NAT
Преобразование сетевых адресов (NAT) - это способ разделения внешних и внутренних сетей (WAN и LAN) и предоставления общего внешнего IP-адреса клиентам внутренней сети. NAT может использоваться в IPv4 и IPv6. Для IPv6 также доступно преобразование сетевых префиксов.
Большинство из перечисленных ниже настроек используют три различных адреса: Отправитель, Получатель и Порт перенаправления. Эти адреса используются для следующих целей:
Отправитель |
Откуда приходит трафик. Часто можно оставить значение |
Получатель |
Куда направляется трафик. Для входящего трафика извне, обычно, это ваш внешний IP-адрес. |
Порт перенаправления |
Куда трафик должен быть перенаправлен. |
Предупреждение
Не следует полагаться на преобразование сетевых адресов как на средство безопасности.
Отключение межсетевого экрана (pf) также отключит и NAT.
Используемые термины
BINAT
В общем случае, NAT работает в одном направлении. Однако, в случае сетей одинакового размера, вы можете также использовать BINAT, являющийся двунаправленным, что может упростить конфигурирование. Если же сети разного размера, можно использовать только обычный NAT.
Зеркальный NAT
Когда клиент во внутренней сети пытается получить доступ к другому клиенту, но использует внешний IP-адрес вместо внутреннего (что было бы более логично), зеркальный NAT (NAT reflection) может переписать запрос так, чтобы он использовал внутренний IP-адрес, для избежания обходного пути и применения правил, предназначенных для фактического внешнего трафика.
Примечание
Правила NAT, сгенерированные при активации режима зеркального NAT, включают только сети, напрямую подключённые к вашему МСЭ. Это означает, что если у вас есть частная сеть, отделённая от вашей локальной сети, то необходимо добавить её с помощью ручного правила исходящего NAT.
Параметры пула
При наличии выбора из нескольких IP-адресов, данный параметр позволяет регулировать, какой из них будет использоваться. По умолчанию используется циклический алгоритм (Round Robin ): он перебирает пакеты поочерёдно по серверам. Если есть только один внешний IP-адрес, данная настройка не имеет эффекта.
Доступные для выбора варианты:
Циклический |
Перебирает транслируемые IP-адреса.
Соответствует выбору |
Циклический с фиксированными адресами |
Циклический с преобразованием конкретного IP-адреса источника в одинаковый транслируемый адрес [1]. |
Случайный |
Выбирает случайный адрес из пула транслируемых IP-адресов. |
Случайный с фиксированными адресами |
Случайный с преобразованием конкретного IP-адреса источника в одинаковый транслируемый адрес [1]. |
Хеш источника |
Использует хэш адреса источника для определения транслируемого IP-адреса и проверяет, чтобы IP-адрес перенаправления для указанного источника всегда был один и то же. |
Битовая маска |
Применяет маску подсети и сохраняет последнюю часть идентичной:
|
Примечание
Только циклический тип работает с псевдонимами хоста.
Любой тип может использоваться с подсетью.
Переадресация портов
Когда много клиентов совместно используют внешний IP-адрес, любое входящее соединение (не инициированное одним из них) не будет успешным - так как межсетевой экран (МСЭ) не будет знать, куда направлять трафик. Такая проблема решается путём создания правил перенаправления портов. Например, чтобы веб-сервер за МСЭ был доступен, порты 80 и 443 должны быть перенаправлены на него.
Переадресация портов также называется Преобразование адреса сети назначения или DNAT.
В Traffic Inspector Next Generation (TING) переадресация портов настраивается в разделе . Здесь можно увидеть обзор имеющихся правил переадресации портов, а новые правила можно добавить, нажав + в правом верхнем углу.
При добавлении правила, доступны следующие параметры для конфигурирования:
Отключен |
Деактивировать правило, не удаляя его из списка. |
Отключить перенаправление (НЕТ) |
Не создавать правило перенаправления (трафика, соответствующего правилам). Редко использующийся параметр - используйте его, если знаете что делаете. |
Интерфейс |
К какому интерфейсу это правило будет применяться. В большинстве случаев это WAN. |
Версии TCP/IP |
IPv4, IPv6 или оба. |
Протокол |
Протокол, для которого будет выполняться правило. В основном это TCP-протокол. |
Отправитель |
Откуда поступает трафик. Нажмите Дополнительно, чтобы увидеть другие настройки для отправителя. |
Отправитель/Инвертировать |
Инвертировать соответствие для поля Отправитель. |
Диапазон портов источника |
Когда это применимо, можно указать исходный порт, с которым мы должны
сопоставить.
