آموزش ایجاد دسترسی از شبکه WAN به LAN
مقدمه
آنچه در این مقاله می خوانید:
دوستان در این جلسه از آموزش قرار است که درباره DST NAT با شما صحبت کنیم و ضمن تامین امنیت شبکه، یک دسترسی از شبکه WAN به شبکه LAN ایجاد نماییم. برای آشنایی با روال کار این پروسه لطفاً تا انتهای مقاله با ما همراه باشید :
توضیحات اولیه!
خوب ابتدا نیاز است که به سراغ تصویر زیر برویم :
این تصویر نشان دهنده یک DSTNAT می باشد که قرار است با هم آن را پیاده سازی نماییم. البته که ما قبلاً در بخش NAT، مفصلاً درباره پروسه NAT و DST NAT برای شما صحبت کرده ایم و توضیح دادیم که هر کدام از این مباحث چه معنایی دارند و به چه درد می خورند!
اما در کل این بخش به نحوی مروری بر فصل های گذشته نیز محسوب می شود. بنابراین ما قبل از اجرای هر مورد، ابتدا توضیحاتی را درباره مفهوم مورد به شما ارائه خواهیم داد. با این روال طبیعتاً درک مطالب برای شما آسان تر خواهد شد.
بر طبق تصویر بالا سناریویی که ما برای شما در نظر گرفته ایم به این صورت است که ما در این تصویر یک روتر داریم و یک شبکه LAN که در سمت راست تصویر قرار دارند. علاوه بر این ما شاهد یک شبکه WAN نیز هستیم که در سمت چپ تصویر قرار گرفته است. در کنار این موارد فایروال، میکروتیک SRS NAT و DST NAT نیز وجود دارند.
خب با این تفاسیر ابتدا ما یک توضیح کوتاه درباره DST NAT به شما میدهیم تا مروری بر فصلهای گذشته باشد و سپس به سراغ پیادهسازی خواهیم رفت.
مرور مباحث گذشته!
خب ابتدا به موضوع NATبپردازیم. قبلاً خدمت تان عرض کردیم که دوستان زمانی که ما در حال استفاده از NAT هستیم در واقع در حال انتقال یک آی پی به یک آی آی پی دیگر میباشیم. در واقع ما با استفاده از نت آی پی موجود را به یک آی پی قابل فهم برای شبکه مورد نظرمان تبدیل می نماییم. حال اگر آی پی منبع یا SOURCE را TRANSLATE کنیم، مفهوم SRC NAT را پیاده سازی کردهایم و اگر آی پی DST NAT را TRANSLATE کنیم در واقع DST NAT را اجرا کرده ایم.
البته پروسه DST NAT را با عنوان FORWARD هم میشناسیم که کلا به زبان عامیانه به آن FORWARD کردن هم میگویند. کلاً در پروسه DST NAT ، آی پی پابلیک برای فهم بیشتر به یک آی پی LAN تبدیل میشود.
در ادامه یادآوری میکنیم که ما قبلاً در ارتباط با ROTE هم توضیحاتی را ارائه داده بودیم. گفته بودیم که نت در حال تغییر و ترجمه آی پی ها است. اما ROTE در حال مشخص کردن مسیر میباشد. در واقع اگر ما روی گیت وی مان درگاه های مختلفی را داشته باشیم، ROTE مشخص میکند که چه کلاینتی باید به چه گیت وی متصل شود.
البته تمام این موارد بستگی به این دارد که چه در خواستی وجود داشته باشد. چرا که درگاه مورد نظر برای اتصال بر طبق همین درخواست تعریف میشود.
خب این موارد توضیحات ابتدایی بود که قبلاً نیز درباره آنها صحبت کرده بودیم. حالا به سراغ اطلاعات درس نامه امروز میرویم. قبل از هر چیزی تاکید میکنیم که به رنگبندی موجود در داخل عکس نگاه کنید. چرا که تمام این رنگ بندی ها بر طبق برنامه و با هدف انتخاب شدهاند.
خب با توجه به تصویر رنگهای مشکی قرار گرفته در سمت راست تصویر شبکه ی LAN داخلی ما و خطوط مشکی موجود در سمت چپ تصویر هم شبکه و یا همان شبکه خروجی ما می باشند. حالا کلاینت هایی که در باکس مشکی سمت راست هستند یعنی در شبکه LAN ما قرار دارند قصد اتصال به یک آی پی پابلیک را خواهند داشت. یعنی در شبکه LAN ما کلاینت هایی وجود دارند که میخواهند به یک آی پی پابلیک و یا خارجی وصل شوند.
در واقع در این پروسه این کلاینت ها باید به شبکه WAN متصل شوند و آی پی آنها به آی پی پابلیک تغییر پیدا کند. خب این پروسه را با ذکر یک مثال برای شما شبیه سازی می کنیم. فرض کنید کلاینت ۱۰.۱۸۱ که در شبکه LAN ما قرار دارد با آی پی ۱۰.۱۸۱ قصد اتصال به وب سایت گوگل را دارد.
