NAT چیست ؟
آموزش NAT در میکروتیک
قبل از آموزش NAT میکروتیک و نحوه ساخت NAT در میکروتیک با اصطلاح NAT آشنا میشویم. NAT مخفف Network Address Translation و در واقع عملیات تغییر هدرهای بسته اطلاعاتی است و این تغییرات انواع مختلفی از Nat را بوجود می آورند.
همچنین NAT در آدرس دهی های خصوصی (Private) و برای ایجاد دسترسی بین 2 شبکه مورد استفاده قرار میگیرد.
NAT به یک دستگاه مانند روتر میکروتیک امکان می دهد تا به عنوان واسط بین اینترنت (یا شبکه Public) و یک شبکه محلی (یا شبکه Private) عمل کند. به این صورت که یک نشانی IP یکتا به عنوان نماینده گروهی از کامپیوترهای شبکه Private در شبکه Public عمل می کند.
در ادامه با آموزش NAT در میکروتیک همراه باشید.
انواع NAT در میکروتیک
NAT انواع مختلفی دارد ولی در دستگاه های میکروتیک دارای 2 حالت srcnat و dstnat میباشد.
srcnat
در این نوع NAT که به آن Source NAT نیز گفته میشود، آدرس IP مبدا در پکت تغییر میکند.
dstnat
در این نوع NAT که Destination NAT نامیده میشود، آدرس IP مقصد در پکت تغییر میکند.
آموزش ایجاد NAT در میکروتیک
ایجاد NAT از طریق کنسول
ip firewall nat add chain=[srcnat/dstnat] out-interface=etherX src-address=[source ip address] dst-address=[destination ip address] action=[masquerade/src-nat] to address=[ip range]
1. chain
این پارامتر جهت تعیین نوع NAT (srcnat و dstnat) میباشد.
امکان ایجاد chain جدید نیز موجود است که در دوره ی پیشرفته ی میکروتیک آموزش داده میشود.
2. out-interface
این پارامتر اینترفیسی که پکت ها باید از آن خارج شود را مشخص میکند.
3. src-address
این پارامتر آدرس/رنج IP شبکه مبدا را تعیین میکند.
3.1. اعمال عملیات NAT بر روی یک سیستم خاص:
Src-address = 192.168.10.2
3.2. اعمال عملیات NAT بر روی تمامی کلاینت های یک شبکه:
Src-address = 192.168.10.0/24
3.3. اعمال عملیات NAT بر روی تعدادی از سیستم های یک شبکه:
Src-address = 192.168.10.50-192.168.10.200
نکته: درصورتی که بخواهیم تمامی کلاینت های شبکه مبدا بتوانند بسته های خود را به سمت روتر ارسال کنند، مقدار src-address را خالی میگذاریم.
4. dst-address
کاربرد این پارامتر برای اعمال عملیات NAT بر روی سیستم هایی که مقصد آنها سیستم مشخصی است می باشد.
نکته: چنانچه بخواهیم تمام بسته هایی که از روتر خارج می شوند بدون توجه به مقصد، آنها را NAT کنیم پارامتر Dst-address را خالی می گذاریم تا تمامی بسته ها از روتر عبور کنند.
5. Action
عملیاتی که بر روی بسته ها انجام می شود توسط این پارامتر انجام می شود.
5.1. Masquerade
در این روش IP روتر جایگزین فیلد Source IP در بسته ارسالی از سمت کلاینت می شود. در این حالت ارتباط به سمت شبکه خارجی توسط خود روتر برقرار می شود. چرا که آدرس IP روتر در فیلد Source IP جایگزین آدرس IP کلاینت می شود.
همچنین از این روش جهت برقراری ارتباط کلاینت ها با اینترنت نیز استفاده میشود.
5.2. Src-nat
در این روش یک یا چند IP خاص جایگزین Source IP در بسته ارسالی می شود. بنابراین امنیت و کنترل بیشتری روی شبکه های محلی خواهید داشت.
6. To Address
در این پارامتر تعدادی IP در نظر گرفته می شود و عملیات NAT برای هر سیستم با استفاده از یکی از این IP ها صورت می گیرد.
در حقیقت برای انتساب آدرس IP به کلاینت ها Pooling تعریف می شود.
منطق Pooling به این صورت می باشد که هر Request که به سمت Nat Router فرستاده می شود یک IP انتساب داده می شود.
زمانی که تمامی IP ها مورد استفاده قرار گرفت Request بعدی نمی تواند ارتباط برقرار کند و به حالت Waiting وارد می شود تا زمانی که یکی از Request های قبلی ارتباط را قطع کند.
6.1. در پارامتر To Address می توان برای اعمال Nat بر روی بسته ها تنها یک IP را مشخص کرد.
در مثال زیر مشخص کردیم تمامی سیستم هایی که می خواهند از روتر عبور کنند به آدرس 192.168.10.1 Nat شوند.
To Address: 192.168.10.1
6.2. در پارامتر To Address می توان برای اعمال Nat بر روی بسته ها یک محدوده کامل از IP ها را مشخص کرد.
To Address: 192.168.10.0/24
6.3. تعیین کردن یک محدوده ی مشخص از IP ها:
To Address: 192.168.10.1-192.168.10.25
ایجاد NAT از طریق محیط ویژوال
جهت ایجاد یک عملیات NAT در میکروتیک، از منوی IP وارد گزینه Firewall شده و به تب NAT بروید.
در اینجا دستورات NAT ایجاد شده در روتر را مشاهده میکنید، روی گزینه Add کلیک کنید تا صفحه زیر نمایان شود.
در تب General گزینه هایی مانند Chain – Src Address – Dst Address – Out Interface که در بالا توضیح داده شده را مشاهده میکنید.
در تب Action نیز گزینه ی Action را مشاهده میکنید که میتوانید نسبت به نیاز خود آن را انتخاب کنید.