Acerca de la función NAT del sistema
NAT------La traducción de direcciones de red convierte una dirección de red privada (Intranet) en una dirección pública (como Internet), ocultando así la dirección IP administrada internamente desde el exterior. Esto reduce el costo del registro de direcciones IP y ahorra espacio de direcciones que es cada vez más escaso (es decir, IPv4) al utilizar direcciones IP no registradas internamente y convertirlas en un pequeño conjunto de direcciones IP registradas externamente. Al mismo tiempo, esto también oculta la estructura de la red interna, reduciendo así el riesgo de ataques a la red interna.
Las funciones NAT suelen estar integradas en enrutadores, firewalls y dispositivos NAT independientes. Por supuesto, la mayoría de los sistemas operativos u otro software más populares (principalmente software proxy, como WINROUTE) también tienen funciones NAT. El dispositivo (o software) NAT mantiene una tabla de estado para asignar la dirección IP privada de la red interna a la dirección IP legal de la red externa. Cada paquete se traduce a la dirección IP correcta en el dispositivo (o software) NAT y se envía al siguiente nivel. A diferencia de los enrutadores comunes, los dispositivos NAT en realidad modifican el encabezado del paquete, cambiando la dirección de origen de la red interna a la dirección de red externa del propio dispositivo NAT, mientras que los enrutadores comunes solo leen la dirección de origen y la dirección del paquete antes de reenviar el paquete al destino. dirección de destino.
NAT se divide en tres tipos: NAT de declaración (staticNAT), NAT pool (pooledNAT) y NAT de producto (PAT). Entre ellos, la NAT estática asigna permanentemente cada host en la red interna a una dirección legal en la red externa, mientras que el grupo NAT define una serie de direcciones legales en la red externa y utiliza un método de asignación dinámica para asignar Para redes internas, puerto NAT asigna direcciones internas a diferentes puertos de una dirección IP en la red externa.
/*
SMTP<->25
POP3<->110
FTP<->20,21
HTTP<->80
Hablando de 20, déjame agregar un pequeño episodio. Todos sabemos que el puerto correspondiente a FTP debería ser el 21, ¿por qué aparece otro 20? De hecho, cuando transferimos archivos FTP, el cliente primero se conecta al puerto 21 del servidor FTP para autenticar al usuario. Después de una autenticación exitosa, cuando queremos transferir archivos, el servidor abrirá un puerto 20 para transferir archivos de datos. En otras palabras, el puerto 20 es el puerto utilizado para la transmisión real y el puerto 21 solo se utiliza para la autenticación de inicio de sesión FTP. Cuando descargamos archivos normalmente, nos encontraremos con que cuando la descarga alcanza el 99%, el archivo no se completa y la descarga no se puede realizar correctamente. De hecho, se debe a que después de descargar el archivo, la autenticación del usuario debe realizarse en el puerto 21. Si el tiempo que descargamos el archivo es demasiado largo, el servidor considerará la conexión entre el cliente y el puerto 21 del servidor como una conexión de tiempo de espera e interrumpida, es decir. La solución es establecer el tiempo de respuesta del puerto 21.
*/
Utilice WINDOWS 2000 Server para la configuración NAT
Las potentes funciones de red de WINDOWS 20000 SERVER FAMILY son realmente MUY BUENAS. Integra multitud de funciones de red, como DHCP, DNS, SNMP, enrutamiento... Para configurar NAT sólo necesitamos un SERVIDOR WINDOWS 2000, sin recurrir a otro software.
Simplemente hágalo. Tomemos como ejemplo la versión china de WINDOWS 2000 SERVER. Agregue dos tarjetas de red al servidor NAT, una está conectada a la red interna (como IP: 192.168.0.35). y el otro está conectado a la red externa (como IP: 88.88.88.88). Antes de configurar, asegúrese de que no haya fallas en la transmisión de datos entre el servidor NAT y la red privada interna y la red pública externa.
