پیاده سازی SOURCE NAT بر روی روتر میکروتیک
ما در این جلسه می خواهیم در مورد SOURCE NAT صحبت کنیم؛ یعنی در ادامه ی جلسه ی قبل که نت ها را به شما معرفی کردیم و تفاوت NAT و روتینگ را هم بررسی کردیم.
آنچه در این مقاله می خوانید:
توضیحات اولیه
همان طور که گفتیم در SOURCE NAT ، آی پی سورس کلاینت هایمان باید با آی پی پابلیک تغییر پیدا کند یا ترنسلیت بشود و در نهایت با روتینگی که روی روتر وجود دارد، دسترسی به اینترنت به وجود بیاید. ما در شبکه ای که الان داریم، یک میکروتیک داریم که یک اینترنت به آن دادیم(از یک مبین نت استفاده کردیم). آی پی ای که خود روترمان دارد، آی پی ۱.۱۰ است و آی پی ۱و۱ می شود گتوی روتر میکروتیکمان که آی پی مبین نت است. اگر به قسمت IP و بخش Routs برویم، می توانیم این را مشاهده کنیم؛
البته آی پی مبین نت ما، ۱.۲ است و ۱.۱ نیست که گتوی روترمان محسوب می شود.
خب در این سناریو، ما یک سری کلاینت ها را هم به آن وصل کردیم؛ مثلا سیستم من، یک کلاینت است و به پورت ۴ روتر میکروتیک وصل است. سیستم من چه IP ای را گرفته است؟ آی پی از شبکه ی LAN و DHCP سروری که روی میکروتیک راه اندازی کردیم، گرفته است و در رنج ۱۰ است.
می خواهیم ببینیم که چه IP ای را دارد. به قسمت IP بخش DHCP Server می رویم و در سربرگ Leases، می توانیم کل کلاینت هایی را که از این DHCP Server آی پی گرفته اند را ببینیم. سیستم من، آ پی ۱۰.۸۰ را گرفته است که MAC آن ۲C:44:FD:14:AB:83 است و گتوی ای که روی سیستم من است چه می شود؟ آی پی ۱۰.۱ است.
اگر به قسمت کنترل پنل و بخش Network برویم و بعد Change adaptor setting و Detail را بزنیم به ما نشان می دهد.
این جا آی پی ۱۰.۸۰ را گرفته، گتوی ما ۱۰.۱ است با DNS هایی که در تصویر می بینید.
این کل کارهایی که کردیم است؛ سیستم من در رنج ۱۰ از میکروتیک آی پی گرفته و قرار است که ما به آن اینترنت بدهیم. عملیات روتینگ را هم روی میکروتیکمان نوشتیم. اگر به قسمت IP و بخش Routs برویم، دیفالت روت در ردیف اول نوشته شده، روتینگ هم انجام شده است.
حالا ما گفتیم که وقتی که عملیات روتینگ را روی روترمان پیاده سازی می کنیم، باید به لحاظ آی پی، دسترسی هم ایجاد کنیم و به کلاینت هایمان که در شبکه هستند، دسترسی بدهیم که به دنیای WAN یا اینترنت وصل بشوند. همان چیزی که در مورد آن در بخش قبلی صحبت کردیم؛ مطابق تصویر زیر.
حالا وقتی که این کلاینت ها می خواهند که به اینترنت وصل بشوند، این کار را نمی توانند با آی پی LAN انجام بدهند و باید آی پی آن ها (آی پی خودشان) تغییر کند یا ترنسلیت بشود. چون آی پی خود کلاینت ها در حال عوض شدن است؛ یعنی سورس (Src) آن ها در حال تغییر کردن است، می گوییم عملیات Src NAT را باید انجام بدهیم که Src کلاینت ها به آی پی قابل درک و فهم در شبکه ی WAN یا در شبکه ی اینترنت، ترنسلیت بشود که به آن سورس نت (SOURCE NAT) می گوییم.
پیاده سازی Src NAT روی میکروتیک
حالا ما می خواهیم Src NAT را روی میکروتیک، پیاده سازی کنیم. ما در فصل قبل برای این که به سیستم خودمان دسترسی به اینترنت بدهیم، یک Src NAT را به صورت ابتدایی نوشتیم و خیلی هم در مورد آن صحبت نکردیم؛ فقط گفتیم که Src NAT به این شکل نوشته می شود؛ برای این که آی پی آن، ترنسلیت بشود. ما می خواهیم آن را کنسل کنیم؛ پس به قسمت IP و بخش Firewall و سپس NAT می رویم. سورس نتی که نوشته بودیم را می بینیم؛ روی آن کلیک کرده و Cancel را می زنیم. ما آن را پاک نکردیم؛ فقط غیر فعال کردیم.
