[Dr.WoW] [No.18] Fuente NAT-parte 2

168 0 0 0

Modo de dirección de la interfaz de 4 egresos (Easy-IP)

En el modo de dirección de interfaz de egreso, la dirección IP pública de la interfaz de egreso se utiliza para la traducción de direcciones. Varios usuarios de la red privada comparten la misma dirección IP pública. Por lo tanto, la traducción del puerto también se realiza. Este modo puede considerarse una variante de NAPT.

 

Cuando la salida de un firewall obtiene la dirección IP pública a través del acceso telefónico, no puede agregar la dirección IP pública al conjunto de direcciones porque la dirección pública se obtiene de forma dinámica. En este caso, debe configurar el modo de dirección de la interfaz de egreso para que las direcciones se puedan traducir cuando cambie la dirección IP pública. El modo de dirección de la interfaz de egreso simplifica el proceso de configuración y, por lo tanto, se llama easy-IP, que está disponible en las series USG2000, USG5000 y USG6000.

 

Easy-IP no requiere un grupo de direcciones NAT o una ruta de agujero negro. Todo lo que necesita es especificar la interfaz saliente en la política de dirección NAT, como se muestra en la Figura 1-4.

 

Figura 1-4 Redes Easy-IP

 

054149qpvc0xlc3os0ltx4.png?image.png

 

La configuración es la siguiente:

 

1. Configure una política de NAT.

FW] nat-policy interzone trust untrust outbound

[FW-nat-policy-interzone-trust-untrust-outbound] policy 1

[FW-nat-policy-interzone-trust-untrust-outbound-1] policy source 192.168.0.0 0.0.0.255

[FW-nat-policy-interzone-trust-untrust-outbound-1] action source-nat

[FW-nat-policy-interzone-trust-untrust-outbound-1] easy-ip GigabitEthernet1/0/2   //Specify the outgoing interface.

[FW-nat-policy-interzone-trust-untrust-outbound-1] quit

[FW-nat-policy-interzone-trust-untrust-outbound] quit

2.         Configure a security policy.

[FW] policy interzone trust untrust outbound

[FW-policy-interzone-trust-untrust-outbound] policy 1

[FW-policy-interzone-trust-untrust-outbound-1] policy source 192.168.0.0 0.0.0.255

[FW-policy-interzone-trust-untrust-outbound-1] action permit

[FW-policy-interzone-trust-untrust-outbound-1] quit

[FW-policy-interzone-trust-untrust-outbound] quit

 

Los usuarios en la red privada pueden acceder al servidor web. Si muestra las sesiones en el firewall, puede ver la siguiente información:

[FW] display  firewall session table

Current Total Sessions : 2

  http  VPN:public --> public 192.168.0.2:2054[202.1.1.1:2048]-->210.1.1.2:80

  http  VPN:public --> public 192.168.0.3:2054[202.1.1.1:2049]-->210.1.1.2:80

 

En la tabla de sesiones, podemos ver que las dos direcciones IP privadas se han traducido a la dirección IP pública (202.1.1.1) de la interfaz de egreso y el puerto también se traduce. Si otros usuarios en la red privada acceden al servidor web, las direcciones también se traducen a 202.1.1.1, y el puerto se traduce a diferentes puertos para distinguir a los usuarios.

 

Al igual que NAPT, easy-IP no genera ninguna entrada de mapa de servidor.\

 

5 Smart NAT

Como hemos mencionado anteriormente, NAP No-PAT es una traducción de dirección uno a uno, lo que significa que una dirección pública en el grupo de direcciones puede ser utilizada por un solo usuario de la red privada. Si se utilizan todas las direcciones públicas, otros usuarios no pueden acceder a Internet. Entonces, ¿qué pasa si otros usuarios quieren acceder a Internet? La solución es inteligente NAT.

 

Smart NAT incorpora los beneficios de NAT No-PAT y NAPT. El mecanismo es el siguiente:

 

Digamos que el grupo de direcciones tiene N direcciones IP, y una de ellas está reservada y las direcciones restantes forman la sección de direcciones 1. Durante la traducción de direcciones, las direcciones en la sección 1 se usan preferentemente para la traducción de direcciones uno a uno. Cuando se agotan las direcciones IP en la sección 1, la dirección IP reservada se utiliza para NAPT (traducción de direcciones muchos a uno).

 

Podemos considerar smart NAT como un NAP No-PAT mejorado porque NAT inteligente supera la limitación de NAT No-PAT. En NAT No-PAT, otros usuarios no pueden acceder a Internet si el número de usuarios que acceden a Internet es igual  al número de direcciones públicas en el grupo de direcciones hasta que se liberan las direcciones públicas utilizadas (las sesiones exp****).