La configuración específica es la siguiente:
Abra "Inicio -> Programas -> Herramientas administrativas -> Enrutamiento y acceso remoto", aparecerá un cuadro de diálogo con un "Estado del servidor" y un "BDWSER (local). )" (no necesariamente BDWSER, de hecho debería ser el nombre de su máquina), haga clic en "BDWSER (local)", luego haga clic en "Operación -> Configurar y habilitar enrutamiento y acceso remoto", aparecerá un cuadro de diálogo. A continuación, el Aparecerá el cuadro de diálogo que se muestra en la Figura 2. Seleccione "Servidor de conexión a Internet".
Como se muestra en la Figura 3, seleccione "Configurar un enrutador con el protocolo de enrutamiento de traducción de direcciones de red (NAT)".
Como se muestra en la Figura 4, seleccione "Usar la conexión a Internet seleccionada -> Conexión local 2". Una cosa a tener en cuenta aquí es que la "Conexión local 2" es la conexión externa del servidor. , el nombre de dominio es La dirección de 5imax.net es 88.88.88.88 y la "conexión local" es la conexión entre el servidor y la red interna. Luego "Siguiente -> Finalizar", en este momento se iniciará automáticamente "Enrutamiento y acceso remoto", esperaremos a que se inicie "Enrutamiento y acceso remoto".
A través de la configuración anterior, podemos usar NAT para reenviar la dirección interna a la dirección externa, lo que equivale a que la máquina local (WINDOWS 2000 SERVER) pueda disfrutar de Internet a través de la máquina dentro del NAT. apoderado. Si el servidor NAT usa DHCP, entonces el cliente solo necesita obtener automáticamente la IP; si no hay ninguna configuración, el cliente debe especificar IP: 192.168.0.*, máscara de subred: 255.255.255.0, puerta de enlace: 192.168.0.35, DNS: 202.97.224.68 (simplemente use su ISP local para proporcionar la dirección del servidor DNS). A continuación, debemos configurar la asignación del puerto externo al puerto interno (88.88.88.88:80 -> 192.168.0.102:80 en la Figura 1) para que cuando los visitantes externos accedan al servicio HTTP correspondiente, el host NAT solicite el servicio. se convierte automáticamente al host que proporciona el servicio correspondiente en la red interna. Por el contrario, la información de retroalimentación del servicio de host interno se envía al visitante externo a través de la conversión de host NAT.
En el lado izquierdo del cuadro de diálogo "Enrutamiento y acceso remoto", abra "BDWSER (Local) -> Enrutamiento IP -> Traducción de direcciones de red (NAT)", luego en "Enrutamiento y acceso remoto" La ventana derecha del cuadro de diálogo "Acceso" debe tener dos interfaces, red externa y red interna (Figura 5).
En el panel de detalles, haga clic derecho en la interfaz que desea configurar y luego haga clic en Propiedades. En la pestaña "Puerto especial", en "Protocolo", haga clic en "TCP" o "UDP" (seleccione diferentes protocolos según los diferentes servicios, como TCP para el servicio HTTP y UDP para el servicio TFTP, pero en este ejemplo el protocolo UDP no es involucrado) y haga clic en Agregar. En "Puerto entrante", escriba el número de puerto para la comunicación pública entrante ("Puerto entrante 80" en la Figura 6). En "Puerto saliente", escriba el número de puerto para el recurso de red privada ("Puerto entrante" en la Figura 6). Puerto saliente 80"). En "Dirección privada", ingrese la dirección privada del recurso de red privada ("Dirección privada 192.168.0.102" en la Figura 6, es decir, host C: 192.168.0.102 que se muestra en la Figura 1). Haga clic en " OK" para completar la adición. De manera similar, los puertos agregados para los servicios FTP y MAIL son 20, 21, 25 y 110.
El ejemplo anterior solo usa una única IP pública para la conversión NAT. Si usa varias IP públicas, debe configurar el grupo de direcciones NAT antes de configurar el puerto asignado. En el panel de detalles, haga clic con el botón derecho en la interfaz que desea configurar (es decir, interfaz de red externa, conexión local 2) y luego haga clic en Propiedades. En la pestaña Grupos de direcciones, haga clic en Agregar y realice una de las siguientes acciones:
Si está utilizando un rango de direcciones IP representado por una dirección IP y una máscara de subred, escriba la dirección IP inicial en Dirección de inicio y luego escriba la máscara de subred en Máscara.
