آموزش پیاده سازی NAT بر روی مودم / port forward
در درسنامه ی نوزدهم از دوره جامع نتورک پلاس ISG با شما درباره چیستی NAT، کاربردها و انواع آن ها صحبت کردیم. با هم یاد گرفتیم که نت چیست و چگونه می تواند در شبکه کار کند. اما در این درسنامه، یعنی درسنامه ی بیستم قرار است که درباره نحوه ی پیاده سازی NAT یا همان PORT FORWARD با شما صحبت کنیم.
آنچه در این مقاله می خوانید:
آموزش پیاده سازی NAT بر روی مودم / port forwardPORT پورت DSTNATاعمال تنظیمات DST NAT بر روی مودم D-LIK اعمال تنظیمات DST NAT بر روی مودم تندا TENDA
نکته ی بسیار مهمی که در ارتباط با پیاده سازی NAT ها بر روی مودم ها وجود دارد این است که PORT ها در این پروسه نقش بسیار مهمی را ایفا می کنند. در کل ما می دانستیم که بخش خیلی زیادی از عملکرد NAT در گرو وجود پورت هاست و عملاً بدون پورت ها، راه اندازی و استفاده از نت امکان پذیر نخواهد بود. با توجه به این مهم، قبل از اینکه بخواهیم درباره ی نحوه راه اندازی NAT بر روی مودم های مختلف صحبت کنیم، ابتدا نیاز است که پورت ها را بشناسیم و ببینیم که آن ها چیستند و چه وظیفه ای را در شبکه های کامپیوتری بر عهده دارند.
البته در درسنامه ی بعدی مفصلاً به موضوع پورت و ویژگی ها و کاربردهای آن خواهیم پرداخت اما در این بخش یک آشنایی و توضیح مختصر درباره ی این سرویس، یکی از پیشنیاز های بحث امروز ماست. پس ابتدا ببینیم که پورت چیست و چه کاربردی دارد.
PORT پورت
اگر بخواهیم یک تعریف درست از پورت ها در داخل پروسه ی NAT ارائه دهیم؛ باید اینگونه شروع کنیم که ما به عنوان یک کاربر که در حال استفاده از نرم افزار خاصی است، مبدا پروسه ی اتصال تعریف می شویم. در خواست از طرف ما یعنی مبدا به سمت مقصد مورد نظر ما فرستاده می شود. چیزی که در این پروسه واضح است این است که ماهیت درخواست ما باید مشخص و معین باشد. منظور ما از ماهیت درخواست این است ما باید تعیین کنیم که طی این درخواست قصد استفاده از چه خدمات و سرویسی را داریم.
به بیانی دیگر وقتی درخواستی از سمت مبدا به سمت مقصد ارسال می شود، پروسه به شکل زیر خواهد بود :
مقصد IP: PORT – مودم – 192.168.1.1:80
در عبارت و آی پی بالا، عددی که بعد از دو نقطه قرار می گیرد همان پورت ماست. نکته ی خیلی جالب درباره ی پورت ها این است که تا به اینجای دوره ISG اصلاً درباره ی پورت ها هیچ صحبتی نکردیم اما همیشه و به صورت کاملاً ناخودآگاه از پورت ها استفاده کرده ایم. اما کجا از پورت ها استفاده می کردیم؟
یادتان که هست ما برای ورود به صفحه ی وب یک کلاینت مانند مودم، آی پی آن را در مرورگر وارد می کردیم و اینتر را می زدیم. جالب است بدانید که مرحله ی استفاده از پورت دقیقاً همینجای کار اتفاق می افتاد. چگونه؟
ببینید حتماً این موضوع به ذهن ما می رسد که در این پروسه ی اتصال به صفحه ی وب یک کلاینت اصلاً هیچ تنظیماتی را اعمال نکرده ایم. چطور می شود که پروسه ی استفاده از پورت به صورت دیفالت و پیش فرض و خود به خود انجام می شود؟!
برای پاسخ به این سوال باید به صفحه ی وب مودم مان برویم. پس آی پی را وارد می کنیم و اینتر را می زنیم. طبیعتاً بعد از زدن اینتر، صفحه ی وب مودم برای ما باز خواهد شد. خوب؛ حالا یک کار دیگر انجام دهیم. این بار باز هم به صفحه ی وب مودم مان ورود کنیم. با این تفاوت که در هنگام وارد کردن IP مودم، عبارت :۸۰ را در انتهای آدرس وارد کنیم و بعد اینتر را بزنیم. چه اتفاقی رخ می دهد؟!