اگر از سمت چپ صفحه مثبت را بزنید (+) می توانید در قسمت Chain ، NAT را بنویسید. حالا می توانید دستینیشن نت و یا سورس نت را بنویسید و هر دو امکان پذیر است.
ما در این بخش، می خواهیم یک Src NAT را برای شما پیاده سازی کنیم. ما در قسمت Src NAT، آپشن های زیادی داریم و شرط هایی وجود دارند که شما می توانید پیاده سازی کنید؛ مثلاً بگویید اگر فلان پروتکل بود یا اگر سورسمان فلان آی پی بود یا اگر دستینیشن آن به فلان جا یا فلان مقصد بود، اگر از In Interface داشت وارد می شد یا از فلان Interface داشت خارج می شد یا به فلان Interface، آن را خارج کن (چون Out Interface دو حالته است و بستگی به کاری دارد که ما در حال انجام دادن آن هستیم) یا می توانیم، لیستی از اینتر فیس ها را در نظر بگیریم و یا می توانیم، محدودیت ها دیگری را در قسمت Advanced در نظر بگیریم؛ بهتر است بگوییم شرط؛ یعنی می توانیم شرایط دیگری را نیز برای آن لحاظ کنیم. در نهایت در قسمت Action می توانیم بگوییم که چه عملیاتی را انجام بدهد. این بخش ها هم برای فیلتر رول ها و هم NAT، تقریباً یکسان است؛ حالا در برخی بخش ها، کم و زیادهایی را دارد.
در قسمت General برای نوشتن Src NAT ما باید چند کار انجام بدهیم:
اول این که باید Chain را روی حالت SOURCE NAT بگذاریم و بگوییم که چه آدرس هایی. اگر هیچ آدرس یا هیچ کلاینتی مد نظرتان نیست، کافی است که هیچ تغییری ندهید؛ ولی اگر قرار است که به تعداد مشخصی کلاینت دسترسی بدهید، می توانید در این قسمت یک آی پی خاص را بنویسید یا رنجی از آی پی را در نظر بگیرید؛ مثلاً بنویسید ۱۹۲.۱۶۸.۱۰.۸۰. اگر جای ۸۰ بنویسیم ۰/۲۴، یعنی کل رنج ۱۰ و همه را شامل می شود یا اگر نگذاریم هر آی پی ای که بود همان می شود.
می توانیم برای دستینیشن آن، یک مقصد انتخاب کنیم، ما گزینه ی پر کاربرد را به شما می گوییم؛ پس می توانید دستینیشن را هم مشخص کنید. در راه اندازی سیپ ترانک ها، ما از این پارامتر استفاده می کنیم؛ چون به لحاظ امنیتی، خیلی به کارمان می آید. می توانیم برای آن، پروتکل بگذاریم یا اگر اینترنت هست، می توانیم برای آن، یک Out Interface را لحاظ کنیم و بگوییم از چه اینترفیسی خارج شو.
اگر کانکشن pppoe استفاده کردید و خواستید Out Interface آن را مشخص کنید، حتماً یادتان باشد که باید خود کانکشن را لحاظ کنید و ether را لحاظ نکنید؛ ولی در مواقع دیگر، غیر از اینترنت که وی پی انی نصب نمی شود و معمولاً روتینگ است از خود ether هم می توانید استفاده کنید و می توانید اصلاً Out Interface را در نظر نگیرید.
پس اگر بخواهیم یک Src NAT کلی برای اینترنت پیاده کنیم، نیازی نیست که سورس یا دستینیشنی انتخاب کنیم یا یک OutInterface را لحاظ کنیم. حال به قسمت Action می رویم و آن را روی Masquerade می گذاریم؛ یعنی آی پی پرایویت را به آی پی پابلیک تبدیل می کند.
حالا این از کجا می فهمد که چه آی پی پرایویتی را باید به چه آی پی پابلیکی تغییر دهد؟ در حالت Masquerade به Route Tables می روید و از روتینگ ها بر اساس درخواستی که شما می دهید، استفاده می کند؛ اگر Static Route باشد، Static Route مناسب با آن درخواست را انتخاب می کند و آی پی پرایویت که آی پی کلاینتمان است را به آی پی پابلیک در آن شبکه در آن روتینگ استفاده می کند و یا اگر اینترنت باشد، مثلاً دیفالت روت را زدید، خودش آی پی پرایویت را به آی پی پابلیک اینترنت، تغییر می دهد.
پس در حالت Masquerade، ما معمولاً برای اینترنت استفاده می کنیم، اما روی Static Routeهایی که زدیم هم می توانیم از این NAT استفاده کنیم. موضوع مهمی که وجود دارد، این است که اگر از اینترنت استفاده می کنید، پیشنهاد ما این است که Masquerade بگذارید و اگر آی پی پابلیک اینترنت Static دارید (داینامیک نبوده و تغییر نکند)، می توانید از گزینه ی Src NAT هم استفاده کنید. SOURCE NAT بشود به آی پی پابلیکمان. این را برای توضیحات بیشتر خدمتتان عرض کردیم.