Обычно он случайный и почти никогда не равен диапазону портов назначения
(как правило, указывается значение |
Получатель |
Куда трафик направляется. |
Получатель/Инвертировать |
Инвертировать соответствие для поля Получатель. |
Диапазон портов назначения |
Порт(ы) службы, используемый(е) для трафика. При использовании протоколов TCP или UDP, укажите порт или диапазон портов назначения пакета для этого преобразования. |
Перенаправление целевого IP-адреса |
Куда перенаправить трафик. |
Целевой порт перенаправления |
Какой порт использовать (если используется TCP и/или UDP). |
Параметры пула |
См. Параметры пула. Значение по умолчанию соответствует настройке |
Журналирование |
Включает/отключает регистрацию в журналах пакетов, обрабатываемых данным правилом [2]. По умолчанию отключено. |
Категория |
Здесь можно ввести или выбрать категорию из имеющихся для группировки правил МСЭ (необязательный параметр). |
Описание |
Описание для. |
Установить локальный тег |
Указывается метка, которую можно использовать для применения других правил NAT/фильтрации. |
Проверка на соответствие локального тега |
Проверка на соответствие тегу, установленного другим правилом. |
Нет XMLRPC Sync |
Запретить синхронизацию данного правила с резервным хостом. (Установка этого флага на резервном хосте не имеет эффекта.) |
Зеркальный NAT |
См. Зеркальный NAT. Оставьте значение по умолчанию, если нет веских причин для изменения. |
Ассоциация правила фильтрации |
Связать с обычным правилом МСЭ [3]. |
Ассоциация правила фильтрации
Данная настройка управляет созданием связанных правил фильтрации в разделе .
Ассоциированное правило фильтрации будет добавлено и обновлено автоматически.
Такое правило нельзя увидеть или отредактировать в разделе .
Совет
Рекомендуемый параметр для простых конфигураций.
Выбирайте этот параметр, если хотите создавать правила в вручную.
Ассоциированное правило фильтрации не создаётся.
Примечание
Значение по умолчанию.
Добавляет ассоциированное правило фильтрации в раздел , которое автоматически обновляется, если правило NAT было изменено.
Такое созданное правило фильтрации нельзя редактировать вручную. Убедитесь, что задано значение для поля Описание правила NAT - оно будет использоваться в правиле фильтрации. Этот параметр аналогичен Разрешение, но делает правило фильтрации видимым в разделе .
Примечание
Если выбрано несколько интерфейсов для поля Интерфейс, тогда правило фильтрации будет представлено на странице .
Добавляет правило фильтрации, не связанное с данным правилом NAT, однократно.
Такое созданное правило можно редактировать вручную, оно никогда не будет обновляться при изменении правила NAT. Убедитесь, что задано значение для поля Описание правила NAT, правило фильтрации установит его один раз.
Примечание
Этот вариант рекомендуется для более сложных настроек, таких как Переадресации портов на интерфейсах VPN. Правило фильтрации можно редактировать, а такую функцию как reply-to - отключить.
One-to-One
При использовании технологии 1:1, NAT транслирует два IP-адреса один-к-одному (one-to-one), а не один к многим, как это часто бывает.
В TING, one-to-one можно настроить на странице . Там можно увидеть обзор соответствующих правил и добавить новые, используя кнопку + вверху справа.
При добавлении правила, доступны следующие поля:
Отключен |
Деактивировать правило, не удаляя его из списка. |
Интерфейс |
К какому интерфейсу это правило будет применяться. В большинстве случаев это WAN. |
Тип |
BINAT (по умолчанию) или NAT. См. BINAT. |
Внешняя сеть |
Начальный адрес внешней сети, который будет использоваться для преобразования адресов в/из. |
Отправитель/Инвертировать |
Инвертировать сопоставление правилу в поле Отправитель. |
Отправитель |
Внутренняя сеть для отображения 1:1, обычно из диапазона RFC 1918 . |
Получатель/Инвертировать |
Инвертировать сопоставление правилу в поле Получатель. |
Получатель |
Отображение 1:1 будет использоваться только для соединений с указанным получателем.
При использовании сопоставления для внешних сетей, обычно, это значение |
Категория |
Здесь можно ввести или выбрать категорию из имеющихся для группировки правил МСЭ. |
Описание |
Описание для правила. |
Зеркальный NAT |
Рекомендуемое значение: См. Зеркальный NAT. |
Исходящий
Когда клиент во внутренней сети делает исходящий запрос, шлюз должен изменить IP-адрес источника на внешний IP-адрес шлюза, в противном случае, внешний сервер не сможет отравить ответ.
Исходящий NAT (Outbound NAT) также называют Source NAT или SNAT.
Если у вас есть только один внешний IP-адрес, оставьте параметры исходящего NAT в автоматическом режиме. Если есть несколько IP-адресов, можно изменить настройки и добавить несколько пользовательских правил.