 

Si ocurre la misma situación en smart NAT, otros usuarios pueden compartir la dirección IP pública reservada para acceder a Internet.

 

Smart NAT está disponible en USG9500 V300R001. Por lo tanto, la serie USG9500 se usa como un ejemplo para describir la configuración de NAT inteligente, como se muestra en la Figura 1-5.

 

Figura 1-5 Red inteligente de NAT

 

054203i36m6t7y6m863z4c.png?image.png

 

El proceso de configuración detallado es el siguiente:

 

1.    Configure un grupo de direcciones NAT.

 

[FW] nat address-group 1

[FW-address-group-1] mode no-pat local

[FW-address-group-1] smart-nopat 202.1.1.3     //reserved address

[FW-address-group-1] section 1 202.1.1.2 202.1.1.2   //This section cannot contain the reserved address.

[FW-address-group-1] quit

 

 

2.      Configuracion a NAT policy.

 

[FW] nat-policy interzone trust untrust outbound

[FW-nat-policy-interzone-trust-untrust-outbound] policy 1

[FW-nat-policy-interzone-trust-untrust-outbound-1] policy source 192.168.0.0 0.0.0.255

[FW-nat-policy-interzone-trust-untrust-outbound-1] action source-nat

[FW-nat-policy-interzone-trust-untrust-outbound-1] address-group 1   //Reference the NAT address pool.

[FW-nat-policy-interzone-trust-untrust-outbound-1] quit

[FW-nat-policy-interzone-trust-untrust-outbound] quit

 

2.    Configure a security policy.

 

[FW] policy interzone trust untrust outbound

[FW-policy-interzone-trust-untrust-outbound] policy 1

[FW-policy-interzone-trust-untrust-outbound-1] policy source 192.168.0.0 0.0.0.255

[FW-policy-interzone-trust-untrust-outbound-1] action permit

[FW-policy-interzone-trust-untrust-outbound-1] quit

[FW-policy-interzone-trust-untrust-outbound] quit

 

3.    Configuracion rutas blackhole.

 

[FW] ip route-static 202.1.1.2 32 NULL 0

[FW] ip route-static 202.1.1.3 32 NULL 0

 

Si un usuario en la red privada accede al servidor web, la información de la sesión en el firewall es similar a

 

[FW] display firewall session table

Current total sessions: 1

 Slot: 2 CPU: 3

  http  VPN:public --> public 192.168.0.2:2053[202.1.1.2:2053]-->210.1.1.2:80

 

En la tabla de sesión, podemos ver que la dirección IP privada se ha traducido a una dirección IP pública en la sección 1 y el puerto no está traducido.

 

Otros usuarios en la red privada también pueden acceder al servidor web. Si muestra las sesiones en el firewall, puede ver la siguiente información:

 

[FW] display firewall session table

Current total sessions: 3

 Slot: 2 CPU: 3

  http  VPN:public --> public 192.168.0.2:2053[202.1.1.2:2053]-->210.1.1.2:80

  http  VPN:public --> public 192.168.0.3:2053[202.1.1.3:2048]-->210.1.1.2:80

  http  VPN:public --> public 192.168.0.4:2053[202.1.1.3:2049]-->210.1.1.2:80

 

En la tabla de sesiones, podemos ver que las dos direcciones IP privadas se han traducido a la dirección IP pública reservada y el puerto también se ha traducido. Es decir, se realiza NAPT para los dos usuarios.

 

NAPT se realiza utilizando la dirección IP pública reservada solo cuando se agotan las direcciones IP públicas (excepto la dirección reservada) en el conjunto de direcciones.

 

Echemos un vistazo a la tabla de mapas del servidor. Smart NAT incluye NAT No-PAT. Por lo tanto, se generan entradas de mapa de servidor relacionadas.

 

[FW] display firewall server-map

 ServerMap item(s) on slot 2 cpu 3

 ------------------------------------------------------------------------------

 Type: No-Pat,  192.168.0.2[202.1.1.2] -> ANY,  Zone: untrust

 Protocol: ANY(Appro: unknown),  Left-Time:00:05:55,  Pool: 1, Section: 1

 Vpn: public -> public  

 

 Type: No-Pat Reverse,  ANY -> 202.1.1.2[192.168.0.2],  Zone: untrust 

 Protocol: ANY(Appro: unknown),  Left-Time:---,  Pool: 1, Section: 1  

 Vpn: public -> public 

 

6 Triplet NAT

 

Hemos aprendido cuatro tipos de NAT de origen, entre los cuales NAPT es el más utilizado. La fuente NAT no solo alivia el agotamiento de las direcciones públicas, sino que también oculta las direcciones reales de la red privada, lo que mejora la seguridad también. Sin embargo, estas implementaciones de NAT no funcionan bien con P2P, que se usa ampliamente en el intercambio de archivos, comunicaciones de voz y transferencia de video. Cuando NAT cumple con P2P, no es un color de rosa NAT-P2P. En cambio, el resultado es que no puede usar P2P para descargar las últimas películas o video chat.

