NAT в Windows 2003: установка и настройка

Опубликовано: 26 Марта, 2023

NAT выступает посредником между внутренней и внешней сетью; пакеты, поступающие из частной сети, обрабатываются NAT, а затем передаются по назначению.


В Интернете используется один внешний адрес, поэтому внутренние IP-адреса не отображаются. На маршрутизаторе создается таблица, в которой перечислены локальные и глобальные адреса, и она используется в качестве ссылки при преобразовании IP-адресов.



NAT может работать несколькими способами:


Статический NAT


Незарегистрированный IP-адрес сопоставляется с зарегистрированным IP-адресом по принципу «один к одному», что полезно, когда к устройству необходимо получить доступ извне сети.


Динамический NAT


Незарегистрированный IP-адрес сопоставляется с зарегистрированным IP-адресом из группы зарегистрированных IP-адресов. Например, компьютер 192.168.10.121 будет преобразован в первый доступный IP-адрес в диапазоне от 212.156.98.100 до 212.156.98.150.


Перегрузка


Форма динамического NAT, он сопоставляет несколько незарегистрированных IP-адресов с одним зарегистрированным IP-адресом, но в этом случае использует разные порты. Например, IP-адрес 192.168.10.121 будет сопоставлен с 212.56.128.122:номер_порта (212.56.128.122:1080).


Перекрытие


Это когда адреса во внутренней сети перекрываются с адресами во внешней сети — IP-адреса также регистрируются в другой сети. Маршрутизатор должен поддерживать таблицу поиска этих адресов, чтобы он мог их перехватывать и заменять зарегистрированными уникальными IP-адресами.


Как работает NAT


Таблица информации о каждом проходящем пакете поддерживается NAT.


Когда компьютер в сети пытается подключиться к веб-сайту в Интернете:



  • заголовок IP-адреса источника изменяется и заменяется IP-адресом NAT-компьютера на выходе
  • IP-адрес «назначения» изменяется (на основе записей в таблице) обратно на конкретный внутренний IP-адрес частного класса, чтобы достичь компьютера в локальной сети на обратном пути.

Трансляцию сетевых адресов можно использовать в качестве базового брандмауэра — администратор может отфильтровывать пакеты на/с определенных IP-адресов и разрешать/запрещать доступ к указанным портам. Это также средство сохранения IP-адресов, когда один IP-адрес представляет группу компьютеров.


Настройка NAT


Чтобы настроить NAT, вы должны начать с открытия мастера настройки сервера в инструментах администрирования и выбора роли сервера RRAS/VPN. Теперь нажмите «Далее», и откроется мастер настройки RRAS. На приведенном ниже экране показан экран подключения к Интернету, в котором вы должны указать, какой тип подключения к Интернету и хотите ли вы, чтобы базовая функция брандмауэра была включена.



Нажмите рядом, чтобы продолжить. Начнется процесс установки, и службы будут перезапущены, после чего отобразится экран завершения, показывающий, какие действия были выполнены.


Настройка NAT


Настройка NAT выполняется с помощью MMC-маршрутизации и удаленного доступа, которая находится в папке «Администрирование» на панели управления или в меню «Пуск».


На снимке экрана ниже показана маршрутизация и удаленный доступ mmc.



Выберите интерфейс, который вы хотите настроить, и дважды щелкните его. Откроется окно свойств, в котором вы сможете изменить такие настройки, как фильтрация пакетов и блокировка портов, а также включить/отключить определенные функции, такие как брандмауэр.


Окно свойств удаленного маршрутизатора (настроенного ранее) показано ниже. Выбрана вкладка NAT/Basic Firewall.



Вы можете выбрать тип интерфейса — указать, каким будет сетевое соединение. В моем примере я выбрал для интерфейса общедоступный интерфейс, подключенный к Интернету. Также были включены NAT и базовая опция брандмауэра. Кнопки входящего и исходящего трафика открывают окно, которое позволит вам ограничить трафик на основе IP-адреса или атрибутов пакета протокола. В соответствии с вашими инструкциями некоторые TCP-пакеты будут отброшены до того, как они достигнут клиентского компьютера. Таким образом, делая сеть более безопасной и предоставляя вам больше функциональности. Это полезно, если, например, вы хотите отклонить все пакеты, приходящие с IP-адреса из черного списка, или ограничить доступ внутренних пользователей к порту 21 (ftp).


Для дальнейшей настройки брандмауэра перейдите на вкладку «Службы и порты». Здесь вы можете выбрать, к каким сервисам вы хотели бы предоставить доступ своим пользователям. Вы также можете добавить больше служб, указав такие детали, как номер входящего и исходящего порта.



Список сервисов, показанный на скриншоте выше, предустановлен. Нажмите «Добавить», чтобы открыть окно, позволяющее создать новую службу, или выберите доступную службу и нажмите «Редактировать», чтобы изменить эту службу. Вам будет предложено указать имя, номер порта TCP и UDP и IP-адрес компьютера, на котором размещена эта служба.


Если службы в списке не включены, любой клиентский компьютер в домене Windows 2003 не сможет получить доступ к этой конкретной службе. Например, если компьютер настроен так, как показано на изображении выше, и клиентский компьютер попытается подключиться к ftp-сайту, ему будет отказано в доступе. Этот раздел может оказаться очень полезным для сетей любого размера, но особенно для небольших.


На этом статья заканчивается. Как вы видели, трансляция сетевых адресов — это полезная функция, которая добавляет разнообразия и безопасности в сеть в компании малого и среднего размера. С появлением и внедрением IPv6 все еще на начальной стадии, мы можем ожидать, что NAT будет использоваться еще много лет.