j'ai compris

[Dr.WoW] [No.19] Serveur NAT

publié il y a  2020-4-28 13:52:32 8 0 0 0

1 mécanisme de serveur NAT

Les écoles et les entreprises peuvent devoir fournir des services aux utilisateurs externes. Les serveurs qui fournissent de tels services utilisent généralement des adresses privées et ne sont pas accessibles aux utilisateurs sur Internet. Dans ce cas, comment configurer le pare-feu comme passerelle pour résoudre le problème?

Les lecteurs qui ont lu sur le NAT source doivent avoir pensé au NAT.

Bingo! Vous êtes dans la bonne direction. Cependant, le NAT source fonctionne bien lorsque les utilisateurs d'un réseau privé doivent accéder à Internet. Cependant, la situation est tout le contraire ici. Le serveur sur un réseau privé fournit des services et les utilisateurs sur Internet imitent l'accès au serveur. L'adresse à traduire passe de l'adresse source à l'adresse de destination. Par conséquent, nous nommons ce serveur NAT d'implémentation.

Utilisons la figure 1-1 pour illustrer comment configurer le serveur NAT sur le pare-feu. Le serveur NAT a également besoin d'une adresse IP publique, tout comme dans le NAT source. Cependant, vous n'avez pas besoin de mettre l'adresse publique dans un pool d'adresses. Disons que l'adresse publique est 1.1.1.1 dans cet exemple.


REMARQUE


Si possible, n'utilisez pas l'adresse IP de l'interface WAN sur le pare-feu comme adresse publique pour NAT. Si vous devez le faire, spécifiez le protocole et le port lors de la configuration du serveur NAT pour éviter les conflits entre le serveur NAT et les fonctions de gestion, telles que Telnet et l'interface Web.

Figure 1-1 Mise en réseau du serveur NAT

[Dr.WoW] [No.19] Serveur NAT-1327835-1

 

Le serveur NAT est configuré comme suit:

1.          Configurez le serveur NAT.

Exécutez la commande suivante sur le pare-feu pour mapper l'adresse privée (10.1.1.2) du serveur à une adresse publique (1.1.1.1).

[FW] nat server global 1.1.1.1 inside 10.1.1.2

Si plusieurs protocoles et ports sont activés sur le même serveur, cette configuration rendra tous les services accessibles aux utilisateurs sur Internet, entraînant des risques de sécurité. Les pare-feu Huawei prennent en charge le serveur NAT spécifique au service afin que seuls les services spécifiés soient accessibles aux utilisateurs sur Internet après la configuration du serveur NAT. Par exemple, nous pouvons mapper le port 80 au port 9980 pour que les utilisateurs sur Internet y accèdent.


REMARQUE

Dans cet exemple, le port 80 est traduit en port 9980 au lieu du port 80 car certains opérateurs bloqueront les nouveaux services sur les ports 80, 8000 et 8080.

[FW] nat server protocol tcp global 1.1.1.1 9980 inside 10.1.1.2 80 

Une fois le serveur NAT configuré, des entrées de mappage de serveur seront générées. Cependant, contrairement au NAT source, les entrées de mappage de serveur dans le serveur NAT sont statiques et ne sont pas déclenchées par des paquets. Les entrées seront générées automatiquement après la configuration du serveur NAT et seront automatiquement supprimées après la suppression de la configuration du serveur NAT. Les entrées de mappage de serveur dans le serveur NAT ressemblent à la sortie suivante:

[FW] display firewall server-map

server-map item(s)

 ------------------------------------------------------------------------------

 Nat Server, any -> 1.1.1.1:9980[10.1.1.2:80], Zone: ---

   Protocol: tcp(Appro: unknown), Left-Time: --:--:--, Addr-Pool: ---

   VPN: public -> public

 

 Nat Server Reverse10.1.1.2[1.1.1.1] -> any, Zone: ---

   Protocol: any(Appro: ---), Left-Time: --:--:--, Addr-Pool: ---

   VPN: public -> public


Tout comme le triplet NAT, le serveur NAT génère également deux entrées de mappage de serveur:

  • Transférer l'entrée de la carte du serveur

"Nat Server, any -> 1.1.1.1:9980[10.1.1.2:80]" est l'entrée de mappage de serveur de transfert, qui enregistre le mappage entre l'adresse / port privé et l'adresse / port public. "[10.1.1.2:80]" est l'adresse et le port privés du serveur, et 1.1.1.1:9980 est l'adresse et le port publics. Si nous traduisons l'entrée en mots humains, c'est: Lorsqu'un client établit une connexion vers 1.1.1.1:9980, l'adresse et le port de destination seront traduits en 10.1.1.2:80. Cette entrée est utilisée pour traduire l'adresse de destination et le port des paquets destinés d'Internet au serveur.

