Застосування технології трансляції мережевих адрес

Трансляція мережевих адрес (NAT) – технологія, яка дозволяє маршрутизатору виконувати функцію проксі-сервера з приховування інфор-ції про вузли внутрішньої мережі З метою приховування інформації про внутрішню мережі, маршрутизатор з NAT функціонує наступним чином:

– При передачі запитів клієнтів мережі, що захищається в зовнішню мережу за-змінює їх IP-адреси на IP-адресу свого зовнішнього інтерфейсу (може викорис-зоваться і діапазон IP-адрес)

– При поверненні відповідей серверів клієнтам виробляє зворотну заміну:

свою адресу в поле одержувача змінює на адресу клієнта, що відправив результат-

ний запит (рис 326)

Рис 326 Технологія NAT

Перевага використання трансляції мережевих адрес полягає в тому, що при підключенні внутрішньої мережі до мережі Інтернет технологія NAT дозволяє істотно збільшити адресний простір за рахунок використан- ня IP-адрес з діапазону приватних мереж, що не оброблюваних маршрутіза-торами Інтернет

Існує кілька методів реалізації NAT Одні транслятори ад-

ресов здійснюють це за допомогою статичного присвоювання адрес (static address assignment), при цьому адреса клієнта внутрішньої мережі повязує-ся з фіксованим зовнішнім IP-адресою Інші транслятори, функціонує-ючий за принципом динамічного привласнення адрес (dynamic address assignment), виділяють клієнтам внутрішньої мережі зовнішній IP-адресу по мірі надходження запитів Після звільнення клієнтом зовнішнього IP-адреси він повертається маршрутизатором в список вільних адрес і може бути наданий іншому клієнту

Концепція трансляції мережевих адрес, про яку йшла мова до цих пір,

зазвичай називається базовою трансляцією адрес (basic NAT) Її реалізація вимагає наявності декількох зовнішніх IP-адрес для забезпечення одночасним-

менной роботи декількох клієнтів внутрішньої мережі Це означає, що чис-

ло зовнішніх IP-адрес маршрутизатора з NAT має дорівнювати максі-мально можливого числа активних вихідних зєднань Щоб роз-рить число можливих вихідних зєднань і при цьому не збільшувати кіль-кість відведених маршрутизатора зовнішніх адрес у новій формі NAT, яка називається трансляцією портів мережевих адрес (NAPT), використовує-ся заміна одночасно і IP-адреси та номера порту відправника Таким обра-зом, один IP-адресу можна розподілити між безліччю клієнтів внут-Ренн мережі просто за рахунок зміни номера порту відправника Іноді для позначення NAPT вживаються терміни «PAT» (Трансляція адрес пор-тів) і «Overloading NAT»

Нехай для захисту внутрішньої мережі використовується схема МЕ на основі фільтруючого маршрутизатора з включеною функцією NAT У навчальних це-

лях для пакетного фільтра ніякі правила фільтрації не визначаються

ВИКОНАТИ

17 На маршрутизаторі «FW-W98» включити функцію NAT для зовнішнього се-тевого інтерфейсу МЕ У програмі WinRoute функція NAT включається за допомогою діалогового вікна, яке викликається командою меню Set-

tings Interface Table… (Рис 327)

Рис 327 Включення функції NAT в WinRoute

18 Перевірити, що для внутрішніх клієнтів існує можливість досту-

па до зовнішніх серверів «OUT1» і «OUT2»

19 Перевірити, що для зовнішніх клієнтів відсутня можливість доступу до внутрішнього сервера «IN»

20 Одночасно на двох клієнтах внутрішньої мережі запустити команду Ping з параметром-t до одного і того ж зовнішньому вузлу Пояснити, на якій інформації грунтується рішення МЕ з розподілу зворотного тра-Фіка між клієнтами при виконанні функції NAT

Технологія, звана векторизацией адрес («address vectoring») або перенаправленням портів («port mapping»), по суті, є зворотною NAT і

служить для забезпечення можливості доступу ззовні до деяких вузлів за-щіщают за допомогою NAT мережі МЕ з включеною функцією перенаправлені-ня портів приймає запит на зєднання від зовнішнього клієнта і у разі

допустимості запиту, що поступив переадресовує його у внутрішню мережу на вказаний в таблиці перенаправлення вузол, причому порт призначення внутрішнього вузла не обовязково має співпадати з портом призначення в за-

просі зовнішнього вузла (рис 328)

Рис 328 Технологія векторизації адрес

Нехай при початкових умовах попередньої задачі необхідно додат-Передачі надати доступ зовнішніх клієнтів «OUT1» і «OUT2» до серве-рам Web і FTP на внутрішньому вузлі «IN» відповідно

У програмі WinRoute функція векторизації адрес включається по-

сле додавання записів в таблицю перепризначення портів допомогою діалогу-

гового вікна, яке викликається командою меню Settings Advanced Port

Mapping.. (Рис 329) Прослуховується IP-адресу (Listen IP) можна залишити в

значенні за замовчуванням, а для вказівки вузлів, яким дозволений доступ у внутрішню мережу (поле «Allow access only from»), необхідно поперед-

але створити адресну групу

Рис 329 Створення таблиці векторизації адрес

ВИКОНАТИ

21 Створити адресну групу для web-сервісу, включивши в неї вузол «OUT1»

22 Створити адресну групу для FTP-сервісу, включивши в неї вузол «OUT2»

У програмі WinRoute для створення адресних груп використовується пункт ме-

ню Settings Advanced Address Groups…

23 Створити відповідні задачі записи таблиці перепризначення портів

24 Перевірити, що для клієнта «OUT1» існує можливість доступу до

web-серверу на внутрішньому вузлі «IN»

25 Перевірити, що для клієнта «OUT2» існує можливість доступу до

FTP-сервера на внутрішньому вузлі «IN»

Джерело: Андрончик А Н, Богданов В В, Домуховскій Н А, Коллеров А С, Синадський Н І, Хорьков Д А, Щербаков М Ю, Захист інформації в компютерних мережах Практичний курс

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*