مرکز فروش و آموزش سرورهای ویپ، تجهیزات شبکه و سانترال پاناسونیک

آموزش محدود کردن nat بر اساس Address List (جلسه ۴۱)

محدود کردن nat بر اساس address list
ویدئوی آموزشیدوره روترهای میکروتیک (جلسه 41)
نویسنده مقاله : تیم تولید محتوا تاریخ انتشار : ۰۲ خرداد ۱۴۰۳ تعداد دفعات نمایش : 994 شناسه مقاله : 52889 تعداد دیدگاه : ۲ نظر آخرین آپدیت مقاله :
۲۷ شهریور ۱۴۰۳
برچسب

محدود کردن nat بر اساس address list 

خوب دوستان در ادامه بخش قبل با هم یاد گرفتیم که چگونه می توانیم یک address list از ip های ایران تهیه کنیم. حالا می خواهیم در این درسنامه با هم و به صورت عملی ببینیم که روال محدود کردن ip ها بر اساس ADDRESS LIST چگونه می باشد.

در واقع قصد داریم که در این درسنامه همان ADDRESS LIST درسنامه قبلی را بر روی یک DST NAT پیاده سازی کنیم. پس ما با همراه باشید :

توضیحات اولیه!

خوب قبل از هر چیزی ابتدا به سراغ ONE NOTE می رویم. مشاهده میکنیم که در ادامه مبحث امنیت شبکه، ما در مرحله ای هستیم که ADDRESS LIST ساخته شده و حالا باید به سراغ مرحله محدود کردن NAT ها بر اساس ADDRESS LIST  برویم.

بر طبق این تصویر سیستم ها بر روی پورت ۵ قرار دارند. ما در این سیستم یک سرور جدید اضافه کرده ایم که آی پی آن ۱۹۲.۱۶۸.۱۰.۱۸۰ و دارای گیت وی ۱۰:۱ می باشد. اما ما بر روی این سرور یک وب سروری را RUN کرده ایم که با پورت ۳۰۰۰ کار می کند.

محدود کردن nat بر اساس Address List

ما قبلاً توضیح داده بودیم که شرایط برای RUN کردن سروس های مختلف بر روی یک سیستم کاملاً فراهم است. پس ما می توانیم سرویس های متنوعی را بر روی هر سیستم RUN کنیم و هر کدام را با یک پورت اجرا کنیم.

محدود کردن NAT ها!

در این قسمت ما به سراغ مرورگر میرویم و IP 192.168.10.180 را با پورت ۳۰۰۰ سرچ می کنیم. خوب؛ در نتیجه سرچ، مشاهده می کنیم که ما اینجا یک وب سروری را داریم که در حال کار کردن است. اما این موضوع اهمیت چندانی ندارد. موضوع هائز اهمیت این است که ما با پورت ۳۰۰۰ به یکی از DNS های سرور ۱۰.۱۸۰ وصل شده ایم.

خوب؛ حالا ما می خواهیم با استفاده لیست آدرسی که ایجاد کرده ایم، پروسه ی محدود کردن NAT ها را شروع کنیم. برای این کار ابتدا به سراغ میکروتیک مان می رویم. حالا در قسمت NEW NAT PLACE  ما یک NAT جدید ایجاد می کنیم.

برای این کار لازم است که CHAIN را بر روی حالت DSTNAT، گزینه PROTOCOL را بر روی TCP، زبانه INTERFACE را بر روی PPPOE OUT2 قرار می دهیم. برای قسمت  DSTPORT هم می توانیم عدد ۳۰۰۰ را وارد کنیم.

محدود کردن nat بر اساس Address List

بعد از این مرحله باید به سراغ زبانه ACTION برویم. این زبانه را بر روی حالت DST NAT قرار می دهیم و برای بخش TO ADDRESS هم IP 190.168.10.180 را با پورت ۳۰۰۰ انتخاب می کنیم.

محدود کردن nat بر اساس Address List

این بدان معناست که اگر درخواستی با IP PUBLIC و پورت ۳۰۰۰ وارد شبکه LAN ما شود و از سرور گذر کند، وارد سوئیچ شود و سرویس مورد نظر را RUN می کند. به طور کلی این روالی است که باید طی شود. حالا در بحث امنیت اولین قدم برای انجام DST NAT این است که جدای ICMP و پورت اسکن، نباید از پورت های پیش فرض استفاده کنیم. الان پورت ۳۰۰۰ یک پورت پیش فرض نیست اما پورت ساده ای است.

با توجه به ساده بودن پورت ۳۰۰۰ صلاح نیست که این پورت به کلاینت مستقیماً ورود کند. بنابراین بهتر است که ما این پورت را به پورت دیگری تغییر دهیم. مثلاً چه پورتی؟

مثلاً به جای ۳۰۰۰ از پورت ۳۵۲۱ استفاده کنیم. بله! پورت ۳۰۰۰ مانند پورت های ۲۲ پورت شناخته شده ای نیست اما بحث ما درباره ی سادگی بیش از اندازه این پورت ها می باشد.