 

Para resolver este problema, necesitamos triplete de NAT. Para comprender la tripleta NAT, primero debemos comprender el mecanismo P2P y los problemas de los servicios P2P si NAPT está habilitado.

 054253njjk2q864zj8qu25.png?image.png

 

Como se muestra en la Figura 1-6, los servicios P2P se ejecutan tanto en PC2 como en PC2. Para ejecutar los servicios P2P, los dos clientes deben intercambiar mensajes con el servidor P2P para el inicio de sesión y la autenticación. El servidor P2P registra las direcciones y puertos de los clientes. Si la PC1 reside en una red privada, el firewall realiza NAPT para los paquetes destinados desde la PC1 al servidor P2P. Por lo tanto, la dirección del cliente y el puerto registrados en el servidor P2P son la dirección y el puerto públicos posteriores al NAT. Cuando PC2 descarga un archivo, el servidor P2P envía a PC2 la dirección IP y el puerto del cliente en el que reside el archivo solicitado (por ejemplo, la dirección y el puerto de PC1). Luego, PC2 envía una solicitud a PC1 y comienza a descargar el archivo.

Figura 1-6 Proceso de interacción del servicio P2P La interacción parece ser perfecta. Sin embargo, existen dos problemas:

 

1. La PC1 envía paquetes periódicamente al servidor P2P, y NAPT se realiza en estos paquetes. Por lo tanto, la dirección y el puerto están cambiando después de NAPT. Por lo tanto, la dirección y el puerto de PC1 almacenados en el servidor P2P deben actualizarse constantemente, lo que afecta la ejecución de los servicios P2P.

 

2. Más importante aún, el mecanismo de reenvío del firewall determina que los paquetes devueltos por el servidor P2P a la PC1 pueden pasar a través del firewall solo cuando coinciden con la tabla de sesión. Otros hosts, como PC2, no pueden iniciar el acceso a PC1 a través de la dirección y el puerto posteriores a NAT. De forma predeterminada, las políticas de seguridad en el firewall no permiten que tales paquetes pasen.

 

Triplet NAT puede resolver perfectamente estos dos problemas porque NAT triplete tiene las siguientes dos características:

 

1. El puerto post-NAT es estable.

 

Durante un período de tiempo después de que PC1 acceda al servidor P2P, el puerto post-NAT será el mismo cuando PC1 acceda de nue****l servidor P2P o acceda a otros hosts en Internet.

 

2. El acceso iniciado desde Internet es compatible.

 

PC2 puede obtener la dirección y el puerto post-NAT de PC1 para iniciar el acceso a la dirección y el puerto, independientemente de si PC1 ha accedido a PC2. Los paquetes de acceso iniciados desde PC2 a PC1 están permitidos, incluso cuando no se configura una política de seguridad en el firewall para dichos paquetes.

 

Estas características de la tripleta NAT son compatibles con los servicios P2P. Triplet NAT está disponible en USG9500 V300R001. La configuración de NAT triplete se describe a continuación, como se muestra en la Figura 1-7.

 

NOTA

 

Para los firewalls de las series USG2000, USG5000 y USG6000, la ASPF definida por el usuario puede configurarse para garantizar que los servicios P2P sean normales.

 

Figura 1-7 Redes triplete de NAT

 

054308bjglyygyykdgtgxy.png?image.png

 

La configuración de Triplet NAT se describe a continuación. Las rutas de agujero negro no se pueden configurar. De lo contrario, los servicios serán interrumpidos.

 

1. Configurar un grupo de direcciones NAT

 

[FW] nat address-group 1

[FW-address-group-1] mode full-cone local     //Set the mode to triplet NAT.

[FW-address-group-1] section 1 202.1.1.2 202.1.1.3

[FW-address-group-1] quit

 

2.         Configuracion a NAT policy.

[FW] nat-policy interzone trust untrust outbound

[FW-nat-policy-interzone-trust-untrust-outbound] policy 1

[FW-nat-policy-interzone-trust-untrust-outbound-1] policy source 192.168.0.0 0.0.0.255

[FW-nat-policy-interzone-trust-untrust-outbound-1] action source-nat

[FW-nat-policy-interzone-trust-untrust-outbound-1] address-group 1   //Reference the NAT address pool.