Si está utilizando un rango de direcciones IP que no se pueden representar mediante una dirección IP y una máscara de subred, escriba la dirección IP inicial en Dirección de inicio y luego escriba la dirección IP final en Dirección final.
Al configurar la asignación de puertos (es decir, un puerto especial), haga clic en "En este elemento del grupo de direcciones" y luego escriba la dirección IP pública para la comunicación pública entrante. Las otras configuraciones son similares al método de configuración anterior. . visita.
En este punto, todo nuestro trabajo (usar el host NAT como proxy de la red interna para compartir Internet y la asignación de puertos desde la red interna al host NAT) está completo. Por razones de seguridad, es mejor agregar un firewall en el punto de acceso del host NAT o configurar el "mecanismo de seguridad IP (IPSEC)" y el "filtrado TCP/IP" del host NAT. Las configuraciones de "Mecanismo de seguridad IP" y "Filtrado TCP/IP" se encuentran en las opciones de seguridad del protocolo TCP/IP de la red externa. Simplemente consulte el archivo de ayuda de WINDOWS 2000 para conocer las configuraciones. No entraremos en detalles aquí. .
Resumen de NAT
Por supuesto, el uso de NAT para el mapeo de puertos también se puede realizar con un software proxy NAT (como WINROUTE), y la configuración correspondiente es relativamente simple. Solo necesita instalarse de forma predeterminada. Después de instalarlo, simplemente realice configuraciones simples en el software. Mis manos están cansadas de escribir. Hablaremos de ello más adelante cuando tengamos la oportunidad.
Utilice NAT para proteger redes internas, especialmente NAT de software, que es adecuado para redes pequeñas y medianas. Las redes grandes generalmente requieren hardware (como enrutamiento) porque el servicio NAT también consume los recursos de NAT. servidor de. En redes grandes, cuando se utiliza el enrutamiento para NAT, es necesario realizar las configuraciones de seguridad correspondientes. Generalmente, consulte el manual de enrutamiento y el modelo de seguridad ISO de CISCO.
El uso de NAT hace que la red interna sea invisible para la red externa. Los intrusos primero deben invadir el servidor NAT (o dispositivo NAT) y luego usar NAT como trampolín para invadir aún más la red interna. De esta manera, será difícil para los intrusos. Si el servidor NAT y el servidor interno usan diferentes sistemas operativos, entonces el intruso debe estar familiarizado con ambos sistemas operativos para hacer esto. Esto es difícil para los intrusos comunes. Sin duda se ha elevado a un nivel superior. El artículo termina aquí. El propósito de este artículo no es solo un paso, pero espero que todos puedan usarlo como punto de partida para utilizar las tecnologías existentes para construir una red más segura.
SMTP<->25
POP3<->110
FTP<->20,21
HTTP<->80
Hablando de 20, déjame añadir un pequeño episodio. Todos sabemos que el puerto correspondiente para FTP debería ser el 21, ¿por qué aparece otro 20? De hecho, cuando transferimos archivos FTP, el cliente primero se conecta al puerto 21 del servidor FTP para autenticar al usuario. Después de una autenticación exitosa, cuando queremos transferir archivos, el servidor abrirá un puerto 20 para transferir archivos de datos. En otras palabras, el puerto 20 es el puerto utilizado para la transmisión real y el puerto 21 solo se utiliza para la autenticación de inicio de sesión FTP. Cuando descargamos archivos normalmente, nos encontraremos con que cuando la descarga alcanza el 99%, el archivo no se completa y la descarga no se puede realizar correctamente. De hecho, se debe a que después de descargar el archivo, la autenticación del usuario debe realizarse en el puerto 21. Si el tiempo que descargamos el archivo es demasiado largo, el servidor considerará la conexión entre el cliente y el puerto 21 del servidor como una conexión de tiempo de espera e interrumpida, es decir. La solución es establecer el tiempo de respuesta del puerto 21.
