محدود کردن nat بر اساس address list
خوب دوستان در ادامه بخش قبل با هم یاد گرفتیم که چگونه می توانیم یک address list از ip های ایران تهیه کنیم. حالا می خواهیم در این درسنامه با هم و به صورت عملی ببینیم که روال محدود کردن ip ها بر اساس ADDRESS LIST چگونه می باشد.
آنچه در این مقاله می خوانید:
در واقع قصد داریم که در این درسنامه همان ADDRESS LIST درسنامه قبلی را بر روی یک DST NAT پیاده سازی کنیم. پس ما با همراه باشید :
توضیحات اولیه!
خوب قبل از هر چیزی ابتدا به سراغ ONE NOTE می رویم. مشاهده میکنیم که در ادامه مبحث امنیت شبکه، ما در مرحله ای هستیم که ADDRESS LIST ساخته شده و حالا باید به سراغ مرحله محدود کردن NAT ها بر اساس ADDRESS LIST برویم.
بر طبق این تصویر سیستم ها بر روی پورت ۵ قرار دارند. ما در این سیستم یک سرور جدید اضافه کرده ایم که آی پی آن ۱۹۲.۱۶۸.۱۰.۱۸۰ و دارای گیت وی ۱۰:۱ می باشد. اما ما بر روی این سرور یک وب سروری را RUN کرده ایم که با پورت ۳۰۰۰ کار می کند.
ما قبلاً توضیح داده بودیم که شرایط برای RUN کردن سروس های مختلف بر روی یک سیستم کاملاً فراهم است. پس ما می توانیم سرویس های متنوعی را بر روی هر سیستم RUN کنیم و هر کدام را با یک پورت اجرا کنیم.
محدود کردن NAT ها!
در این قسمت ما به سراغ مرورگر میرویم و IP 192.168.10.180 را با پورت ۳۰۰۰ سرچ می کنیم. خوب؛ در نتیجه سرچ، مشاهده می کنیم که ما اینجا یک وب سروری را داریم که در حال کار کردن است. اما این موضوع اهمیت چندانی ندارد. موضوع هائز اهمیت این است که ما با پورت ۳۰۰۰ به یکی از DNS های سرور ۱۰.۱۸۰ وصل شده ایم.
خوب؛ حالا ما می خواهیم با استفاده لیست آدرسی که ایجاد کرده ایم، پروسه ی محدود کردن NAT ها را شروع کنیم. برای این کار ابتدا به سراغ میکروتیک مان می رویم. حالا در قسمت NEW NAT PLACE ما یک NAT جدید ایجاد می کنیم.
برای این کار لازم است که CHAIN را بر روی حالت DSTNAT، گزینه PROTOCOL را بر روی TCP، زبانه INTERFACE را بر روی PPPOE OUT2 قرار می دهیم. برای قسمت DSTPORT هم می توانیم عدد ۳۰۰۰ را وارد کنیم.
بعد از این مرحله باید به سراغ زبانه ACTION برویم. این زبانه را بر روی حالت DST NAT قرار می دهیم و برای بخش TO ADDRESS هم IP 190.168.10.180 را با پورت ۳۰۰۰ انتخاب می کنیم.
این بدان معناست که اگر درخواستی با IP PUBLIC و پورت ۳۰۰۰ وارد شبکه LAN ما شود و از سرور گذر کند، وارد سوئیچ شود و سرویس مورد نظر را RUN می کند. به طور کلی این روالی است که باید طی شود. حالا در بحث امنیت اولین قدم برای انجام DST NAT این است که جدای ICMP و پورت اسکن، نباید از پورت های پیش فرض استفاده کنیم. الان پورت ۳۰۰۰ یک پورت پیش فرض نیست اما پورت ساده ای است.
با توجه به ساده بودن پورت ۳۰۰۰ صلاح نیست که این پورت به کلاینت مستقیماً ورود کند. بنابراین بهتر است که ما این پورت را به پورت دیگری تغییر دهیم. مثلاً چه پورتی؟
مثلاً به جای ۳۰۰۰ از پورت ۳۵۲۱ استفاده کنیم. بله! پورت ۳۰۰۰ مانند پورت های ۲۲ پورت شناخته شده ای نیست اما بحث ما درباره ی سادگی بیش از اندازه این پورت ها می باشد.