[FW-nat-policy-interzone-trust-untrust-outbound-1] quit

[FW-nat-policy-interzone-trust-untrust-outbound] quit

 

3.         Configuracion a security policy.

 

[FW] policy interzone trust untrust outbound

[FW-policy-interzone-trust-untrust-outbound] policy 1

[FW-policy-interzone-trust-untrust-outbound-1] policy source 192.168.0.0 0.0.0.255

[FW-policy-interzone-trust-untrust-outbound-1] action permit

[FW-policy-interzone-trust-untrust-outbound-1] quit

[FW-policy-interzone-trust-untrust-outbound] quit

 

 

Cuando los clientes P2P en la red privada acceden al servidor P2P, la información de la sesión en el firewall es similar a la siguiente:

 

FW] display firewall session table

 Current total sessions: 1

 Slot: 2 CPU: 3

 tcp VPN: public --> public 192.168.0.2:4661[202.1.1.2:3536] --> 210.1.1.2:4096

Desde la tabla de sesiones, podemos ver que la dirección IP privada del cliente P2P se ha traducido a una dirección IP pública y el puerto también se ha traducido. Ahora echemos un vistazo a la tabla de mapas del servidor.

NOTA

? La zona Untrust en la tabla de mapa del servidor se genera porque se especifica el parámetro local en el comando local de cono completo de modo. Si el comando es modo global de cono completo, la zona no se especifica, lo que indica que las zonas de seguridad no están restringidas.

? Para obtener más información sobre el campo FullCone en la tabla de mapas del servidor, consulte 4.1.9 Lecturas adicionales.

 

[FW] display firewall server-map

 ServerMap item(s) on slot 2 cpu 3

 ------------------------------------------------------------------------------

 Type: FullCone Src,  192.168.0.2:4661[202.1.1.2:3536] -> ANY,  Zone: Untrust

 Protocol: tcp(Appro: ---),  Left-Time:00:00:58,  Pool: 1, Section: 0

 Vpn: public -> public  

 Hotversion: 2

  

 Type: FullCone Dst,  ANY -> 202.1.1.2:3536[192.168.0.2:4661],  Zone: Untrust

 Protocol: tcp(Appro: ---),  Left-Time:00:00:58,  Pool: 1, Section: 0  

 Vpn: public -> public 

 Hotversion: 2

 

Desde la tabla de mapas de servidores, podemos ver que se generan dos entradas de mapas de servidores para la tripleta NAT: una entrada de mapas de servidores de origen (FullCone Src) y una entrada de mapas de servidores de destino (FullCone Dst). Las funciones de las dos entradas se describen a continuación:

 

Entrada del mapa del servidor de origen (FullCone Src)

Antes del vencimiento de las entradas, la dirección y el puerto después de la traducción de direcciones son 202.1.1.2:3536 cuando PC1 accede a cualquier host en la zona Untrust, lo que garantiza la consistencia del puerto.

 

Entrada del mapa del servidor de destino (FullCone Dst)

Antes del vencimiento de las entradas, cualquier host en la zona Untrust puede acceder al puerto 4661 en PC1 a 202.1.1.2:3536, lo que significa que los clientes P2P en Internet pueden iniciar la conexión a PC1.

 

Por lo tanto, las entradas de mapa de servidor de origen y destino permiten que el triplete NAT admita los servicios P2P. Desde las entradas del mapa de servidor de origen y destino, podemos ver que solo la dirección IP de origen y el puerto y el protocolo están involucrados en el triplete NAT, y es por eso que se llama NAT "triplete".

 

Como hemos mencionado, la entrada del mapa del servidor de destino permite a los clientes P2P en Internet iniciar conexiones a PC1. Algunos pueden preguntar: ¿son las entradas del mapa del servidor generadas en el triplet NAT las mismas que las de ASPF, de modo que los paquetes que coinciden con las entradas no están sujetos al control de las políticas de seguridad? Hay más que contar. Para la tripleta NAT, los cortafuegos también admiten la función de filtro independiente del punto final. El comando es el siguiente.

[FW] firewall endpoint-independent filter enable           

 

Después de habilitar el filtro independiente del punto final, los paquetes que coincidan con la entrada del mapa de servidor de destino pueden pasar a través del firewall sin que se comparen con las políticas de seguridad. Si la función está deshabilitada, los paquetes que coincidan con las entradas del mapa del servidor de destino también deben coincidir con las políticas de seguridad para determinar si están permitidas. De forma predeterminada, la función de filtro independiente del punto final está habilitada. Es por eso que los clientes P2P en Internet pueden iniciar conexiones a PC1 en la red privada.


  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión