مرکز فروش و آموزش سرورهای ویپ، تجهیزات شبکه و سانترال پاناسونیک

آموزش ایجاد دسترسی از شبکه WAN به LAN (جلسه ۴۶)

ایجاد دسترسی از شبکه WAN به LAN
ویدئوی آموزشیدوره روترهای میکروتیک (جلسه 46)
نویسنده مقاله : تیم تولید محتوا تاریخ انتشار : ۲۱ مرداد ۱۴۰۳ تعداد دفعات نمایش : 901 شناسه مقاله : 54086 تعداد دیدگاه : ۴ نظر آخرین آپدیت مقاله :
۱۸ دی ۱۴۰۳
برچسب

آموزش ایجاد دسترسی از شبکه WAN به LAN 

مقدمه

دوستان در این جلسه از آموزش قرار است که درباره DST NAT با شما صحبت کنیم و ضمن تامین امنیت شبکه، یک دسترسی از شبکه WAN به شبکه LAN ایجاد نماییم. برای آشنایی با روال کار این پروسه لطفاً تا انتهای مقاله با ما همراه باشید :

توضیحات اولیه!

خوب ابتدا نیاز است که به سراغ تصویر زیر برویم :

ایجاد دسترسی از شبکه WAN به شبکه LAN

این تصویر نشان دهنده یک DSTNAT می باشد که قرار است با هم آن را پیاده سازی نماییم. البته که ما قبلاً در بخش NAT، مفصلاً درباره پروسه NAT و DST NAT برای شما صحبت کرده ایم و توضیح دادیم که هر کدام از این مباحث چه معنایی دارند و به چه درد می خورند!

اما در کل این بخش به نحوی مروری بر فصل های گذشته نیز محسوب می شود. بنابراین ما قبل از اجرای هر مورد، ابتدا توضیحاتی را درباره مفهوم مورد به شما ارائه خواهیم داد. با این روال طبیعتاً درک مطالب برای شما آسان تر خواهد شد.

 بر طبق تصویر بالا سناریویی که ما برای شما در نظر گرفته ایم به این صورت است که ما در این تصویر یک روتر داریم و یک شبکه LAN که در سمت راست تصویر قرار دارند. علاوه بر این ما شاهد یک شبکه WAN نیز هستیم که در سمت چپ تصویر قرار گرفته است. در کنار این موارد فایروال، میکروتیک SRS NAT و DST NAT نیز وجود دارند.

خب با این تفاسیر ابتدا ما یک توضیح کوتاه درباره DST NAT به شما می‌دهیم تا مروری بر فصل‌های گذشته باشد و سپس به سراغ پیاده‌سازی خواهیم رفت.

 مرور مباحث گذشته!

 خب ابتدا به موضوع  NATبپردازیم. قبلاً خدمت تان عرض کردیم که دوستان زمانی که ما در حال استفاده از NAT هستیم در واقع در حال انتقال یک آی پی به یک آی آی پی دیگر می‌باشیم. در واقع ما با استفاده از نت آی پی موجود را به یک آی پی قابل فهم برای شبکه مورد نظرمان تبدیل می نماییم. حال اگر آی پی منبع یا SOURCE را TRANSLATE کنیم، مفهوم SRC NAT را پیاده سازی کرده‌ایم و اگر آی پی DST NAT را TRANSLATE کنیم در واقع DST NAT را اجرا کرده ایم.

 البته پروسه DST NAT را با عنوان FORWARD هم می‌شناسیم که کلا به زبان عامیانه به آن FORWARD کردن هم می‌گویند. کلاً در پروسه DST NAT ، آی پی پابلیک برای فهم بیشتر به یک آی پی LAN تبدیل می‌شود.

در ادامه یادآوری می‌کنیم که ما قبلاً در ارتباط با ROTE هم توضیحاتی را ارائه داده بودیم. گفته بودیم که نت در حال تغییر و ترجمه آی پی ها است. اما ROTE در حال مشخص کردن مسیر می‌باشد. در واقع اگر ما روی گیت وی مان درگاه های مختلفی را داشته باشیم، ROTE مشخص می‌کند که چه کلاینتی باید به چه گیت وی متصل شود.

question 05 هرسوالی که داری در انجمن مطرح کن

البته تمام این موارد بستگی به این دارد که چه در خواستی وجود داشته باشد. چرا که درگاه مورد نظر برای اتصال بر طبق همین درخواست تعریف می‌شود.