  • Renvoyer l'entrée de la carte du serveur

"Nat Server Reverse, 10.1.1.2 [1.1.1.1] -> any" est l'entrée de retour de la carte du serveur. Il est utilisé pour traduire l'adresse source privée en une adresse publique lorsque le serveur initie l'accès à Internet sans utiliser de stratégie NAT source. C'est la partie douce du serveur NAT, car vous pouvez utiliser une commande pour configurer NAT dans les deux sens entre le serveur et Internet.

Ici, le mot "traduire" apparaît plusieurs fois. Oui. Les entrées sont simplement une traduction d'adresse, que ce soit dans le sens aller ou retour. Ils ne sont pas comme les entrées de mappage de serveur dans ASPF. Dans ASPF, les entrées de mappage de serveur peuvent créer un canal qui peut contourner les stratégies de sécurité. Par conséquent, dans le serveur NAT, vous devez configurer des stratégies de sécurité pour autoriser le trafic dans les deux sens entre le serveur privé et Internet.

2.          Configurez une politique de sécurité.

Vient maintenant une question typique posée par des milliers de personnes: pour permettre aux utilisateurs sur Internet d'accéder au serveur privé dans la configuration du serveur NAT, l'adresse de destination dans la politique de sécurité est-elle l'adresse privée ou l'adresse publique? Avant de répondre à cette question, examinons d'abord comment le pare-feu traite les paquets destinés aux utilisateurs d'Internet vers le serveur privé.

Lorsqu'un utilisateur lance l'accès à 1.1.1.1:9980 (le serveur privé), le pare-feu vérifie si le paquet correspond à une entrée de mappage de serveur. Si une correspondance est trouvée, le pare-feu traduit l'adresse et le port de destination en 10.1.1.2:80. Ensuite, le pare-feu recherche une interface sortante pour l'adresse de destination 10.1.1.2. Ensuite, le pare-feu vérifie les zones de sécurité où résident les interfaces entrantes et sortantes pour déterminer la stratégie de sécurité interzone. Par conséquent, l'adresse de destination dans la stratégie de sécurité doit être l'adresse privée et non l'adresse publique mappée à l'adresse privée du serveur . Par conséquent, la politique de sécurité pour cet exemple doit être:

[FW] policy interzone dmz untrust inbound

[FW-policy-interzone-dmz-untrust-inbound] policy 1

[FW-policy-interzone-dmz-untrust-inbound-1] policy destination 10.1.1.2 0

[FW-policy-interzone-dmz-untrust-inbound-1] policy service service-set http

[FW-policy-interzone-dmz-untrust-inbound-1] action permit

[FW-policy-interzone-dmz-untrust-inbound-1] quit

[FW-policy-interzone-trust-untrust-outbound] quit


Si le paquet est autorisé par les politiques de sécurité, le pare-feu crée la session suivante et transfère le paquet au serveur privé.

[FW] display firewall session table

 Current Total Sessions : 1

  http VPN:public --> public 1.1.1.2:2049-->1.1.1.1:9980[10.1.1.2:80]


Lors de la réception du paquet, le pare-feu répond au paquet. Une fois que le paquet de réponses arrive sur le pare-feu et correspond à la table de session, le pare-feu traduit l'adresse source et le port du paquet en 1.1.1.1:9980 et transfère le paquet à Internet. Lorsque les paquets suivants entre l'utilisateur et le serveur privé arrivent sur le pare-feu, le pare-feu traduit l'adresse et le port en fonction de la table de session, et non de l'entrée de mappage de serveur.

Le paquet capture avant et après NAT montrent les résultats du serveur NAT:

l  L'adresse de destination et le port des paquets destinés de l'utilisateur sur Internet au serveur privé sont traduits.


[Dr.WoW] [No.19] Serveur NAT-1327835-2 

l  L'adresse source et le port des paquets destinés du serveur privé à l'utilisateur sur Internet sont traduits.


[Dr.WoW] [No.19] Serveur NAT-1327835-3

 

3.          Configurez un itinéraire de trou noir.

Pour éviter les boucles de routage, une route de trou noir doit être configurée pour le serveur NAT.