بله؛ دوباره وارد صفحه ی وب کلاینت مان می شویم. با چه تفاوتی؟ با این تفاوت که عبارت اضافه شده به انتهای آدرس IP حذف می شود. یعنی دیگر ما :۸۰ را انتهای ای پی مشاهده نخواهیم کرد. اما چرا این اتفاق می افتد؟!
دلیل اینکه این اتفاق می افتد این است که http مرورگر ما در حالت پیش فرض بر روی پورت ۸۰ قرار دارد. در واقع هر کلاینت و دیوایسی که یک وب سرور مثل مودم ما داشته باشد، پورت پیش فرض ۸۰ برای آن تعبیه شده است. اما در حالت کلی، معمولاً بر روی تمامی مرورگرها، پورت ۸۰ به صورت دیفالت فعال می شود. از این روی دیگر نیازی به وارد کردن این عدد در انتهای عبارت آی پی، آن هم به صورت دستی نخواهد بود. پس تنها زمانی نیاز است که عدد پورت در انتهای آدرس آی پی قرار گیرد که پورت شما عددی به غیر از عدد ۸۰ باشد.
ببینید؛ البته یک زمان هایی وجود دارد که ما برای بالا بردن امنیت شبکه، پورت شبکه را از ۸۰ مثلاً به ۸۰۹۰ تغییر می دهیم. این امری کاملاً طبیعی می باشد. در این شرایط اگر آی پی مودم مان را وارد مرورگر بزنیم و انتهای آن عدد ۸۰ را بگذاریم و یا نگذاریم ( فرقی نمی کند)، صفحه ی وب مودم مان بالا نخواهد آمد. چرا؟
چون دیگر پورت ما عدد ۸۰ نیست و تغییر کرده است. برای دسترسی به صفحه ی وب کلایت مورد نظرتان، حالا باید عدد جدید پورت را انتهای آی پی تان وارد کنید. پس آدرس مودم ما بدین صورت تغییر خواهد : ۱۹۲.۱۶۸.۱.۱:۸۰.
حالا با این آدرس ما می توانیم به صفحه ی وب کلاینت مورد نظرمان برویم و درخواست خود را پیاده سازی کنیم. خوب؛ این پروسه یک نوع درخواست است. یعنی تصور کنید که یک دستگاه مرکز تلفن GRAND STREAM داریم. این کلاینت خودش پورت شبکه دارد و یک آی پی اختصاصی به این دستگاه تعلق می گیرد.
مثلا آی پی ۱۹۲.۱۶۸.۱.۱۰ و یا هر چیز دیگری. در هر حال این دستگاه یک IP دارد. اما چیزی که نیاز است شما بدانید این است که روی این دستگاه سرویس ها مختلف تعبیه شده اند. ما می توانیم از درخواست های مختلف این دستگاه به راحتی استفاده کنیم. اما موضوع قابل توجه اینجاست که هر سرویس پورت مخصوص خودش را دارد. از این رو برای استفاده از هر سرویس نیاز است که پورت مربوط به همان سرویس در آدرس درخواست مان درج شود. چگونه؟
همان دستگاه مرکز تلفن گرنداستریم را تصور کنید. ما روی این دستگاه سرویس های مختلفی را RUN کرده ایم. مثلاً سرویس هایی مانند HTTP, SSH, SIP, FTP, TELNET و غیره همگی از سرویس های مختلف و آماده ی این مرکز تلفن می باشند. خوب گفته بودیم که هر سرویس پورت مخصوص به خود را داراست. پس پورت های این سرویس ها چه اعدادی هستند؟ با هم ببینیم :
SSH – 22
SIP – 5060
FTP – 21
TELNET – 23
خوب؛ با توجه به اعداد ذکر شده در بالا، حالا می دانیم که هر درخواست با چه پورتی تعریف می شود. بنابراین برای اجرای هر درخواست نیاز است که عدد پورت در انتهای آدرس آی پی ذکر گردد. خوب حالا اگر IP تعریف شده برای دستگاه گرنداستریم ما ۱۹۲.۱۶۸.۱.۱۰۰ باشد، برای اجرای هر سرویس باید پورت مخصوص به همان در انتهای آدرس قرار گیرد. به شکل زیر :
۱۹۲.۱۶۸.۱.۱۰۰ : ۸۰ – HTTP
۱۹۲.۱۶۸.۱.۱۰۰ : ۵۰۶۰ – SIP
۱۹۲.۱۶۸.۱.۱۰۰ : ۲۱ – FTP
۱۹۲.۱۶۸.۱.۱۰۰ : ۲۳ – TELNET
حالا اگر ما بخواهیم REMOTE DESKTOP بزنیم، حتماً باید داخل کادر باز شده IP کلاینت مورد نظر را درج نموده و در انتهای آدرس عدد پورت سرویس مورد نظر را درج کنیم. در نهایت CONNECT را می زنیم و اتصال برقرار می شود.
