JSN Mico - шаблон joomla Авто
შესვლა რეგისტრაცია

შეხვიდეთ თქვენს ანგარიშზე

მომხმარებლის სახელი *
პაროლი *
დამიმახსოვრე

შექმენი ანგარიში

ველი რომელიც აღნიშნულია ვარსკვლავი (*) აუცილებელია.
სახელი *
მომხმარებლის სახელი *
პაროლი *
დაადასტურეთ პაროლი *
ელ-ფოსტა *
დაადასტურეთ ელ-ფოსტა *
Captcha *
  • dgdfgdg-laoderi.png
  • dosddos.png
  • dosddosxx.png
  • ubiquiti.png

სტატიის ამ ნაწილში ჩვენ შევხედავთ კონკრეტულ შემთხვევას რამოდენიმე IP-მისამართების გამოყენება WAN-ინტერფეისზე. და ბონუსის სახით, სტატიის ბოლოში გეტყვით ყველაზე გავრცელებულ შეცდომებზე, NAT-თან მუშაობის დროს.

მაშასე, პროვაიდერმა მოგაწოდან რამოდენიმე WAN-მისამართი. და თქვენ გიჩნდებათ კითხვა, თუ როგორ უნდა გამოვიყენოთ ისინი სწორად.

დავუშვათ, პროვაიდერმა მოგცათ მისამართი:

1.1.1.1/24 და 1.1.1.2/24

ორივე ეს მისამართები მიანიჭეთ WAN-ინტერფეისს. გარდა ამისა, თქვენ გაქვთ ლოკალური ქვექსელი 192.168.0.0/24 და 192.168.1.0/24, რომელიც მდებარეობს LAN და DMZ ინტერფეისებზე.

1. Source NAT

თუ თქვენ გსურთ გამოიყენოთ ორივე გარე მისამართები გასასვლელად თქვენი ლოკალური ქსელიდან ინტერნეტში.

ნათელია, რომ Action=masquerade, ამ შემთხვევაში ჩვენ ეს არ გამოგვადგება, რადგან ის ავტომატურად გამოიყენებს მხოლოდ ერთს მისამართებიდან, რომელიც მინიჭებულია ინტერფეისზე.

ამის ნაცვლად გამოვიყენებთ Action=same

წესი გამოიყურებუდეს იქნება ასე:

 /ip firewall nat add action=same chain=srcnat out-interface=WAN to-addresses=1.1.1.1-1.1.1.2


მარშრუტიზატორი თავიდან გამოიყენებს თავისუფალ პორტებს მისამართისათვის 1.1.1.1, და როდესაც ისინი ამოიწურება, დაიწყებს გამოყენებას თავისუფალ პორტებს მისამართის 1.1.1.2

ეს შეიძლება იყოს საჭირო, თუ თქვენს ლოკალურ ქსელში აქტიურად მუშაობს ინტერნეტთან მომხმარებლების დიდი რაოდენობა.

ახლა განვიხილოთ, უფრო რთული შემთხვევა. ჩვენ გვინდა, რომ კომპიუტერები ლოკალური ქსელიდა გადიოდნენ ინტერნეტში მისამართით 1.1.1.1, ხოლო კომპიუტერები DMZ-დან - მისამართით 1.1.1.2

ამისათვის, ჩვენ უნდა დავწეროთ 2 წესი NAT:

/ip firewall nat 
add action=src-nat chain=srcnat out-interface=WAN src-address=192.168.0.0/24 \
to-addresses=1.1.1.1 
add action=src-nat chain=srcnat out-interface=WAN src-address=192.168.1.0/24 \
to-addresses=1.1.1.2

2. Destination NAT

როდესაც ვმუშაობთ Destination NAT-თან არ უნდა დაგვავიწყდეს, თუ თქვენ ზუსტად არ მიუთითეთ წესში NAT დანიშნულების მისამართი, პაკეტი იქნება დამუშავებული დამოუკიდებლად იმისა, თუ რომელ გარე მისამართზე მოვიდა ის.

მაგალითად, თქვენ გადაწყვიტეთ, რომ გამოაქვეყნოთ WWW-სერვერი, რომელსაც აქვს შიდა მისამართი 192.168.1.2

თუ თქვენ შექმნით წესს:

/ip firewall nat 
add action=dst-nat chain=dstnat dst-port=80 in-interface=WAN protocol=tcp \
to-addresses=192.168.1.2

- მიუხედავად იმისა, რომელ გარე მისამართიდან მოვა მოთხოვნა 80 პორტზე, ეს იქნება დამუშავებული თქვენს www-სერვერზე.