[FW] ip route-static 1.1.1.1 32 NULL 0

2 Serveur NAT dans un scénario multi-sorties

Comme le NAT source, le serveur NAT doit également traiter le scénario de sortie multiple. Comme le montre l'exemple suivant, le pare-feu possède deux liaisons FAI. Le serveur NAT est configuré comme suit:

1.          Configurez le serveur NAT.

Comme le montre la figure 1-2, une entreprise a déployé un pare-feu à la sortie du réseau en tant que passerelle, qui est connectée à Internet via les liaisons ISP1 et ISP2 afin que les utilisateurs sur Internet puissent accéder au serveur sur le réseau privé.

Figure 1-2 Mise en réseau du serveur NAT dans le scénario double FAI


[Dr.WoW] [No.19] Serveur NAT-1327835-4 

En tant que passerelle de sortie, le pare-feu est connecté à deux FAI. Par conséquent, la configuration du serveur NAT est divisée en deux parties afin que le serveur privé puisse fournir des services via des adresses publiques obtenues auprès des deux FAI. Deux méthodes sont disponibles:

Méthode 1: ajoutez les interfaces WAN connectées aux deux FAI à différentes zones de sécurité et spécifiez le paramètre de zone lors de la configuration du serveur NAT. De cette manière, le serveur peut publier différentes adresses IP publiques dans différentes zones de sécurité, comme le montre la figure 1-3.

Figure 1-3 Mise en réseau du serveur NAT dans le scénario double FAI (interfaces WAN dans différentes zones de sécurité)



[Dr.WoW] [No.19] Serveur NAT-1327835-5 

Dans l'exemple suivant, l'adresse publique annoncée à ISP1 est 1.1.1.20 et celle annoncée à ISP2 est 2.2.2.20.

Ajoutez des interfaces aux zones de sécurité.

[FW] firewall zone dmz

[FW-zone-dmz] add interface GigabitEthernet1/0/4

[FW-zone-dmz] quit

[FW] firewall zone name isp1

[FW-zone-isp1] set priority 10

[FW-zone-isp1] add interface GigabitEthernet1/0/2

[FW-zone-isp1] quit

[FW] firewall zone name isp2

[FW-zone-isp2] set priority 20

[FW-zone-isp2] add interface GigabitEthernet1/0/3

[FW-zone-isp2] quit


Configurez le serveur NAT avec le paramètre de zone spécifié.

[FW] nat server zone isp1 protocol tcp global 1.1.1.20 9980 inside 172.16.0.2 80

[FW] nat server zone isp2 protocol tcp global 2.2.2.20 9980 inside 172.16.0.2 80


Configurez deux stratégies de sécurité en fonction de la relation entre zones.

[FW] policy interzone isp1 dmz inbound

[FW-policy-interzone-dmz-isp1-inbound] policy 1

[FW-policy-interzone-dmz-isp1-inbound-1] policy destination 172.16.0.2 0

[FW-policy-interzone-dmz-isp1-inbound-1] policy service service-set http

[FW-policy-interzone-dmz-isp1-inbound-1] action permit

[FW-policy-interzone-dmz-isp1-inbound-1] quit

[FW-policy-interzone-dmz-isp1-inbound] quit

[FW] policy interzone isp2 dmz inbound

[FW-policy-interzone-dmz-isp2-inbound] policy 1

[FW-policy-interzone-dmz-isp2-inbound-1] policy destination 172.16.0.2 0

[FW-policy-interzone-dmz-isp2-inbound-1] policy service service-set http

[FW-policy-interzone-dmz-isp2-inbound-1] action permit

[FW-policy-interzone-dmz-isp2-inbound-1] quit

[FW-policy-interzone-dmz-isp2-inbound] quit


Bien sûr, n'oubliez pas les itinéraires blackhole.

[FW] ip route-static 1.1.1.20 32 NULL 0

[FW] ip route-static 2.2.2.20 32 NULL 0

After the configuration, the following server-map entries are generated on the firewall.

[FW] display firewall server-map

server-map item(s)

 ------------------------------------------------------------------------------

Nat Server, any -> 1.1.1.20:9980[172.16.0.2:80], Zone: isp1

   Protocol: tcp(Appro: unknown), Left-Time: --:--:--, Addr-Pool: ---

   VPN: public -> public

 

 Nat Server Reverse, 172.16.0.2[1.1.1.20] -> any, Zone: isp1

   Protocol: any(Appro: ---), Left-Time: --:--:--, Addr-Pool: ---

   VPN: public -> public

 

 Nat Server, any -> 2.2.2.20:9980[172.16.0.2:80], Zone: isp2

   Protocol: tcp(Appro: unknown), Left-Time: --:--:--, Addr-Pool: ---

   VPN: public -> public

 

 Nat Server Reverse, 172.16.0.2[2.2.2.20] -> any, Zone: isp2

   Protocol: any(Appro: ---), Left-Time: --:--:--, Addr-Pool: ---

   VPN: public -> public


Nous pouvons voir que les entrées de mappage de serveur avant et arrière sont générées. Les entrées de mappage de serveur de transfert permettent aux utilisateurs sur Internet d'accéder au serveur privé, et les entrées de mappage de serveur de retour permettent au serveur privé d'initier l'accès à Internet.