*/
Utilice WINDOWS 2000 Server para la configuración NAT
Las potentes funciones de red de WINDOWS 20000 SERVER FAMILY son realmente MUY BUENAS. Integra multitud de funciones de red, como DHCP, DNS, SNMP, enrutamiento... Para configurar NAT sólo necesitamos un SERVIDOR WINDOWS 2000, sin recurrir a otro software.
Simplemente hágalo. Tomemos como ejemplo la versión china de WINDOWS 2000 SERVER. Agregue dos tarjetas de red al servidor NAT, una está conectada a la red interna (como IP: 192.168.0.35). y el otro está conectado a la red externa (como IP: 88.88.88.88). Antes de configurar, asegúrese de que no haya fallas en la transmisión de datos entre el servidor NAT y la red privada interna y la red pública externa. La configuración específica es la siguiente:
Abra "Inicio -> Programas -> Herramientas administrativas -> Enrutamiento y acceso remoto", aparecerá un cuadro de diálogo con un "Estado del servidor" y un "BDWSER (local). )" (no necesariamente BDWSER, de hecho debería ser el nombre de su máquina), haga clic en "BDWSER (local)", luego haga clic en "Operación -> Configurar y habilitar enrutamiento y acceso remoto", aparecerá un cuadro de diálogo. A continuación, el Aparecerá el cuadro de diálogo que se muestra en la Figura 2. Seleccione "Servidor de conexión a Internet".
Como se muestra en la Figura 3, seleccione "Configurar un enrutador con el protocolo de enrutamiento de traducción de direcciones de red (NAT)".
Como se muestra en la Figura 4, seleccione "Usar la conexión a Internet seleccionada -> Conexión local 2". Una cosa a tener en cuenta aquí es que la "Conexión local 2" es la conexión externa del servidor. , el nombre de dominio es La dirección de 5imax.net es 88.88.88.88 y la "conexión local" es la conexión entre el servidor y la red interna. Luego "Siguiente -> Finalizar", en este momento se iniciará automáticamente "Enrutamiento y acceso remoto", esperaremos a que se inicie "Enrutamiento y acceso remoto".
A través de la configuración anterior, podemos usar NAT para reenviar la dirección interna a la dirección externa, lo que equivale a que la máquina local (WINDOWS 2000 SERVER) pueda disfrutar de Internet a través de la máquina dentro del NAT. apoderado. Si el servidor NAT usa DHCP, entonces el cliente solo necesita obtener automáticamente la IP; si no hay ninguna configuración, el cliente debe especificar IP: 192.168.0.*, máscara de subred: 255.255.255.0, puerta de enlace: 192.168.0.35, DNS: 202.97.224.68 (simplemente use su ISP local para proporcionar la dirección del servidor DNS). A continuación, debemos configurar la asignación del puerto externo al puerto interno (88.88.88.88:80 -> 192.168.0.102:80 en la Figura 1) para que cuando los visitantes externos accedan al servicio HTTP correspondiente, el host NAT solicite el servicio. se convierte automáticamente al host que proporciona el servicio correspondiente en la red interna. Por el contrario, la información de retroalimentación del servicio de host interno se envía al visitante externo a través de la conversión de host NAT.
En el lado izquierdo del cuadro de diálogo "Enrutamiento y acceso remoto", abra "BDWSER (Local) -> Enrutamiento IP -> Traducción de direcciones de red (NAT)", luego en "Enrutamiento y acceso remoto" La ventana derecha del cuadro de diálogo "Acceso" debe tener dos interfaces, red externa y red interna (Figura 5).