 خب این موارد توضیحات ابتدایی بود که قبلاً نیز درباره آنها صحبت کرده بودیم. حالا به سراغ اطلاعات درس نامه امروز می‌رویم. قبل از هر چیزی تاکید می‌کنیم که به رنگبندی موجود در داخل عکس نگاه کنید. چرا که تمام این رنگ بندی ها بر طبق برنامه و با هدف انتخاب شده‌اند.

 خب با توجه به تصویر رنگ‌های مشکی قرار گرفته در سمت راست تصویر شبکه‌ ی LAN داخلی ما و خطوط مشکی موجود در سمت چپ تصویر هم شبکه و یا همان شبکه خروجی ما می باشند. حالا کلاینت هایی که در باکس مشکی سمت راست هستند یعنی در شبکه LAN ما قرار دارند قصد اتصال به یک آی پی پابلیک را خواهند داشت. یعنی در شبکه LAN ما کلاینت هایی وجود دارند که می‌خواهند به یک آی پی پابلیک و یا خارجی وصل شوند.

آموزش ایجاد دسترسی از شبکه WAN به شبکه LAN

در واقع در این پروسه این کلاینت ها باید به شبکه WAN متصل شوند و آی پی آنها به آی پی پابلیک تغییر پیدا کند. خب این پروسه را با ذکر یک مثال برای شما شبیه سازی می کنیم. فرض کنید کلاینت ۱۰.۱۸۱ که در شبکه LAN ما قرار دارد با آی پی ۱۰.۱۸۱ قصد اتصال به وب سایت گوگل را دارد.

حالا اتفاقی که در این پروسه می افتد این است که آی پی گوگل تغییر نمی کند و همان آی پی اصلی خودش را دارد. حالا یک سوال اینجا مطرح می‌شود که برای اتصال کدام آی پی باید تغییر کند؟

 پاسخ ساده است؛ نیاز است که ما آی پی صدور سورس یا همان مبدا را در این پروسه تغییر دهیم.

آشنایی با شبکه های LAN و WAN

بر طبق این پروسه اینجاست که آی پی های سورس به آی پی های پابلیک تبدیل می‌شوند. در واقع برای این که کلاینت ها بتوانند از شبکه‌ای لن به شبکه‌ی ون وصل شوند حتماً باید آی پی WAN داشته باشند. وگرنه قادر به اتصال نخواهند بود. به بیانی ساده تر مثلاً آی پی ۱۹۲.۱۶۸.۱۰.۱۸۱به هیچ وجه در شبکه WAN قابل فهم نیست و باید آی پی آن تبدیل شود. و از  آنجایی که سورس آن در حال تغییر است اصطلاحاً گفته می‌شود که srce nat در حال رخ دادن است.

 حالا بر عکس این موضوع نیز صادق است؛ به این صورت که ما کلاینتی را در شبکه‌ی وَن داریم که می‌خواهد به شبکه لَن متصل شود. حال این کلاینت با آی پی عمومی ۲.۱۷۶.۶۷.۷۹ قرار است به سمت شبکه‌ی لَن هدایت شود. در این پروسه تغییر آی پی بر روی dst اتفاق می افتد. در واقع در این پروسه آی پی dst ما به یک آی پی داخلی و lan تغییر پیدا می‌کند و DST NAT اتفاق می افتد. لازم است بدانید که این اتفاق معمولاً بر روی بدنه شبکه رخ می‌دهد.

خب این‌ها مواردی بودند که ما در درس نامه های گذشته نیز در باره آنها صحبت کردیم اما حالا می‌خواهیم مراحل پیاده‌سازی این پروسه ها را ضمن برقراری امنیت به شما آموزش دهیم.

  مرور مباحث امنیت!

 خب در این مرحله ما یک کلاینت را با آی پی ۱۹۲.۱۶۸.۱۰.۱۸۰ داریم که روی پورت سه هزار یک وبی را داراست. در واقع ما بر روی این کلاینت یک وب سروری را راه اندازی کرده ایم. وقتی می‌گوییم وب سرور یعنی نیاز است که ما از طریق مرورگر به آن متصل شویم. حالا سوال اینجاست که این اتصال از طریق چه پروتکلی انجام می‌شود.