Par conséquent, nous vous recommandons d'ajouter les interfaces WAN connectées à ISP1 et ISP2 à différentes zones de sécurité et de configurer le serveur NAT avec le paramètre de zone spécifié. Si les deux interfaces ont été ajoutées à la même zone et ne peuvent pas être modifiées, il existe un autre moyen.

Méthode 2: spécifiez le paramètre no-reverse lors de la configuration du serveur NAT afin que le serveur puisse publier deux adresses IP publiques, comme le montre la figure 1-4.

Figure 1-4 Mise en réseau du serveur NAT dans un scénario double FAI (interfaces WAN dans la même zone de sécurité)



[Dr.WoW] [No.19] Serveur NAT-1327835-6 

Dans ce scénario, le paramètre no-reverse doit être spécifié pour garantir le fonctionnement du serveur NAT. L'exemple suivant illustre la configuration du serveur NAT. Certaines configurations sont les mêmes que dans la méthode 1 et sont donc omises.

Configurez le serveur NAT avec le paramètre no-reverse spécifié.

[FW] nat server protocol tcp global 1.1.1.20 9980 inside 172.16.0.2 80 no-reverse

[FW] nat server protocol tcp global 2.2.2.20 9980 inside 172.16.0.2 80 no-reverse


Après la configuration, les entrées de mappage de serveur suivantes sont générées sur le pare-feu.

[FW] display firewall server-map

server-map item(s)

 ------------------------------------------------------------------------------

Nat Server, any -> 1.1.1.20:9980[172.16.0.2:80], Zone: ---

   Protocol: tcp(Appro: unknown), Left-Time: --:--:--, Addr-Pool: ---

   VPN: public -> public

 

 Nat Server, any -> 2.2.2.20:9980[172.16.0.2:80], Zone: ---

   Protocol: tcp(Appro: unknown), Left-Time: --:--:--, Addr-Pool: ---

   VPN: public -> public


Nous pouvons voir que seules les entrées de mappage de serveur vers l'avant sont générées pour permettre aux utilisateurs sur Internet d'accéder au serveur privé. Cependant, pour permettre au serveur privé de lancer l'accès à Internet, vous devez configurer une stratégie NAT dans l'interzone Trust-to-Untrust .

Vous pouvez demander que se passe-t-il si nous ne spécifions pas le paramètre no-reverse et configurons deux entrées de serveur NAT? La réponse est que les deux commandes du serveur NAT ne peuvent pas être livrées si nous ne spécifions pas le paramètre.

[FW] nat server protocol tcp global 1.1.1.20 9980 inside 172.16.0.2 80

[FW] nat server protocol tcp global 2.2.2.20 9980 inside 172.16.0.2 80

  Error: This inside address has been used!


Voyons ce qui se passera si les deux commandes peuvent être livrées. Exécutons une commande sur un pare-feu et l'autre commande sur l'autre pare-feu et vérifions les entrées de mappage de serveur sur les deux pare-feu.

[FW1] nat server protocol tcp global 1.1.1.20 9980 inside 172.16.0.2 80

[FW1] display firewall server-map

server-map item(s)

 ------------------------------------------------------------------------------

Nat Server, any -> 1.1.1.20:9980[172.16.0.2:80], Zone: ---

   Protocol: tcp(Appro: unknown), Left-Time: --:--:--, Addr-Pool: ---

   VPN: public -> public

 

 Nat Server Reverse172.16.0.2[1.1.1.20] -> any, Zone: ---

   Protocol: any(Appro: ---), Left-Time: --:--:--, Addr-Pool: ---

   VPN: public -> public

 

[FW2] nat server 1 global 2.2.2.20 inside 172.16.0.2

[FW2] display firewall server-map

server-map item(s)

 ------------------------------------------------------------------------------

 Nat Server, any -> 2.2.2.20:9980[172.16.0.2:80], Zone: ---

   Protocol: tcp(Appro: unknown), Left-Time: --:--:--, Addr-Pool: ---

   VPN: public -> public

 