Основные настройки для исходящего NAT можно увидеть вверху страницы . Доступные следующие режимы работы:
Автоматическое создание правил исходящего NAT |
Значение по умолчанию. Следует описанному выше поведению и подходит для большинства сценариев. |
Ручное создание правил исходящего NAT |
Автоматические правила не генерируются. Их можно добавить вручную. |
Смешанное создание правил исходящего NAT |
Автоматические правила добавляются, но также можно добавить дополнительные ручные правила. |
Отключить создание правил исходящего NAT |
Отключает исходящий NAT. Используется, например, для прозрачных мостов. |
Если выбрать Ручное создание правил исходящего NAT, то справа от таблицы правил появится кнопка + для добавления пользовательских правил.
При добавлении правила, доступны поля для настройки:
Отключен |
Деактивировать правило, не удаляя его из списка. |
Не использовать NAT |
Деактивировать NAT для всего трафика, соответствующего правилу. Включайте этот режим только если точно знаете, что делаете. |
Интерфейс |
К какому интерфейсу это правило будет применяться. В большинстве случаев это WAN. |
Версии TCP/IP |
IPv4 или IPv6. |
Протокол |
Протокол, для которого будет выполняться правило. В основном это TCP-протокол. |
Инвертировать источник |
Инвертировать соответствие для поля IP-адрес источника. |
IP-адрес источника |
Адрес/сеть источника для сопоставления в правиле. |
Порт источника |
Когда это применимо, можно указать исходный порт, с которым мы должны
сопоставить.
Обычно он случайный и почти никогда не равен диапазону портов назначения
(как правило, указывается значение |
Инвертировать получателя |
Инвертирует соответствие для поля IP-адрес назначения. |
IP-адрес назначения |
Адрес/сеть назначения для сопоставления в правиле. |
Порт назначения |
Порт службы, используемый для трафика. |
Транслируемый IP-адрес/целевой IP-адрес |
Введите адрес порт источника для преобразования с помощью исходящего NAT. |
Журналирование |
Включает/отключает регистрацию в журналах пакетов, обрабатываемых данным правилом [4]. По умолчанию отключено. |
Транслируемый / порт |
Введите адрес и порт источника для преобразования с помощью исходящего NAT. |
Статический порт |
Предотвращает pf(4) от изменения исходного порта в пакетах TCP и UDP. |
Параметры пула |
См. Параметры пула. Значение по умолчанию соответствует настройке |
Установить локальный тег |
Указывается метка, которую можно использовать для применения других правил NAT/фильтрации. |
Проверка на соответствие локального тега |
Проверка на соответствие тегу, установленного другим правилом. |
Нет XMLRPC Sync |
Запретить синхронизацию данного правила с резервным хостом. (Установка этого флага на резервном хосте не имеет эффекта.) |
Категория |
Здесь можно ввести или выбрать категорию из имеющихся для группировки правил МСЭ. |
Описание |
Описание для правила. |
NPTv6
Преобразование сетевых префиксов (NPT) используется для перевода IPv6-адресов. Как правило, данная технология используется для преобразования глобальных WAN IP-адресов в локальные. Это похоже на NAT, однако NPTv6 может использоваться только для сопоставления адреса один-к-одному (one-to-one) - в отличие от обычной трансляции адресов, когда транслируется один внешний IP-адрес в несколько внутренних.
Маршруты NPTv6 показываются на странице . Новые правила можно добавить при помощи кнопки + справа вверху. Обзор доступных полей для правила:
Включен |
Активирует правило. |
Последовательность |
Порядковый номер, который определяет очерёдность применения правил, если создано несколько правил NPTv6: правила с меньшим номером, выполняются раньше. Если NPTv6-правило одно, данный параметр не играет роли. Значение по умолчанию: 1. |
Журналирование |
Включает/отключает регистрацию в журналах пакетов, обрабатываемых данным правилом [5]. |
Интерфейс |
К какому интерфейсу это правило будет применяться. В большинстве случаев это WAN. |
Внутренний IPv6-префикс (источник) |
Внутренний IPv6-префикс, используемый в LAN. Он будет заменять префикс адреса получателя во входящих пакетах. Размер префикса, указанный здесь, также будет применён ко внешнему префиксу. |
Внешний префикс IPv6 (целевой) |
Внешний IPv6-префикс. Он будет заменять адрес источника в исходящих пакетах. Если поле оставить пустым, адрес префикса будет определён автоматически. |
Отслеживать интерфейс |
Используйте префикс, определённый на выбранном интерфейсе (вместо самого интерфейса), к которому применяется это правило, если целевой префикс не предоставлен. |
Категория |
Здесь можно ввести или выбрать категорию из имеющихся для группировки правил МСЭ. |
Описание |
Описание для правила. |