حالا اتفاقی که در این پروسه می افتد این است که آی پی گوگل تغییر نمی کند و همان آی پی اصلی خودش را دارد. حالا یک سوال اینجا مطرح میشود که برای اتصال کدام آی پی باید تغییر کند؟
پاسخ ساده است؛ نیاز است که ما آی پی صدور سورس یا همان مبدا را در این پروسه تغییر دهیم.
آشنایی با شبکه های LAN و WAN
بر طبق این پروسه اینجاست که آی پی های سورس به آی پی های پابلیک تبدیل میشوند. در واقع برای این که کلاینت ها بتوانند از شبکهای لن به شبکهی ون وصل شوند حتماً باید آی پی WAN داشته باشند. وگرنه قادر به اتصال نخواهند بود. به بیانی ساده تر مثلاً آی پی ۱۹۲.۱۶۸.۱۰.۱۸۱به هیچ وجه در شبکه WAN قابل فهم نیست و باید آی پی آن تبدیل شود. و از آنجایی که سورس آن در حال تغییر است اصطلاحاً گفته میشود که srce nat در حال رخ دادن است.
حالا بر عکس این موضوع نیز صادق است؛ به این صورت که ما کلاینتی را در شبکهی وَن داریم که میخواهد به شبکه لَن متصل شود. حال این کلاینت با آی پی عمومی ۲.۱۷۶.۶۷.۷۹ قرار است به سمت شبکهی لَن هدایت شود. در این پروسه تغییر آی پی بر روی dst اتفاق می افتد. در واقع در این پروسه آی پی dst ما به یک آی پی داخلی و lan تغییر پیدا میکند و DST NAT اتفاق می افتد. لازم است بدانید که این اتفاق معمولاً بر روی بدنه شبکه رخ میدهد.
خب اینها مواردی بودند که ما در درس نامه های گذشته نیز در باره آنها صحبت کردیم اما حالا میخواهیم مراحل پیادهسازی این پروسه ها را ضمن برقراری امنیت به شما آموزش دهیم.
مرور مباحث امنیت!
خب در این مرحله ما یک کلاینت را با آی پی ۱۹۲.۱۶۸.۱۰.۱۸۰ داریم که روی پورت سه هزار یک وبی را داراست. در واقع ما بر روی این کلاینت یک وب سروری را راه اندازی کرده ایم. وقتی میگوییم وب سرور یعنی نیاز است که ما از طریق مرورگر به آن متصل شویم. حالا سوال اینجاست که این اتصال از طریق چه پروتکلی انجام میشود.
پاسخ ساده است پروتکل HTTP و HTTPS !
حالا کاری که ما میخواهیم انجام دهیم این است که قصد ایجاد دسترسی از شبکه WAN به شبکهی LAN را داریم و قرار است که آی پی پابلیک ما روی شبکه و به پورت سه هزار ارسال شود. یعنی اگر درخواستی آمد که پورت آن ۳۵۵۳ TCP بود باید به کلاینت ۱۹۲.۱۶۸.۱۰.۱۸۰ با پورت ۳۰۰۰ ارسال شود.
دوستان دقت داشته باشید که تحت هر شرایطی ایجاد دسترسی اعضای شبکه ون به شبکه لن کار بسیار خطرناکی است؛ مگر اینکه بحث امنیت به درستی برقرار شود. در واقع ما قرار است که در این درس نامه بر این موضوع تاکید کنیم که هنگام ایجاد دسترسی از شبکه ون به شبکه لن حتماً باید بحث امنیت به درستی برقرار باشد.
جمع بندی مبحث امنیت در روترهای میکروتیک
در کل از آن جایی که اکثر هک ها بر روی مرکز تلفن و شبکه انجام میشود معمولاً از همین طریق اتصال WAN به LAN می باشد. چرا که وقتی شما اتصالی از خارج از شبکه به داخل شبکه باز میکنید مسیر را برای هر در خواست دیگری نیز باز خواهید گذاشت. پس حالا کاری که ما میخواهیم انجام دهیم این است که درخواستی را به یک سرور داخلی ارسال نماییم و میخواهیم این پروسه طی امنیت کامل انجام شود.
پیاده سازی سناریو امنیت میکروتیک
دوستان در بحث امنیت ما باید روی میکروتیک یک سری کارها را انجام دهیم که به صورت جنرال هست و اصلا به NAT ربطی ندارد. این پروسه تحت هر شرایطی باید انجام شود. در کل وقتی که قرار است شما از یک روتر در شبکه استفاده کنید باید تمام این رول هایی که در فصل امنیت درباره آنها صحبت کردیم را پیادهسازی نمایید. این موارد شامل گزینه های زیر می شوند:
- تنظیمات اکانت : این مرحله شامل حذف یوزر پیش فرض و انتخاب یک پسورد قوی میشود.