سئوال: حالا اگر ما یک سیستم دیگر داشته باشیم که IP تعریف شده برای آن ۱۹۲.۱۶۸.۱.۱۰ باشد. آیا می توانیم با مرورگرمان با پورت ۸۰ به آن وصل شویم؟
قاعدتاً پاسخ منفی است.
دلیل این پاسخ منفی این است که اگر روی آن سیستم وب سروری راه اندازی نشده باشد، امکان اتصال به آن سیستم به هیچ وجه امکان پذیر نخواهد بود. اما ما می توانیم با REMOTE DESKTOP به آن سیستم وصل شویم. البته اگر این قابلیت بر روی آن سیستم راه اندازی شده باشد. پس این موارد همان کاربرد پورت ها در NAT است.
یادتان باشد که پورت ها در لایه های شبکه در لایه ی بعد از NETWORK قرار دارند. البته در آینده درباره ی لایه های مختلف شبکه کامپیوتری مفصلاً با شما صحبت خواهیم کرد. در انتها این را هم خاطرنشان کنیم که از پورت ها در لایه های امنیتی شبکه استفاده های بسیار زیادی می شود.
DSTNAT
یک شبکه ی کامپیوتری محلی و LAN را در نظر بگیرید که به واسطه ی یک روتر با فضای بیرون از شبکه ی محلی، به عبارتی با یک شبکه ی WAN که همان اینترنت است، ارتباط برقرار کرده است. این روتر از سمت راست به یک شبکه ی داخلی LAN و از سمت چپ به یک شبکه ی Wan یا همان اینتر با آی پی پابلیک ۸۳.۲۱۰.۲۰.۲۱۹ متصل می باشد. در ادامه نیاز است بدانید که ip شبکه ی پرایوت ما ۱۹۲.۱۶۸.۱.۰/۲۴ تعریف شده است.
حالا یک کلاینت که مرکز تلفن گرنداستریم است را با IP 192.168.1.3/24 در نظر بگیرید. این کلاینت یک صفحه ی وب دارد و پورت وب ۸۰ برایش تعریف شده است. اما کاری که ما قصد داریم انجام دهیم این است که DSTNAT را بر روی این دیوایس راه اندازی نماییم. در این پروسه یک سیستم می تواند به این گرنداستریم متصل شود و صفحه ی وب این مرکز تلفن را مشاهده نماید.
در درسنامه ی قبلی ما یاد گفتیم که می توانیم کار اتصال یک کلاینت از بیرون شبکه به داخل یک شبکه ی محلی را به راحتی توسط DSTNAT انجام دهیم.
توجه : ( یادتان باشد که در اکثر مودم روترها چیزی به عنوان DSTNAT وجود ندارد و معمولاً عبارت PORT FORWARD ، NAT و FORWARDING درج می شود. )
خوب، حالا کاری که ما برای اتصال یک کلاینت خارجی به یک کلاینت در شبکه داخلی باید انجام دهیم این است که تنظیمات درست و اولیه ی این اتصال را برقرار نماییم. ما یاد گرفتیم که IP یک شبکه ی عمومی WAN مانند اینتر به هیچ وجه در یک شبکه ی داخلی و LAN قابل درک نیست. بنابراین اولین کاری که در این اتصال باید انجام شود این است که IP WAN را به IP LAN تبدیل کنیم.
در واقع پروسه ی نت را انجام دهیم و آی پی نامعتبر را به یک آی پی معتبر تبدیل نماییم. حالا DSTNAT سرویسی است که می تواند این کار را به راحتی برای ما انجام دهد. حال اگر نگاهی به صفحه ی وب مودم مان بیندازیم متوجه می شویم که IP که این مودم دریافت کرده همان آی پی پابلیک ما یعنی WAN IP می باشد. (۸۰.۲۱.۰۲۵.۲۱۹).
