Saludos! Bienvenido a la quinta lección de
Fortinet Getting Started . En la
última lección, descubrimos cómo funcionan las políticas de seguridad. Ahora es el momento de liberar usuarios locales en Internet. Para hacer esto, en esta lección veremos cómo funciona el mecanismo NAT.
Además de liberar a los usuarios a Internet, también consideraremos el método de publicación de servicios internos. Debajo del gato, se presenta una breve teoría del video, así como la propia lección en video.
La traducción de direcciones de red (NAT) es un mecanismo para traducir direcciones IP de paquetes de red. En términos de Fortinet NAT, se divide en dos tipos: NAT de origen y NAT de destino.
Los nombres hablan por sí mismos: cuando se usa Source NAT, la dirección de la fuente cambia, cuando se usa Destination NAT, la dirección de destino.
Además de esto, también hay varias opciones de configuración de NAT: Firewall Policy NAT y Central NAT.
Cuando se utiliza la primera opción, el NAT de origen y destino debe configurarse para cada política de seguridad. En este caso, Source NAT utiliza la dirección IP de la interfaz saliente o el conjunto de IP preconfigurado. El NAT de destino utiliza un objeto preconfigurado (llamado VIP - IP virtual) como la dirección de destino.
Cuando se usa NAT central, la configuración de NAT de origen y destino se realiza inmediatamente para todo el dispositivo (o dominio virtual). En este caso, la configuración de NAT se aplica a todas las políticas, según las reglas de NAT de origen y NAT de destino.
Las reglas de NAT de origen se configuran en la política central de NAT de origen. El NAT de destino se configura desde el menú DNAT utilizando direcciones IP.
En esta lección, solo consideraremos la NAT de la política de firewall: como muestra la práctica, esta opción de configuración es mucho más común que la NAT central.
Como ya dije, al configurar NAT de la fuente de política de firewall, hay dos opciones de configuración: reemplazar la dirección IP con la dirección de la interfaz saliente, o con la dirección IP del grupo preconfigurado de direcciones IP. Se parece a la imagen de abajo. A continuación, hablaré brevemente sobre posibles grupos, pero en la práctica, solo consideraremos la opción con la dirección de la interfaz saliente; en nuestro diseño, no necesitamos grupos de direcciones IP.
El grupo de IP define una o más direcciones IP que se utilizarán como la dirección de origen durante la sesión. Estas direcciones IP se utilizarán en lugar de la dirección IP de la interfaz FortiGate saliente.
Hay 4 tipos de grupos de IP que se pueden configurar en FortiGate:
- Sobrecarga
- Uno a uno
- Rango de puerto fijo
- Asignación de bloque de puerto
La sobrecarga es el grupo principal de IP. En él, las direcciones IP se convierten según el esquema muchos a uno o muchos a varios. También se usa la traducción de puertos. Considere el circuito que se muestra en la figura a continuación. Tenemos un paquete con ciertos campos Origen y Destino. Si corresponde a una política de firewall que permite el acceso de este paquete a una red externa, se aplicará la regla NAT. Como resultado, en este paquete, el campo Origen se reemplaza con una de las direcciones IP especificadas en el grupo de IP.
Un grupo de tipo One to One también define muchas direcciones IP externas. Cuando un paquete cae dentro de una política de firewall con la regla NAT habilitada, la dirección IP en el campo Fuente cambia a una de las direcciones que pertenecen a este grupo. El reemplazo se realiza de acuerdo con la regla: "primer ingreso, primer servicio". Para hacerlo más claro, considere un ejemplo.
Una computadora de la red local con la dirección IP 192.168.1.25 envía el paquete a la red externa. Cae bajo la regla NAT, y el campo Fuente cambia a la primera dirección IP del grupo, en nuestro caso es 83.235.123.5. Vale la pena señalar que cuando se usa este grupo de IP, no se usa la traducción de puertos. Si después de eso, una computadora de la misma red de área local con una dirección, digamos 192.168.1.35, envía un paquete a una red externa y también cae bajo esta regla NAT, la dirección IP en el campo Fuente de este paquete cambiará a 83.235.123.6. Si no hay más direcciones en el grupo, se rechazarán las conexiones posteriores. Es decir, en este caso, bajo nuestra regla NAT, 4 computadoras pueden caer simultáneamente.
FIxed Port Range conecta rangos internos y externos de direcciones IP. La traducción del puerto también está deshabilitada. Esto le permite corregir el comienzo o el final del grupo de direcciones IP internas con el principio o el final del grupo de direcciones IP externas. En el siguiente ejemplo, el grupo de direcciones internas 192.168.1.25 - 192.168.1.28 se asigna al grupo de direcciones externas 83.235.123.5 - 83.235.125.8.
Asignación de bloque de puerto: este grupo de IP se utiliza para asignar un bloque de puertos a los usuarios del grupo de IP. Además del grupo de IP en sí, también deben indicarse aquí dos parámetros: el tamaño del bloque y el número de bloques asignados para cada usuario.
Ahora considere la tecnología de Destination NAT. Se basa en direcciones IP virtuales (VIP). Para los paquetes que caen bajo las reglas NAT de destino, la dirección IP en el campo Destino cambia: por lo general, la dirección de Internet pública se cambia a la dirección del servidor privado. Las direcciones IP virtuales se utilizan en las políticas de firewall como el campo Destino.
El tipo estándar de dirección IP virtual es NAT estática. Esta correspondencia de direcciones externas e internas es uno a uno.
En lugar de NAT estática, las direcciones virtuales pueden limitarse a reenviar puertos específicos. Por ejemplo, asocie las conexiones a una dirección externa en el puerto 8080 con una conexión a una dirección IP interna en el puerto 80.
En el siguiente ejemplo, la computadora con la dirección 172.17.10.25 está intentando acceder a la dirección 83.235.123.20 en el puerto 80. Esta conexión está sujeta a la regla DNAT, por lo que la dirección IP de destino cambia a 10.10.10.10.
El video discute la teoría y proporciona ejemplos prácticos de configuración de NAT de origen y destino.
En la próxima lección, pasaremos a garantizar la seguridad del usuario en Internet. Específicamente, en la próxima lección consideraremos la funcionalidad del filtrado web y el control de aplicaciones. Para no perderse, esté atento a las actualizaciones en los siguientes canales:
YoutubeGrupo VKontakteYandex ZenNuestro sitioCanal de telegrama