- غیر فعال کردن سرویس پورت های غیر ضروری: این کار را در قسمت IP SERVICES انجام میدهند. کافی است به این قسمت رفته و یک سری سرویسها را غیر فعال نمایید. البته اگر سرویسی هست که دوست داریم از آن استفاده کنیم حتما باید امنیت آنها را در بخش رل ها لحاظ نمایید.
- جلوگیری از پورت اسکن: برای این کار هم هر ورودی با این پورت که از پروتکل TCP بود و INTERFACE آن بر روی PPPOE-OUT2 قرار داشت. پی اس پی را برای آن فعال می کنیم و بهتر است که در قسمت اکشن هم گزینه تارپیت را انتخاب نماییم.
- جلوگیری از ورود پکت های نامعتبر: کافی است در این بخش درخواست های نا معتبر را دراپ کنیم.
- جلوگیری از ICMP: کلاً این کار هم برای این است که کسی نتواند آیپی پابلیک ما را پینگ کند.
در کل این کارها مواردی بودند که ما برای حفظ امنیت شبکه به صورت دیفالت انجام میدادیم. اما در بحث نت ما گفته بودیم که باید یک لیست از آی پی های داخل ایران بسازیم تا اگر یک آی پی خارج از این لیست قصد ورود به شبکهی ما را داشت بتوانیم از آن جلوگیری نماییم.
شما عزیزان می توانید این لیست را به صورت آپدیت شده از وبسایت IP2LOCATION دریافت نمایید. چک لیست برقراری امنیت در بخش امنیت شبکه مفصل توضیح داده شده است شما میتوانید برای درک بهتر این موضوع از این چک لیست کمک بگیرید. خوب حالا ما یک لیستی را ساختهایم که از آی پی های داخل ایران است و نام این لیست را IP2LOCATION گذاشتهایم. این لیست شامل ۱۹۸۹ آی پی داخلی میشود.
حالا ما میخواهیم یک DSTNAT تعریف کنیم.
ایجاد DSTNAT !
خب در این قسمت به سراغ میکروتیک و سربرگ NAT میرویم. حالا باید به سراغ سناریوی اصلی خودمان برویم که قرار است در آن آی پی DSTNAT درخواست دهنده را به آی پی LAN تغییر دهیم.
یعنی یک دسترسی از شبکهی ون به شبکهی لن با پورت ۳۵۵۳ tcp به ۳۰۰۰ ایجاد نماییم. برای اینکار ابتدا به سراغ میکروتیک میرویم و یک Nat را ایجاد میکنیم.
به بخش New NAT RULE میرویم و CHAIN را بر روی DST NAT قرار میدهیم. در ادامه گزینه پروتکل را بر روی TCP، پورت DST را بر روی ۳۵۵۳ می گذاریم. حالا باید تعریف کنیم که اگر این پورت از INTERFACE – PPPOE-OUT2 بیاید و SOURCE آن داخل ایران باشد.
اکشن DST NAT را به آدرس ۱۹۲.۱۶۸.۱۰.۱۸۰ با پورت ۳۰۰۰ اپلای شود. در این پروسه رول ها نوشته شده است.
حالا ما روی این رول یک امنیت را برقرار کرده ایم. چطوری؟!
۲ مورد امنیت برقرار شد که شامل موارد زیر می شود :
- در بخش ADVANCED — > SRC ADDRESS را فقط برای لیست آی پی های داخل ایران تعریف کرده ایم.
- به هیچ وجه از پورت های پیش فرض استفاده نکرده ایم. چرا که پورت های پیش فرض به راحتی توسط ربات ها و هکرها قابل تشخیص و ردیابی می باشند.
جمع بندی و سخن آخر
خوب این مباخث موارد معمی بودن که ما در طی ایجاد DST NAT می توانیم برای برقراری امنیت شبکه انجام دهیم. بادتان باشد که طی هر پروسه، برقراری امنیت شبکه مهم ترین موضوعی است که باید به آن دقت نمایید.
عالی بود ،البته اگر بشه به صورت پیشرفته میکروتیک رو بزارید ممنون میشم،لطفا آموزش کامل سیسکو در همه سطوح رو هم بزارید
ارادتمندم. تا جایی که وقت داشته باشیم، محتوای آموزشی تولید می کنیم برای شما عزیزان.
سلام ممنونم بابت اموزش های خوبتون من یه سوال دارم ولی شاید مرتبط نباشه
من دو تا اینترنت دارم که بصورت پشتیبان دارن کار میکنن که اگر نت اول قطع بشود دومی فعال میشه ولی سوالم اینه که موقه dst nat نوشتن روی اینترنت اول همه چیز اوکیه ولی به محض اینکه اینترنت دوم میاد دیگه dst nat ها قطع میشن راهی هست بشه nat ها رو هم اولویت بندی کرد ؟
سلام و ارادت
شما باید dsn nat ها را برای هر کانکشن اینترنت بصورت جداگانه بنویسید
هر کدام که فعال باشد، dsn nat مخصوص همان کانکشن هم فعال خواهد شد