البته این مودم روتر علاوه بر یک IP عمومی و WAN یک آی شخصی و LAN هم دارد که ۱۹۲.۱۶۸.۱.۱ می باشد. این آی پی شخصی که برای مودم تعریف می شود در واقعه همان گیت وی است که برای کل شبکه ی داخلی و محلی ما تعریف شده است. یعنی تمامی کلاینت ها برای ورود و خروج باید از این GATE WAY عبور نمایند.
ساختمان مودم ها را می توانیم به دو بخش اکسترنال یعنی خارجی و اینترنال یعنی داخلی تقسیم بندی کنیم. با توجه به این تعریف معمولاً سمت راست مودم روتر را که شبکه ی محلی تشکیل می دهد، اینترتال و سمت چپ مودم روتر را که شبکه ی اینترنت و عمومی قرار دارد، اکسترنال می نامیم. DSTNAT در این پروسه یک آی پی عمومی را به یک آی پی داخلی تبدیل می نماید. اما چیزی که در این پروسه از اهمیت بسیار زیادی برخوردار است، انتخاب و تعیین پورت خواهد بود. یعنی چطور؟
یعنی اینکه طی این پروسه ی تبدیل ما باید مشخص کنیم که قرار است چه پورتی به کدام پورت تبدیل شود و تغییر یابد و دقیقا همینجاست که بحث امنیت روی پورت های شبکه نیز تعریف می شود. اگر خاطرتان باشد قبلاً برای تان توضیح دادیم که بحث برقراری امنیت پورت ها به راحتی قابلیت اجرایی دارد. پس به عنوان یک جمع بندی برای مبحث DSTNAT باید خاطر نشان کنیم که ما در این پروسه یک WAN IP را به یک LAN IP تبدیل می کنیم و به دنبال این موضوع است که یک پورت عمومی به یک پورت اختصاصی نیز تغییر پیدا می کند.
مثلاً تصور کنید درخواستی با آدرس ۸۳.۲۱۰.۲۵.۲۱۹ : ۵۰۰۰ قرار است به آدرس ۱۹۲.۱۶۸.۱.۳ : ۸۰ انتقال پیدا کند. این پروسه کاری است که در سرویس DSTNAT به راحتی انجام می شود. در این پروسه درخواست ما از مبدا به سمت لبه ی روتر که یک آی پی عمومی و پورت دارد ارسال می شود و بعد از این مرحله به سمت یک کلاینت دیگر با آی پی و پورت داخلی روانه می گردد و عمل تبدیل و تغییر اجرا می شود. پس ما اگر در صفحه ی مرورگر موبایل مان ای پی ۸۳.۲۱۰.۲۵.۲۱۹ : ۵۰۰۰ را بزنیم می توانیم به مرکز تلفن گرنداستریم با آدرس ۱۹۲.۱۶۸.۱.۳ : ۸۰ متصل شویم.
اگر خاطرتان باشد ما در درسنامه ی قبلی توضیح دایم که در پروسه ی DSTNAT ، این خود DST IP است که به یک LAN IP تبدیل می شود. هرسوالی که داری در انجمن مطرح کن
اعمال تنظیمات DST NAT بر روی مودم D-LIK
خوب حالا که بر تمامی مراحل و پروسه ی راه اندازی اینترنت بر روی مودم آشنا شدیم حالا وقت آن است که با هم ببینیم که چگونه می توانیم تنظیمات DSTNAT را بر روی یک مودم D-LINK راه اندازی نماییم. برای این کار ابتدا نیاز است که به صفحه ی وب مودم مان برویم و لاگین شویم. IP مودم را در مرورگر وارد می کنیم و اینتر را می زنیم. حالا برای اعمال تنظیمات DSTNAT باید از بخش ADVANCED صفحه ی وب اقدام نماییم.
اگر خاطرتان باشد در درسنامه ی قبلی مفصلاً درباره ی سورس نت و اتفاقی که در این سرویس می افتد صحبت کرده بودیم و گفتیم که در این سرویس یک آی پی داخلی و محلی به یک ای پی عمومی و پابلیک تبدیل می شود. همچنین این موضوع را نیز آموزش داده بودیم که سورس نت معمولاً قابل برنامه ریزی نیست و تنظیمات خاصی ندارد.