خوب؛ الان ما باید DST NAT را بررسی کنیم که چگونه کار می کند و سپس ما با IP ایران به این DST NAT وصل شویم و بعد آی پی ۳۰۰۰ را تغییر دهیم.

خوب برای اینکه ما با یک آی پی خارج از ایران به IP شرکت وصل شویم از یک موبایل استفاده می کنیم. چون که موبایل ما اینترنت خودش را از سیمکارت می گیرد و در یک رنج دیگر قرار دارد و ربطی به IP PUBLIC آموزشگاه ندارد.

چک کردن DST NAT

برای چک کردن DST NAT باید به سراغ مرورگر برویم و IP PUBLIC را چک کنیم. مشاهده خواهیم کرد که IP PUBLIC  ما ۲.۱۷.۱۱۶.۳۷:۳۰۰۰ می باشد. پس این عبارت را وارد می کنیم و GO را میزنیم.

چک کردن DST NAT

مشاهده می کنیم که پکت ها لیست می شوند و این نشان دهنده برقراری اتصال می باشد. پس عملاً ما از طریق یک اینترنت خارجی به این وب سرور وصل شدیم.

چک کردن دستینیشن نت

حالا ما می توانیم برای برقراری امنیت بالا پورت را تغییر بدهیم؛ به بخش NEW NAT RUL می رویم و به جای ۳۰۰۰، گزینه ی ۳۵۲۱ را قرار می دهیم. بعد از انجام این کار به بخش CONECTION می رویم و آن ها را پاک می کنیم و بعد در قسمت NAT روی عبارت RESET COUNTER کلیک می کنیم.

در این لحظه برای اتصال گوشی باید پورت ۳۰۰۰ را در انتهای IP به عدد ۳۵۲۱ تغییر دهیم.

چک کردن DST NAT

مشاهده می کنیم که اتصال دوباره برقرار می شود. اما دوستان تا به این مرحله ما هنوز از IP ADDRESS  استفاده نکرده ایم. اما حالا زمانش رسیده است. الان باید تعریف کنیم که فقط و فقط IP های ایران به این وب سرور متصل شوند. حالا باید تست کنیم که این NAT نوشته شده به درستی انجام می شود یا نه!

تست با IP داخل ایران!

برای این تست در قسمت ADVANCED زبانه SRC ADDRESS LIST را بر روی حالت IP 2 COLATION قرار می دهیم. IP 2 LOCATION  همان لیستی است که IP های ایران در آن لیست شده اند. روی OK می زنیم.

محدود کردن NAT و تست با IP داخل ایران

خوب حالا این روال تعیین می کند که فقط IP های ایران متصل شوند. حالا با رفرش موبایل باز اتصال انجام می شود. حالا اگر ما IP موبایل مان را تغییر دهیم یعنی فرض کنیم که ما از یک IP  خارج از ایران در حال اتصال به شبکه هستیم.

تست با IP  خارج از ایران

حالا ما IP  گوشی مان را تغییر داده ایم. اگر ما بر روی RESET  بزنیم و گوشی را رفرش کنیم، مشاهده می کنیم که اتصال counters برقرار نیست. این عدم اتصال هم به دلیل خارجی بودن IP می باشد.

تست با IP  خارج از ایران

اما اگر NAT نوشته شده را برعکس و یا NOT کنیم، متوجه می شویم که اتصال برقرار می شود. چرا که طبق فرمان تنها IP  های خارج از ایران می توانند متصل شوند. پس به عبارت NOT حتماً دقت کنید.

محدود کردن NAT و تست با IP  خارج از ایران

جمع بندی

جمع بندی این درسنامه به صورت است که ما می توانیم NAT کنیم و بر طبق این NAT، SRC IP  های خودمان را به آی پی های داخل ایران محدود نماییم. در واقع این راه حل یکی از بهترین راه ها برای تقویت و برقراری امنیت در یک شبکه می باشد. لازم است بدانید که با این روش حتی این امکان وجود دارد که فقط یک تعداد خاصی از IP ها بتوانند وارد شبکه شوند. منظور این است که دست شما برای تعریف قوانین ورود آی پی ها به شبکه تان با این فرمان، کاملاً باز خواهد بود.

 

درباره تیم تولید محتوا

تیم تولید محتوا و سئو پی بی ایکس شاپ. در تلاشیم تا بهترین محتوای آموزشی را تولید کنیم، همراه ما باشید

دیدگاه شما درباره این مقاله چیست ؟

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

  1. رضا محبی گفت:

    سلام مهندس
    وقتتون بخیر
    شما این جلسه از راه اندازی یک وب سرویس روی سرور ما صحبت کردین..حالا من قصد دارم سناریو شما رو شبیه سازی کنم و انجام بدم..ولی در مورد سرور و راه اندازی وب سرویس اطلاعی ندارم..چطور این بخش رو انجام دادین؟ جایی است که بتونم آموزش ببینم؟

    1. سلام،
      متوجه منظور شما نشدم متاسفانه
      لطفا بفرمایید دقیقا چه کاری قرار است انجام دهید تا راهنمایی کنم

پشتیبانی آنلاین واتساپ

منتظر پیام شما عزیزان هستیم