JSN Mico - шаблон joomla Авто
შესვლა რეგისტრაცია

შეხვიდეთ თქვენს ანგარიშზე

მომხმარებლის სახელი *
პაროლი *
დამიმახსოვრე

შექმენი ანგარიში

ველი რომელიც აღნიშნულია ვარსკვლავი (*) აუცილებელია.
სახელი *
მომხმარებლის სახელი *
პაროლი *
დაადასტურეთ პაროლი *
ელ-ფოსტა *
დაადასტურეთ ელ-ფოსტა *
Captcha *
  • dgdfgdg-laoderi.png
  • dosddos.png
  • dosddosxx.png
  • ubiquiti.png

მაშ ასე, ჩვენ ერთად მივედით NAT პარამეტრებამდე. მოდით შევხედოთ ძირითად კონფიგურაციას. ამისათვის ვივარაუდოთ რა: 

 

  1. მარშრუტიზატორი დაკავშირებულია ინტერნეტ ქსელში ინტერფეისის მეშვეობით სახელით WAN და აქვს მისამართი 1.1.1.1
  2. მარშრუტიზატორი დაკავშირებულია ლოკალურ ქსელში LAN ინტერფეისის მეშვეობით და აქვს მისამართი 192.168.88.1/24
  3. აუცილებელია გამოქვეყნება (თვალსაჩინო გახდეს ინტერნეტიდან) web-სერვერი მისამართით 192.168.88.2, TCP პროტოკოლით და 80 პორტით.
  4. აუცილებელია გამოქვეყნება (თვალსაჩინო გახდეს ინტერნეტიდან) ტერმინალ სერვერი მისამართით 192.168.88.3. უსაფრთხოების მიზნით, შევცვალოთ გარე პორტი 53389 პორტით, დავტოვოთ შიდა პორტი 3386 (ასიმეტრიული პორტის გამოქვეყნება).
  5. აუცილებელია გამოქვეყნება (თვალსაჩინო გახადეს ინტერნეტიდან) ტელეფონის სერვერი რომელსაც აქვს მისამართი 192.168.88.4, რომელიც მუშაობს UDP პროტოკოლით პორტების დიაპაზონით 5060-5070 და 10000-20000
  6. მას შემდეგ, რაც ქსელში შესაძლებელია მომხმარებლების დამატება DNS-სერვერების ავტომატური მინიჭებით, მიუხედავად პარამეტრებისა, სახელების ამოცნობით უნდა დაკავდეს მარშრუტიზატორი.

მაშ ასე, წავედით.

1. ზოგადად თუ ვრცლად პირველი პუნქტის განხორციელებისათვის, საკმარისია წესის ფორმის შექმნა:

 /ip firewall nat
add action=masquerade chain=srcnat out-interface=WAN

წესის არსი. იმ შემთხვევაში, თუ გამავალი ინტერფეისია=WAN, მაშინ შევცვალოთ გამომგზავნელის მისამართი ინტერფეისის პირველი მისამართით, მოვნიშნოთ პორტი დინამიურად. ძალიან მრავალფეროვანი, მით უმეტეს, თუ თქვენს WAN-ზე მისამართი გაიცემა დინამიურად.

2. ახლა გამოვაქვეხნოთ web-სერვერი. ეს არის სამუშაო DST-nat მექანიზმთან.

/ip firewall nat
add action=dst-nat chain=dstnat dst-port=80 in-interface=WAN protocol=tcp to-addresses=192.168.88.3

მას შემდეგ, რაც ჩვენ გვაქვს მხოლოდ ერთი გარე მისამართი, ჩვენ პაკეტის ცალსახად იდენტიფიცირებისათვის საკმარისია ვიცოდეთ პორტი, პროტოკოლი და რომელი ინტერფეისიდან პაკეტი მოვიდა.

3. გაფრთულებული ვარიანტი მე -2 პუნქტის.Terminal Server გამოქვეყნება დანიშნულების პორტის შეცვლით.

/ip firewall nat
add action=dst-nat chain=dstnat dst-port=53389 in-interface=WAN protocol=tcp to-addresses=192.168.88.4 to-ports=3389

გაითვალისწინეთ, რომ ემატება ველი to-ports, რომელიც ატყობინებს მარშრუტიზატორს, რომ აუცილებელია მისამართის გარდა, უბრალოდ შეცვალოს დანიშნულების პორტი.