خوب؛ الان ما باید DST NAT را بررسی کنیم که چگونه کار می کند و سپس ما با IP ایران به این DST NAT وصل شویم و بعد آی پی ۳۰۰۰ را تغییر دهیم.
خوب برای اینکه ما با یک آی پی خارج از ایران به IP شرکت وصل شویم از یک موبایل استفاده می کنیم. چون که موبایل ما اینترنت خودش را از سیمکارت می گیرد و در یک رنج دیگر قرار دارد و ربطی به IP PUBLIC آموزشگاه ندارد.
چک کردن DST NAT
برای چک کردن DST NAT باید به سراغ مرورگر برویم و IP PUBLIC را چک کنیم. مشاهده خواهیم کرد که IP PUBLIC ما ۲.۱۷.۱۱۶.۳۷:۳۰۰۰ می باشد. پس این عبارت را وارد می کنیم و GO را میزنیم.
مشاهده می کنیم که پکت ها لیست می شوند و این نشان دهنده برقراری اتصال می باشد. پس عملاً ما از طریق یک اینترنت خارجی به این وب سرور وصل شدیم.
حالا ما می توانیم برای برقراری امنیت بالا پورت را تغییر بدهیم؛ به بخش NEW NAT RUL می رویم و به جای ۳۰۰۰، گزینه ی ۳۵۲۱ را قرار می دهیم. بعد از انجام این کار به بخش CONECTION می رویم و آن ها را پاک می کنیم و بعد در قسمت NAT روی عبارت RESET COUNTER کلیک می کنیم.
در این لحظه برای اتصال گوشی باید پورت ۳۰۰۰ را در انتهای IP به عدد ۳۵۲۱ تغییر دهیم.
مشاهده می کنیم که اتصال دوباره برقرار می شود. اما دوستان تا به این مرحله ما هنوز از IP ADDRESS استفاده نکرده ایم. اما حالا زمانش رسیده است. الان باید تعریف کنیم که فقط و فقط IP های ایران به این وب سرور متصل شوند. حالا باید تست کنیم که این NAT نوشته شده به درستی انجام می شود یا نه!
تست با IP داخل ایران!
برای این تست در قسمت ADVANCED زبانه SRC ADDRESS LIST را بر روی حالت IP 2 COLATION قرار می دهیم. IP 2 LOCATION همان لیستی است که IP های ایران در آن لیست شده اند. روی OK می زنیم.
خوب حالا این روال تعیین می کند که فقط IP های ایران متصل شوند. حالا با رفرش موبایل باز اتصال انجام می شود. حالا اگر ما IP موبایل مان را تغییر دهیم یعنی فرض کنیم که ما از یک IP خارج از ایران در حال اتصال به شبکه هستیم.
تست با IP خارج از ایران
حالا ما IP گوشی مان را تغییر داده ایم. اگر ما بر روی RESET بزنیم و گوشی را رفرش کنیم، مشاهده می کنیم که اتصال counters برقرار نیست. این عدم اتصال هم به دلیل خارجی بودن IP می باشد.
اما اگر NAT نوشته شده را برعکس و یا NOT کنیم، متوجه می شویم که اتصال برقرار می شود. چرا که طبق فرمان تنها IP های خارج از ایران می توانند متصل شوند. پس به عبارت NOT حتماً دقت کنید.
جمع بندی
جمع بندی این درسنامه به صورت است که ما می توانیم NAT کنیم و بر طبق این NAT، SRC IP های خودمان را به آی پی های داخل ایران محدود نماییم. در واقع این راه حل یکی از بهترین راه ها برای تقویت و برقراری امنیت در یک شبکه می باشد. لازم است بدانید که با این روش حتی این امکان وجود دارد که فقط یک تعداد خاصی از IP ها بتوانند وارد شبکه شوند. منظور این است که دست شما برای تعریف قوانین ورود آی پی ها به شبکه تان با این فرمان، کاملاً باز خواهد بود.
سلام مهندس
وقتتون بخیر
شما این جلسه از راه اندازی یک وب سرویس روی سرور ما صحبت کردین..حالا من قصد دارم سناریو شما رو شبیه سازی کنم و انجام بدم..ولی در مورد سرور و راه اندازی وب سرویس اطلاعی ندارم..چطور این بخش رو انجام دادین؟ جایی است که بتونم آموزش ببینم؟
سلام،
متوجه منظور شما نشدم متاسفانه
لطفا بفرمایید دقیقا چه کاری قرار است انجام دهید تا راهنمایی کنم