NAT

Переадресация портов

Механизм NAT позволяет множеству компьютеров работать в Интернет под одним «белым» IP-адресом. С другой стороны, возможность обращения к компьютерам внутренней сети из Интернета затруднена и требует дополнительной настройки, которая известна как «проброс портов».

Для примера, разрешим доступ к веб-сайту во внутренней сети со стороны Интернета. Веб-сайт работает на компьютере с IP-адресом 192.168.1.80 и слушает порт 80.

Пройдите в раздел Межсетевой экран ‣ NAT ‣ Переадресация. Кликните на кнопку + в верхнем правом для создания нового правила. Cоздайте правило со следующими настройками:

Интерфейс

WAN

Версия TCP/IP

IPv4

Протокол

TCP

Отправитель

любой

Получатель

WAN адрес

Диапазон портов назначения

HTTP - HTTP

Адрес перенаправления

192.168.1.80

Порт перенаправления

HTTP

Описание

Публикация веб-сервера в Интернет

Зеркальный NAT

Включить (чистый NAT)

Ассоциированное правило сетевого экрана

Добавить ассоциированное правило

Помимо создания правила для проброса, необходимо также создать правило для пропуска преобразованного трафика. Такое дополнительное правило создается автоматически, если выбрана опция Добавить ассоциированное правило при создании основного правила.

Приводим пример создания дополнительного правила вручную для нашего сценария. Пройдите в раздел Межсетевой экран ‣ Правила, вкладка WAN. Кликните на значок + для создания нового правила. Cоздайте правило со следующими настройками:

Действие

Разрешение

Интерфейс

WAN

Версия TCP/IP

IPv4

Протокол

TCP

Источник

Любой

Назначение

192.168.1.80

Диапазон портов назначения

80 – 80

Описание

Правило для разрешения преобразованного трафика

Теперь, пользователи из Интернета смогут обращаться на <IP-адрес WAN-адаптера:порт 80> и будут переадресовываться на машину во внутренней сети, т.е. на 192.168.1.80:80.

One-to-One

При использовании технологии 1:1, NAT транслирует два IP-адреса один-к-одному (one-to-one), а не один к многим, как это часто бывает.

В TING, one-to-one можно настроить на странице Межсетевой экран ‣ NAT -> One-to-one. Там можно увидеть обзор соответствующих правил и добавить новые, используя кнопку Добавить вверху справа.

При добавлении правила, доступны следующие поля:

Отключён

Отключить применение правила

Интерфейс

К какому интерфейсу должно применяться это правило. В большинстве cлучаев, это будет WAN.

Тип

BINAT (по умолчанию) или NAT.

Внешняя сеть

Начальный адрес внешней сети, которая будет использоваться для адресов в / из.

Отправитель/Инвертировать

Инвертирует совпадение правилу в поле Получатель.

Отправитель

Внутрення сеть для отображения 1:1, обычно из диапазона RFC 1918 .

Получатель/Инвертировать

Инвертирует совпадение правилу в поле Получатель.

Получатель

Отображение 1:1 будет использоваться только для соединений с указанным получателем. При использовании внешних сетей, это, обычно, значение любой.

Категория

Можно выбрать категорию или ввести новую для группировки правил межсетевого экрана.

Описание

Описание, для облегчения поиска правила.

Зеркальный NAT

Рекомендуемое значение: использовать системное значение по умолчанию.

Исходящий

Когда клиент во внутренней сети делает исходящий запрос, шлюз должен изменить IP-адрес источника на внешний IP-адрес шлюза, в противном случае, внешний сервер не сможет отравить ответ.

Исходящий NAT (oubound NAT) также называют Source NAT или SNAT.

Если у вас есть только один внешний IP-адрес, оставьте параметры Исходящего NAT в автоматическом режиме. Если есть несколько IP-адресов, можно изменить настройки и добавить несколько пользовательских правил.

Основные настройки для Исходящего NAT можно увидеть вверху страницы Межсетевой экран ‣ NAT ‣ Исходящий:

../_images/nat-outbound_main-rules.png

Значение по умолчанию - Автоматическое создание правил исходящего NAT.

Если выбрать Ручное создание правил исходящего NAT, то справа от таблицы правил появится кнопка + для добавления пользовательских правил.

Примечание

Отключение исходящего NAT используется, например, при настройке прозрачных мостов.

NPTv6

Network Prefix Translation используется для перевода IPv6-адресов. Как правило, данная технология используется для преобразования глобальных WAN IP-адресов в локальные. Это похоже на NAT, однако NPTv6 может использоваться только для сопоставления адреса один-к-одному (one-to-one) - в отличие от обычной трансляции адресов, когда транслируется один внешний IP-адрес в неколько внутренних.

Маршруты NPTv6 показываются на странице Межсетевой экран ‣ NAT ‣ NPTv6. Новые правила можно добавить при помощи кнопки + справа вверху. Обзор доступных полей для правила:

Отключен

Отключает правило, не удаляя из списка.

Интерфейс

К какому интерфейсу применяется правило. В большинстве случаев, это WAN.

Внутренний IPv6-префикс

Внутренний IPv6-префикс, используемый в LAN. Он будет заменять префикс адреса получателя во входяших пакетах. Размер префикса, указанный здесь, также будет применён к внешнему префиксу.

Внешний префикс IPv6

Внешний IPv6-префикс. Он будет заменять адрес источника в исходящих пакетах. Если поле оставить пустым, адрес префикс будет определён автоматически.

Журналирование

Включение/отключения журналирования пакетов, относящихся к правилу.

Категория

Можно выбрать категорию или ввести новую для группировки правил межсетевого экрана.

Описание

Описание, для облегчения поиска правила.