 پاسخ ساده است پروتکل HTTP و HTTPS !

حالا کاری که ما می‌خواهیم انجام دهیم این است که قصد ایجاد دسترسی از شبکه‌ WAN به شبکه‌ی LAN را داریم و قرار است که آی پی پابلیک ما روی شبکه و به پورت سه هزار ارسال شود. یعنی اگر درخواستی آمد که پورت آن  ۳۵۵۳ TCP بود باید به کلاینت ۱۹۲.۱۶۸.۱۰.۱۸۰ با پورت ۳۰۰۰ ارسال شود.

 دوستان دقت داشته باشید که تحت هر شرایطی ایجاد دسترسی اعضای شبکه ون به شبکه لن کار بسیار خطرناکی است؛ مگر اینکه بحث امنیت به درستی برقرار شود. در واقع ما قرار است که در این درس نامه بر این موضوع تاکید کنیم که هنگام ایجاد دسترسی از شبکه ون به شبکه لن حتماً باید بحث امنیت به درستی برقرار باشد.

جمع بندی مبحث امنیت در روترهای میکروتیک

در کل از آن جایی که اکثر هک ها بر روی مرکز تلفن و شبکه انجام می‌شود معمولاً از همین طریق اتصال WAN به LAN می باشد. چرا که وقتی شما اتصالی از خارج از شبکه به داخل شبکه باز می‌کنید مسیر را برای هر در خواست دیگری نیز باز خواهید گذاشت. پس حالا کاری که ما می‌خواهیم انجام دهیم این است که درخواستی را به یک سرور داخلی ارسال نماییم و می‌خواهیم این پروسه طی امنیت کامل انجام شود.

  پیاده سازی سناریو امنیت میکروتیک

 دوستان در بحث امنیت ما باید روی میکروتیک یک سری کارها را انجام دهیم که به صورت جنرال هست و اصلا به NAT ربطی ندارد. این پروسه تحت هر شرایطی باید انجام شود. در کل وقتی که قرار است شما از یک روتر در شبکه استفاده کنید باید تمام این رول هایی که در فصل امنیت درباره آنها صحبت کردیم را پیاده‌سازی نمایید. این موارد شامل گزینه های زیر می شوند:

  • تنظیمات اکانت : این مرحله  شامل حذف  یوزر پیش فرض و انتخاب یک پسورد قوی می‌شود.
  • غیر فعال کردن سرویس پورت های غیر ضروری: این کار را در قسمت IP SERVICES انجام می‌دهند. کافی است به این قسمت رفته و یک سری سرویس‌ها را غیر فعال نمایید. البته اگر سرویسی هست که دوست داریم از آن استفاده کنیم حتما باید امنیت آنها را در بخش رل ها لحاظ نمایید.
  • جلوگیری از پورت اسکن: برای این کار هم هر ورودی با این پورت که از پروتکل TCP بود و INTERFACE آن بر روی PPPOE-OUT2 قرار داشت. پی اس پی را برای آن فعال می کنیم و بهتر است که در قسمت اکشن هم گزینه تارپیت را انتخاب نماییم.
  • جلوگیری از ورود پکت های نامعتبر: کافی است در این بخش درخواست های نا معتبر را دراپ کنیم.
  • جلوگیری از ICMP: کلاً این کار هم برای این است که کسی نتواند آی‌پی پابلیک ما را پینگ کند.

  در کل این کارها مواردی بودند که ما برای حفظ امنیت شبکه به صورت دیفالت انجام می‌دادیم. اما در بحث نت ما گفته بودیم که باید یک لیست از آی پی های داخل ایران بسازیم تا اگر یک آی پی خارج از این لیست قصد ورود به شبکه‌ی ما را داشت بتوانیم از آن جلوگیری نماییم.