En el panel de detalles, haga clic derecho en la interfaz que desea configurar y luego haga clic en Propiedades. En la pestaña "Puerto especial", en "Protocolo", haga clic en "TCP" o "UDP" (seleccione diferentes protocolos según los diferentes servicios, como TCP para el servicio HTTP y UDP para el servicio TFTP, pero en este ejemplo el protocolo UDP no es involucrado) y haga clic en Agregar. En "Puerto entrante", escriba el número de puerto para la comunicación pública entrante ("Puerto entrante 80" en la Figura 6). En "Puerto saliente", escriba el número de puerto para el recurso de red privada ("Puerto entrante" en la Figura 6). Puerto saliente 80"). En "Dirección privada", ingrese la dirección privada del recurso de red privada ("Dirección privada 192.168.0.102" en la Figura 6, es decir, host C: 192.168.0.102 que se muestra en la Figura 1). Haga clic en " OK" para completar la adición. De manera similar, los puertos agregados para los servicios FTP y MAIL son 20, 21, 25 y 110.
El ejemplo anterior solo usa una única IP pública para la conversión NAT. Si usa varias IP públicas, debe configurar el grupo de direcciones NAT antes de configurar el puerto asignado. En el panel de detalles, haga clic con el botón derecho en la interfaz que se va a configurar (es decir, interfaz de red externa, conexión local 2) y luego haga clic en "propiedad".
En la pestaña Grupos de direcciones, haga clic en Agregar y realice una de las siguientes acciones:
Si está utilizando un rango de direcciones IP representado por una dirección IP y una máscara de subred, en Desde Escriba la dirección IP inicial en Dirección y luego escriba la máscara de subred en Máscara.
Si está utilizando un rango de direcciones IP que no se pueden representar mediante una dirección IP y una máscara de subred, escriba la dirección IP inicial en Dirección de inicio y luego escriba la dirección IP final en Dirección final.
Al configurar la asignación de puertos (es decir, un puerto especial), haga clic en "En este elemento del grupo de direcciones" y luego escriba la dirección IP pública para la comunicación pública entrante. Las otras configuraciones son similares al método de configuración anterior. . visita.
En este punto, todo nuestro trabajo (usar el host NAT como proxy de la red interna para compartir Internet y la asignación de puertos desde la red interna al host NAT) está completo. Por razones de seguridad, es mejor agregar un firewall en el punto de acceso del host NAT o configurar el "mecanismo de seguridad IP (IPSEC)" y el "filtrado TCP/IP" del host NAT. Las configuraciones de "Mecanismo de seguridad IP" y "Filtrado TCP/IP" se encuentran en las opciones de seguridad del protocolo TCP/IP de la red externa. Simplemente consulte el archivo de ayuda de WINDOWS 2000 para conocer las configuraciones. No entraremos en detalles aquí. .
Resumen de NAT
Por supuesto, el uso de NAT para el mapeo de puertos también se puede realizar con un software proxy NAT (como WINROUTE), y la configuración correspondiente es relativamente simple. Solo necesita instalarse de forma predeterminada. Después de instalarlo, simplemente realice configuraciones simples en el software. Mis manos están cansadas de escribir. Hablaremos de ello más adelante cuando tengamos la oportunidad.
Utilice NAT para proteger las redes internas, especialmente la NAT de software, que es adecuada para redes pequeñas y medianas, mientras que las redes grandes generalmente requieren hardware (como enrutamiento), porque el servicio NAT también consume los recursos de el servidor NAT de. En redes grandes, cuando se utiliza el enrutamiento para NAT, es necesario realizar las configuraciones de seguridad correspondientes. Generalmente, consulte el manual de enrutamiento y el modelo de seguridad ISO de CISCO.
El uso de NAT hace que la red interna sea invisible para la red externa. Los intrusos primero deben invadir el servidor NAT (o dispositivo NAT) y luego usar NAT como trampolín para invadir aún más la red interna. De esta manera, será difícil para los intrusos. Si el servidor NAT y el servidor interno usan diferentes sistemas operativos, entonces el intruso debe estar familiarizado con ambos sistemas operativos para hacer esto. Esto es difícil para los intrusos comunes. Sin duda se ha elevado a un nivel superior. El artículo termina aquí. El propósito de este artículo no es solo un paso, pero espero que todos puedan usarlo como punto de partida para utilizar las tecnologías existentes para construir una red más segura.