از این روی تمامی تنظیماتی که در بخش ADVANCED مشاهده می کنید مربوط به سرویس DSTNAT می باشد. چرا که این سرویس برعکس سورس نت، کاملاً قابل برنامه ریزی است.
( البته در دوره های پیشرفته ی میکروتیک ISG به صورت کامل درباره ی سورس نت صحبت خواهیم کرد ).
خوب حالا به سراغ تنظیمات ADVANCED برویم. در منوی سمت چپ، روی گزینه ی PORT FORWADING که همان دیتینیشن نت ماست کلیک می کنیم. حالا با کلیلک بر روی گزینه ی ADD یک پنجره ی جدید برای ما باز خواهد شد.
( دقت کنید که روی این مودم تنها یک IP PUBLIC وجود دارد و شما می توانید تنها یک کانکشن پیاده سازی کنید. بنابراین هیچ چیزی مبنی بر آی پی پابلیک از شما خواسته نمی شود.)
بنابراین در بخش کانکشن این صفحه وقتی زبانه را می زنید، فقط همان یک کانکشن است که برای شما لیست می شود. اما اگر چند تا کانکشن داشتیم، تمام آن ها لیست خواهند شد و نهایتاً شما می توانستید از این لیست هر کدام که مد نظرتان بود را انتخاب کنید.
خوب به سراغ تنظیمات برویم؛ شما باید در بخش PRIVATE IP، آی پی اینترنالی را که تمایل دارید در طی DSTNAT تغییر کند را درج نمایید. در واقع به زبان ساده تر، شما باید تعیین کنید ای پی پابلیک شما باید به کدام ای پی پرایوت تبدیل شود. در قسمت قبل گغته بودیم که درخواست ما قرار است به ای پی ۱۹۲.۱۶۸.۱.۳ : ۸۰ برود. پس همین ای پی را در بخش مربوطه درج می کنیم.
گزینه ی دوم از تنظیمات پورت فورواردینگ، عبارت PROTOCOL است. بله؛ ما هنوز درباره ی این سرویس صحبتی نکرده ایم انشالله در آینده به این موضوع نیز خواهیم پرداخت. با این حال نیاز است در همین اطلاع داشته باشید که گزینه ی انتخابی در این قسمت بهتر است بر روی ALL قرار گیرد.
خوب می رسیم به دو گزینه ی EXTERNAL START PORT و EXTERNAL END PORT. این عبارت بدین معنا هستند که محدوده ی پورت قابل تغییر مد نظر ما را تعیین کنند. مثلاً ما می خواهیم اینجا پورت ۵۰۰۰ تغییر کند. اما این امکان نیز وجود دارد که یک محدوده در این قسمت برای تغییر و تعریف پورت مورد نظر، تعریف شود. یعنی نیازی نیست که حتماً یک پورت خاص را برای نت شدن تعریف کنید. ولی خوب هدف ما اینجا ۵۰۰۰ است. پس هم در بخش استارت و هم در بخش انتها یا همان END عدد ۵۰۰۰ را درج می کنیم.
حالا می رسیم به گزینه های INTERNAL START PORT و INTERNAL END PORT که این دو گزینه نیز امکان تعریف محدوده ی خاصی از پورت ها را برای ما فراهم می کنند. پورت مورد نظر ما برای تغییر پورت ۸۰ است. پس همین عدد را برای هردو قسمت درج می کنیم. حالا روی گزینه ی APPLY کلیک می کنیم و تنظیمات درج شده را اعمال می کنیم. پس از این پروسه تمامی تنظیمات برای شما به نمایش در خواهد آمد.
خوب، حالا ما برای درک عملی و اجرای پروسه ی DSTNAT یک دستگاه مرکز تلفن را از طریق کابل شبکه به یک مودم وصل می کنیم. حالا با استفاده از گوشی تلفن همراه خودمان به این دستگاه متصل می شویم. در این شرایط شما می توانید عملاً درک کنید که چه اتفاقی در پروسه ی DSTNAT رخ می دهد. حالا روی سیستم مان می رویم؛ اما خاطرتان باشد که باید اینترنت سیستم ما با اینترنتی که مودم مورد نظر ما به مرکز تلفن ارائه می دهد، تفاوت داشته باشد.