 شما عزیزان می توانید این لیست را به صورت آپدیت شده از وب‌سایت IP2LOCATION دریافت نمایید. چک لیست برقراری امنیت در بخش امنیت شبکه مفصل توضیح داده شده است شما می‌توانید برای درک بهتر این موضوع از این چک لیست کمک بگیرید. خوب حالا ما یک لیستی را ساخته‌ایم که از آی پی های داخل ایران است و نام این لیست را IP2LOCATION گذاشته‌ایم. این لیست شامل ۱۹۸۹ آی پی داخلی می‌شود.

 حالا ما می‌خواهیم یک DSTNAT تعریف کنیم.

  ایجاد DSTNAT !

 خب در این قسمت به سراغ میکروتیک و سربرگ NAT می‌رویم. حالا باید به سراغ سناریوی اصلی خودمان برویم که قرار است در آن آی پی DSTNAT درخواست دهنده را به آی پی  LAN تغییر دهیم.

 یعنی یک دسترسی از شبکه‌ی ون به شبکه‌ی لن با پورت ۳۵۵۳ tcp به ۳۰۰۰  ایجاد نماییم. برای اینکار ابتدا به سراغ میکروتیک می‌رویم و یک Nat را ایجاد می‌کنیم.

 به بخش New NAT RULE  می‌رویم و CHAIN را بر روی DST NAT قرار می‌دهیم. در ادامه گزینه پروتکل را بر روی TCP، پورت DST را بر روی ۳۵۵۳ می گذاریم. حالا باید تعریف کنیم که اگر این پورت از INTERFACE – PPPOE-OUT2 بیاید و SOURCE آن داخل ایران باشد.

آموزش ایجاد دسترسی از شبکه WAN به شبکه LAN

اکشن DST NAT را به آدرس ۱۹۲.۱۶۸.۱۰.۱۸۰ با پورت ۳۰۰۰ اپلای شود. در این پروسه رول ها نوشته شده است.

آموزش ایجاد دسترسی از شبکه WAN به شبکه LAN

حالا ما روی این رول یک امنیت را برقرار کرده ایم. چطوری؟!

۲ مورد امنیت برقرار شد که شامل موارد زیر می شود :

  • در بخش ADVANCED — > SRC ADDRESS را فقط برای لیست آی پی های داخل ایران تعریف کرده ایم.
  • به هیچ وجه از پورت های پیش فرض استفاده نکرده ایم. چرا که پورت های پیش فرض به راحتی توسط ربات ها و هکرها قابل تشخیص و ردیابی می باشند.
01 21

 جمع بندی و سخن آخر

خوب این مباخث موارد معمی بودن که ما در طی ایجاد DST NAT می توانیم برای برقراری امنیت شبکه انجام دهیم. بادتان باشد که طی هر پروسه، برقراری امنیت شبکه مهم ترین موضوعی است که باید به آن دقت نمایید.

 

درباره تیم تولید محتوا

تیم تولید محتوا و سئو پی بی ایکس شاپ. در تلاشیم تا بهترین محتوای آموزشی را تولید کنیم، همراه ما باشید

دیدگاه شما درباره این مقاله چیست ؟

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

  1. mohammad amin noshiravannia گفت:

    عالی بود ،البته اگر بشه به صورت پیشرفته میکروتیک رو بزارید ممنون میشم،لطفا آموزش کامل سیسکو در همه سطوح رو هم بزارید

    1. ارادتمندم. تا جایی که وقت داشته باشیم، محتوای آموزشی تولید می کنیم برای شما عزیزان.

  2. javad گفت:

    سلام ممنونم بابت اموزش های خوبتون من یه سوال دارم ولی شاید مرتبط نباشه
    من دو تا اینترنت دارم که بصورت پشتیبان دارن کار میکنن که اگر نت اول قطع بشود دومی فعال میشه ولی سوالم اینه که موقه dst nat نوشتن روی اینترنت اول همه چیز اوکیه ولی به محض اینکه اینترنت دوم میاد دیگه dst nat ها قطع میشن راهی هست بشه nat ها رو هم اولویت بندی کرد ؟

    1. سلام و ارادت
      شما باید dsn nat ها را برای هر کانکشن اینترنت بصورت جداگانه بنویسید
      هر کدام که فعال باشد، dsn nat مخصوص همان کانکشن هم فعال خواهد شد

پشتیبانی آنلاین واتساپ

منتظر پیام شما عزیزان هستیم