დავუშვათ ახლა, რომ თქვენ გაქვთ სხვა www-სერვერი, შიდა მისამართით 192.168.1.3

და თქვენ გსურთ გამოაქვეყნოთ სერვერი შემდეგი სახით:

სერვერი 192.168.1.2 უნდა გამოქვეყნდეს გარე მისამართზე 1.1.1.1

სერვერი 192.168.1.3 უნდა გამოქვეყნდეს გარე მისამართზე 1.1.1.2

მაშინ წესები მიიღებს შემდეგ სახეს:

/ip firewall nat 
add action=dst-nat chain=dstnat dst-address=1.1.1.1 dst-port=80 protocol=tcp \ 
to-addresses=192.168.1.2 
add action=dst-nat chain=dstnat dst-address=1.1.1.2 dst-port=80 protocol=tcp \ 
to-addresses=192.168.1.3

გთხოვთ გაითვალისწინოთ, რომ თქვენ უნდა სწორად აღნიშნოთ dst-nat წესში ან შემომავალი ინტერფეისი (in-interface) ან დანიშნულების მისამართი (dst-address), ან ერთი ან მეორე.

იმ შემთხვევაში, თუ თქვენ ამ წესს გააკეთებთ ამ შეზღუდვის გარეშე, მაშინ შედეგები იქნება ძალიან მოულოდნელი. მაგალითად, წესი:

 

/ip firewall nat
add action=dst-nat chain=dstnat dst-port=80 protocol=tcp to-addresses=192.168.1.2


ეს გამოიწვევს იმას, რომ როდესაც თქვენი ლოკალური ქსელიდან ნებისმიერი კომპიუტერი მიმართავს პორტ 80 ნებისმიერ სერვერს ინტერნეტში ის იქნება გადამისამართებული თქვენს www-სერვერზე.

კიდევ უფრო არასასურველი შედეგი შეიძლება იყოს მიღებული, თუ თქვენ დაგავიწყდებათ ინტერფეისის მითითება წესში Source NAT  Action=masquerade-თან.

ეს გამოიწვევს იმას, რომ ყველა პაკეტს ექნება წყაროს მისამართი, მარშრუტიზატორის ინტერფეისის ზუატი მისამართი, რომელიდანაც პაკეტი გამოვიდა. და თუ თქვენ გაქვთ ქსელში, მაგალითად, საფოსტო სერვერი, რომელიც თქვენ გამოაქვეყნეთ ინტერნეტში, და რომელზეც ნებადართულია Relay ლოკალური ქსელის მისამართებისთვის, და თქვენ მიიღებთ Open Relay, უბრალოდ შეცდომა დავუშვით src-nat-ში.

მაგალითი ასეთი არასწორი კონფიგურაციის, SMTP-სერვერისთვის 192.168.1.4:

/ip firewall nat 
add action=dst-nat chain=dstnat dst-port=25 in-interface=WAN protocol=tcp to-addresses=\ 192.168.1.4
add action=masquerade chain=srcnat


ამ მაგალითში, თუ მარშრუტიზატორს აქვს მისამართი 192.168.1.1, ხოლო SMTP სერვერი მიიღებს ყველა გარე მიერთებებს როგორც შესრულება მისამართთან 192.168.1.1 და დაამუშავებს როგორც ლოკალურს. რა გემუქრებათ თქვენ Spam-sheets თუ მოხვდებით.

და თუ ამ გზით შევცდებით IP-PBX გამოქვეყნებისას, თქვენ შეგიძლიათ მიიღოთ მართლაც საოცარი ანგარიში საერთაშორისო ზარებზე. პრეცედენტები ყოფილა.

ამიტომ, როდესაც მუშაობთ NAT-თან უნდა იყოთ ძალიან ყურადღებით.

 ტექნიკური დირექტორი ილია კნიაზევი (ტრენერი Mikrotik, MTCNA, MTCWE, MTCTCE)
სტატია ნათარგმნია რუსულიდან ქართულზე, jsh-ის მიერ. infoit.ge

     სხვა სტატიები:

საიტი შეიცავს მხოლოდ გადამოწმებულ მასალას MikroTik-ის მოწყობილობების დასაკონფიგურირებლად.

ჩვენ ვიყენებთ Cookies-ს, რათა დავრწმუნდეთ იმაში, რომ გაძლევთ საუკეთესო გამოცდილებას ჩვენს ვებ-გვერდზე ყოფნისას. Cookies-ს გამოყენებასთან დაკავშირებით ამომწურავი ინფორმაცია იხილეთ Cookie პოლიტიკა. ამ საიტის გამოყენებით თქვენ ავტომატურად ეთანხმებით Cookies-ის გამოყენების უფლებას.