پس ما در حالت SOURCE NAT ، دو تا Actoin را در Chain سورس نت به شما معرفی می کنیم؛ یکی اکشن Masquerade بود که گزینه ی اولمان بود و گفتیم روی سورس نت Masquerade بگذارید که خودش آی پی پرایویت را به آی پی پابلیک بر اساس روتینگ هایی که نوشته شده، تبدیل یا ترنسلیت کند و نیازی نیست که کاری را انجام بدهید یا اگر خواستید که به یک آی پی پابلیک خاصی تغییر پیدا کند، باید روی حالت Src NAT بگذارید و آی پی پابلیکتان را در قسمت To Address بنویسید.
این می شود همان کانفیگ Src NAT. جزئیات دیگری هم دارد که شما در قسمت Advanced یا Extra می توانید گزینه های دیگری را نیز انتخاب کنید؛ اما ما هدفمان این است که فقط شما را با این موضوع آشنا کنیم و نمی خواهیم که تمام جزئیات را به شما بگوییم؛ چون نیازمند زمان زیادی می باشد و نیاز است که کلاً با این شرایط در NAT یا در فیلتر رول ها و یا در Firewall آشنا شوید که در این دوره، هدف ما نیست و هدف ما، این است که در این جلسه، فقط شما را با Src NAT آشنا کنیم.
پس ما در تنظیمات Src NAT، می توانیم سورسمان را انتخاب کنیم که چه کلاینت هایی باشند، چه مقصدی را داشته باشند (اگر اینترنت باشد، نمی توانیم هیچ مقصدی برای آن لحاظ کنیم)، اگر مثلاً سیپ سرور مخابرات باشد، می توانیم آی پی سیپ سرور را بگذاریم و اگر یک سرور خاصی با یک آی پی خاص مد نظرمان است، می توانیم آن را بگذاریم؛ یعنی اگر فقط به این آی پی خاص برود، آی پی آن را ترنسلیت کن و به آن دسترسی بده و برای کلاینتمان دسترسی ایجاد کن.
پس ما روی پارامترهای Src Address، Dst Address و Out Interface می توانیم در صورت نیاز کار کنیم. اما چون می خواهیم اینترنت را راه اندازی کنیم و قرار است که همه ی کلاینت هایمان به اینترنت دسترسی پیدا کنند، هیچ تغییری را ایجاد نمی کنیم و Action آن را روی حالت Masquerade می گذاریم تا اینترنتمان برقرار شود. الان اگر روی سایت برویم و F5 را بزنیم، ملاحظه می کنیم که اینترنت را داریم و اینترنتمان برقرار است و اگر آن را قطع کنیم، اینترنتمان نیز قطع می شود؛ یعنی دیگر آی پی ما ترنسلیت نشده است.
حالا ابتدا Src NAT را فعال می کنیم. اگر مثلاً بگوییم که یک آی پی خاص NAT شود؛ برای مثال ۱۹۲.۱۶۸.۱۰.۳ و Apply و سپس OK را می زنیم.
یک نکته ی مهم که می خواهیم بگوییم این است که زمانی که روی NAT می خواهید کار کنید، حتماً به قسمت Connections رفته و کل کانکشن ها را با Ctrl+A انتخاب کرده و منفی (-) را بزنید که کل کانکشن هایتان پاک شده و دوباره ساخته بشوند و تغییرات شما، اعمال شوند.
الان ما گفتیم که در Src NAT، فقط اگر سورس آن ۱۰.۳ بود، Masquerade انجام شود و آی پی پرایویت به آی پی پابلیک تغییر پیدا کند. این جا اگر F5 را بزنیم، قاعدتاً نباید رفرش شود. همان طور که در تصویر مشاهده می کنید رفرش نشده و اینترنتمان قطع شده است.
اگر در قسمت Src Address بنویسیم ۲۴/۰۱۰. یعنی کل رنج ۱۰ و اگر این را Apply و سپس OK کنیم و یک بار دیگر چک کنیم، مشاهده می کنیم که اینترنتمان درجا وصل شده است و ما اینترنت داریم.
روی NAT گفتیم اگر Dst Address مشخص باشد می توانیم بگذاریم؛ ولی چون این جا ما می خواهیم به اینترنت وصل شویم و مقصد خاصی مد نظرمان نیست و کل اینترنت هست، ما در این قسمت محدودیتی برای آن نمی گذاریم. روی Out Interface می توانیم بگوییم که از چه اینتر فیسی خارج بشود؛ اما می توانیم هیچ Out اینتر فیسی هم نگذاریم. ما این جا برای این که این سناریو تکمیل شود، ما آن را روی ether1 می گذاریم(چون اینترنتمان روی پورت ether1 است). می گوییم روی ether1 و Dst Address 10.0 یعنی همه.
