywatny adres IP serwera w sieci LAN, wskaż więc w kolumnie Translated odpowiedni obiekt np. serwer_web2. W kolumnie Translated port wybierz port, na który przekierowane zostanie połączenie do serwera_web2. Według tej zasady możesz ustawić przekierowanie na serwer ftp czy serwer pocztowy smtp.

Podobnie jak w przypadku firewalla, filtra URL, tuneli IPSec VPN konfigurację natowania w urządzeniach NETASQ UTM można dostosować do firmowej polityki bezpieczeństwa z wykorzystaniem harmonogramu (slot scheduler).

bimap, map, nat, porty, przekierowanie, redirect

Komentuj

UTM NETASQ

Firma NETASQ

Firma NETASQ powstała w 1998 roku w Villeneuve d'Ascq we Francji i od tego czasu specjalizuje się w rozwiązaniach do zintegrowanego zabezpieczenia sieci. Jako główny cel firma postawiła sobie dostarczanie rozwiązań zapewniających ten sam, najwyższy poziom bezpieczeń dla firmy niezależnie od ich wielkości.

Urządzenia NETASQ UTM posiadają m.in certyfikację Common Criteria EAL4+ na kluczone funkcje urządzeń czyli firewall, system wykrywania i blokowania włamań oraz VPN.

UTM NETASQ | Blog

Nie taki NETASQ straszny, jak go malują