 Nat Server Reverse172.16.0.2[2.2.2.20] -> any, Zone: ---

   Protocol: any(Appro: ---), Left-Time: --:--:--, Addr-Pool: ---

   VPN: public -> public


Nous pouvons voir que l'entrée de carte de serveur de retour sur un pare-feu traduit l'adresse source 172.16.0.2 en 1.1.1.20, et que sur l'autre pare-feu traduit l'adresse source 172.16.0.2 en 2.2.2.20. Si les deux entrées de mappage de serveur de retour apparaissent sur le même pare-feu, que se passera-t-il? Le pare-feu doit traduire l'adresse source 172.16.0.2 en 1.1.1.20 et 2.2.2.20. Ensuite, le pare-feu ne sait pas quoi faire. C'est le problème si nous ne spécifions pas le paramètre no-reverse dans la commande nat server . Si le paramètre no-reverse est spécifié, les entrées de mappage de serveur de retour ne seront pas générées et ce problème ne se produira pas.

2.          Configurez la fonction d'équilibrage de charge persistante.

Nous avons appris à déterminer s'il faut spécifier la zone ou le paramètre sans inversion selon que les interfaces WAN connectées à ISP1 et ISP2 sont ajoutées à la même zone de sécurité. Cependant, nous devons considérer plus que cela dans le scénario double FAI. Nous devons également déterminer quel FAI sera utilisé pour accéder au serveur privé.

Par exemple, si les utilisateurs du réseau ISP1 accèdent au serveur privé via l'adresse publique attribuée par ISP2, l'itinéraire est un détour. De plus, les deux FAI peuvent ne pas être connectés l'un à l'autre. En conséquence, la connexion sera lente, voire indisponible.

Par conséquent, nous devons éviter de telles situations pour garantir que l'adresse publique annoncée pour les utilisateurs sur le réseau ISP1 est l'adresse publique obtenue à partir d'ISP1 et que pour les utilisateurs sur le réseau ISP2 est l'adresse publique obtenue à partir d'ISP2.


En outre, lorsque le pare-feu traite les paquets de retour du serveur privé, un tel problème peut également se produire. Comme le montre la figure 1-5, les utilisateurs du réseau ISP1 accèdent au serveur privé via l'adresse publique obtenue à partir d'ISP1 et les paquets sont reçus sur GE1 / 0/2. Lorsque les paquets de retour du serveur privé arrivent sur le pare-feu, bien que les paquets correspondent à la table de session et que NAT soit effectué, le pare-feu doit déterminer l'interface sortante en fonction de l'adresse de destination. Si le pare-feu a une route par défaut mais n'a pas de route spécifique vers l'utilisateur sur Internet, les paquets de retour peuvent être transmis via GE1 / 0/3, qui est connecté au réseau ISP2. Les paquets transmis via le réseau ISP2 peuvent ne pas arriver sur le réseau ISP1.

Figure 1-5 Trafic du serveur NAT interrompu car les paquets de transfert et de retour ne transitent pas par la même interface de pare-feu

[Dr.WoW] [No.19] Serveur NAT-1327835-7

 

Pour résoudre ce problème, nous pouvons configurer des itinéraires vers les utilisateurs sur les réseaux ISP1 et ISP2. Cependant, les réseaux ISP1 et ISP2 ont un grand nombre de réseaux et la configuration manuelle n'est pas pragmatique. Pour résoudre ce problème, le pare-feu fournit la fonction d'équilibrage de charge persistante, ce qui signifie que les paquets empruntent le même itinéraire, sans dépendre de la table de routage pour déterminer l'interface sortante.

La fonction d'équilibrage de charge persistante doit être configurée sur les deux interfaces de pare-feu connectées aux réseaux ISP1 et ISP2. Les commandes suivantes sont utilisées pour activer l'équilibrage de charge permanent sur GE1 / 0/2. Dans cet exemple, le prochain saut sur ISP1 est 1.1.1.254. Les commandes sont disponibles sur la série USG9500.

[FW] interface GigabitEthernet 1/0/2

[FW-GigabitEthernet1/0/2] redirect-reverse nexthop 1.1.1.254

For USG2000 or USG5000 series, the commands are:

[FW] interface GigabitEthernet 1/0/2

[FW-GigabitEthernet1/0/2] reverse-route nexthop 1.1.1.254

For USG6000 series, the commands are:

[FW] interface GigabitEthernet 1/0/2

[FW-GigabitEthernet1/0/2] gateway 1.1.1.254

[FW-GigabitEthernet1/0/2] reverse-route enable

 

 

 

Pour afficher la liste de tous les postes techniques du Dr. WoW, cliquez ici .


  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Communauté de Support de Huawei Entreprise
Communauté de Support de Huawei Entreprise
Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.