حالا F5 را می زنیم و مشاهده می کنیم که اینترنت داریم و هیچ مشکلی وجود ندارد.
خب دوستان این هم از بخش Src NAT و در جلسه ی بعدی هم ما با Src NAT و انواع NAT سروکار داریم که قطعاً مسلط می شوید و می توانید در پروژه هایتان از Src NAT و Dst NATها استفاده کنید. حال به سراغ بخش بعدی آموزش برویم.
با درود فروان خدمت استاد عزیز و ارزوی سلامتی برای شما.
در این ویدو در قسمت NAT RULE در سربگ general قسمت Src address و DST address اینجا مگه کارش ترنسلیت نیست؟و در قسمت DST ما باید IP مقصد بگذاریم؟مگه نگفتید که DST پابلیک به پراویت است.اینجا چطوری تشخیص می دهد که این ip دستنیشن است .
سلام و درود بر شما دوست گرامی
اینکه ip پابلیک باید ترنسلیت شود یا ip source بستگی به انتخاب chain دارد
اگر srcnat را انتخاب کنید، ip source ترنسلیت می شود
اگر dst nat را انتخاب کنید، ip destination ترنسلیت می شود
درود مجدد.
استاد در سر برگ جنرال src address مال یک یا چند کلاینت میشه.ولی dst address برا یک کلاینت استفاده میشه.
متوجه نشدم چرا وقتی در chien را روی src nat میگذاریم نقش s
dst address چیست و یا بلعکس
اوکی ، توجه بفرمایید
در src nat هدف ما این است که ip سورس را تغییر دهیم یعنی ip سورس را با ip پابلیک ترنسلیت کنیم
پس در src address باید رنج ip کلاینت ها را قرار دهیم یا اگر یک کلاینت مدنطر ما هست، همان یک ip را قرار می دهیم
مثلا اگر سابنت ما ۱۹۲.۱۶۸.۱.۰/۲۴ است و ip کلاینت ما هم ۱۹۲.۱۶۸.۱.۱۰ است ، اگر ip کلاینت را قرار دهیم، فقط به همین کلاینت اجازه استفاده از src nat را داده ایم اما اگر کل رنج را قرار دهیم (۱۹۲.۱۶۸.۱.۰/۲۴) شامل همه کلاینت ها خواهد شد و همه کلاینت ها در این سابنت می توانند از این src nat استفاده کنند
اما در dst address باید مشخص کنیم که مقصد پکت ها کجاست
اگر هدف استفاده از اینترنت هست، چون مقصد مشخصی وجود ندارد ، نباید ip قرار دهیم
اوکی
مثلا ما در سورس نت یک ای پی میگذاریم.این یعنی اینکه فقط این سیستم اجازه دست رسی دارد.
در دیستسنشن ادرس هم همین همین مفهوم را می دهد؟
بله دقیقا
وقتی یک ای پی کلاینت در سورس نت قرار میدهید یعنی فقط همین کلاینت می تواند از این سورس نت استفاده کند
و زمانیکه مقصد را هم به یک ای پی خاص محدود میکنید
یعنی کلاینت یا کلاینت هایی که در سورس ادرس نوشته اید فقط در صورتی می توانند از این سورس نت استفاده کنند که مقصد انها دقیقا ای پی یا رنج ای پی هایی باشد که در dst add نوشته اید
درود مجدد.
یعنی هر موقعه که در مبدا سورس نت را مشخص میکنیم باید در مقصد هم مشخص کنیم یعنی دیستینشن ان باید مشخص کنیم.؟
یا اینکه فقط یک طرف ان کافی است.
سپاس از شما
بستگی به سناریو شما دارد
مقصد اگر مشخص و ثابت باشد می توانید در src add بنویسید
اما زمانیکه مشخص نیست، باید خالی بگذارید
استاد با عرض پوزش.
کل کار این طوری هست که در قسمت General ورودی ها را می نویسیم مثلا در قسمت dst Adderess ادرس ای پی مودم خودمان که اینترنت گرفته ایم. و در پورت هم یک پورت مثلا ۹۰۹۵جهت امنیت وارد میکنیم. در سر برگ Action در قسمت dst-nat انتخاب و در قسمت to address هم مقصد مان که مثلا ip یک dvr است و جهت امنیت بیشتر پورت ۷۰۶۵ تغییر می دهیم را وارد میکنیم .
ممنون بابت پاسخگویتان
خواهش میکنم
بله دقیقا
شما پورت ۹۰۹۵ را به ۷۰۶۵ انتقال داده اید
یعنی درخواست ها به پورت ۹۰۹۵ وارد میشود