4. ახლა კიდევ უფრო რთული ამოცანა. უნდა გამოვაქვეყნოთ ორი დიდი პორტების დიაპაზონი. გამოსავალი, უცნაურია მაგრამ მარტივია.

/ip firewall nat
add action=dst-nat chain=dstnat dst-port=5060-5070,10000-20000 in-interface=WAN protocol=udp to-addresses=192.168.88.5
სწორედ ასე, უნდა გამოქვეყნდეს დიდი პორტების დიაპაზონები.

5. და ბოლოს, ყველას ვაიძულებთ ისარგებლონ მარშრუტიზატორის  DNS-სერვერით.

 /ip firewall nat
add action=redirect chain=dstnat dst-port=53 in-interface=LAN protocol=udp

NAT-ის გამართვის დროს მთავარი შეცდომა არის მისამართის არარსებიბის მითითება და/ან ინტერფეისის, რომლიდანაც შემოდის პაკეტი DST-nat-ის შემთხვევაში ან რომლიდანაც გადის პაკეტი src-nat-ის შემთხვევაში.

მაგალითად, წესი რომელიც მითითებულია პირველ პუნქტში, თუ მას მოვაცილებთ out-interface ის გამოიყურებოდეს იქნება ასე: 

 /ip firewall nat
add action=masquerade chain=srcnat

და  მიგვიყვანს იმამდე, რომ ნებისმიერი პაკეტის გამგზავნელის მისამართი რომელიც გავა მარშრუტიზატორისგან, შეიცვლება მარშრუტიზატორის მისამართზე.

მეორე ვარიანტში არის არა იმდენი შეცდომები, რამდენიც პოტენციური შეცდომა, არის NAT-ის გამოყენება როგორც ფილტრების პაკეტი.

მაგალითად, ჩვენ გვინდა, რომ web-სერვერი რომელიც გამოქვეყნებულია მე-2 წესში  იყოს ხელმისაწვდომი 2.2.2.2 მისამართიდან და როგორც შედეგი შევქმნათ წესი:

 /ip firewall nat
add action=dst-nat chain=dstnat dst-port=80 in-interface=WAN protocol=tcp src-address=2.2.2.2 to-addresses=192.168.88.3

შესრულების თვალსაზრისით, ამ წესში ყველაფერი იქნება სათანადოდ. მაგრამ შეცდომის ალბათობა რთული კონფიგურაციების დროს იზრდება. ამასთან ერთად თქვენ უნდა გავითვალისწინოთ, firewall-ის ფილტრების გარდა, თქვენ კიდევ, დამატებით ფილტრავთ ტრაფიკს NAT-ში.

გარდა ამისა, სტატის პირველ ნაწილში მიეძღვნა NAT-ს, მე მივიპყრე თქვენი ყურადღება, რომ NAT ამუშავებს მხოლიდ დაკავშირების პირველ პაკეტს.

ამ სტატიაში, ჩვენ შევხედეთ ყველაზე გავრცელებული NAT კონფიგურაციას. სტატიების შემდეგ ნაწილებში ჩვენ შევხედავთ კონფიგურაციის უფრო რთულ ვარიანტებს.

 ტექნიკური დირექტორი ილია კნიაზევი (MTCNA, MTCWE, MTCTCE)
 სტატია ნათარგმნია რუსულიდან ქართულზე, jsh-ის მიერ. infoit.ge

საიტი შეიცავს მხოლოდ გადამოწმებულ მასალას MikroTik-ის მოწყობილობების დასაკონფიგურირებლად.

ჩვენ ვიყენებთ Cookies-ს, რათა დავრწმუნდეთ იმაში, რომ გაძლევთ საუკეთესო გამოცდილებას ჩვენს ვებ-გვერდზე ყოფნისას. Cookies-ს გამოყენებასთან დაკავშირებით ამომწურავი ინფორმაცია იხილეთ Cookie პოლიტიკა. ამ საიტის გამოყენებით თქვენ ავტომატურად ეთანხმებით Cookies-ის გამოყენების უფლებას.