خوب در مرورگر سیستم تان ورود کنید و IP 80.210.25.19:5000 را وارد کنید. بعد از زدن دکمه ی اینتر، اتفاقی که می افتد این است که ما به وب دستگاه GRAND STREAM متصل می شویم. حالا با زدن عبارات ADMIN در بخش های یوذر نیم و پسورد، وارد تنظیمات دستگاه خواهیم شد. پس چه شد؟
طبق پروسه ی DSTNAT ما توانستیم با یک PUBLIC IP و پورت ۵۰۰۰ به صفحه ی وب دستگاه GRAND STREAM با یک LAN IP متصل شویم.
اعمال تنظیمات DST NAT بر روی مودم تندا TENDA
در این قسمت قصد ما این است که برای درک بهتر تنظیمات DSTNAT نحوه راه اندازی و تنظیمات آن را بر روی مودم تندا بررسی نماییم. حالا برای این که بتوانیم مودم تندا را به مرکز تلفن گرنداستریم متصل کنیم، بر طبق آموزش های قبلی نیاز است که ابتدا یک کانکشن PPPOE را بر روی سیستم مان راه اندازی نماییم. در این شرایط تنظیمات اصلی و ابتدایی تندا انجام می شود. اما کاری که ما می خواهیم انجام دهیم این است که یک NAT را بر روی مودم روتر بنویسیم.
خوب پس به سمت گزینه ی ADVANCED در صفحه ی وب مودم می رویم و روی گزینه ی NAT کلیک می کنیم. اگر خاطرتان باشد در مودم D-LINK، به جای گزینه ی NAT، ما گزینه ی PORTFORWARD را داشتیم. خوب NAT را باز می کنیم؛ توجه : ( حتماً دقت داشته باشید که اگر مودم شما در حالت BRIDGE باشد، گزینه ی NAT برای شما فعال نخواهد بود. چرا؟ چون در حالت BRIDGE دیگر NAT معنا و مفهومی نخواهد داشت و شما باید کانکشن PPPOE را ابتدا روی خود مودم فعال سازی کنید و بعد NAT را فعال نمایید. )
خوب حالا بر روی گزینه ی ADD کلیک می کنیم و مشاهده خواهیم کرد که تنظیمات اعمال شده دقیقا مشابه تنظیمات D-LINK می باشند. گزینه ی COUSTOMSERVER را می زنیم و برای سرورمان یک نام انتخاب می کنیم. حالا در بخش SERVER IP ADDRESS آی پی که می خواهیم ای پی پابلیک به آن تغییر کند را وارد می کنیم. مانند مودم D-LINK در این مودم نیز ما فقط یک کانکشن داریم، پس همان را انتخاب می کنیم. حالا EXTERNAL PORT و INTERNAL PORT را تعیین می کنیم. روی گزینه ی SAVE/APPLY کلیک می کنیم و متوجه می شویم که تمامی تتنظیمات اعمال شده است.
در نهایت باید خدمت تان عرض کنیم که این درسنامه یکی از جامع ترین درسنامه هایی است که شما می توانید درباره ی راه اندازی DSTNAT بر روی مودم، به آن اعتماد کند.برای کسب اطلاعات بیشتر در زمینه سانترال ، ویپ و شبکه با ما همراه باشید…
ttttttttttttttttttttttt
آموزش پیاده سازی SOURCE NAT بر روی روتر میکروتیک (جلسه ۲۰)
nnnnnnnnnnnnnnnnnnnnnnnn
پیاده سازی SOURCE NAT بر روی روتر میکروتیک
ما در این جلسه می خواهیم در مورد SOURCE NAT صحبت کنیم؛ یعنی در ادامه ی جلسه ی قبل که نت ها را به شما معرفی کردیم و تفاوت NAT و روتینگ را هم بررسی کردیم.
آنچه در این مقاله می خوانید:
پیاده سازی SOURCE NAT بر روی روتر میکروتیک پیاده سازی Src NAT روی میکروتیک
توضیحات اولیه
همان طور که گفتیم در SOURCE NAT ، آی پی سورس کلاینت هایمان باید با آی پی پابلیک تغییر پیدا کند یا ترنسلیت بشود و در نهایت با روتینگی که روی روتر وجود دارد، دسترسی به اینترنت به وجود بیاید. ما در شبکه ای که الان داریم، یک میکروتیک داریم که یک اینترنت به آن دادیم(از یک مبین نت استفاده کردیم). آی پی ای که خود روترمان دارد، آی پی ۱.۱۰ است و آی پی ۱و۱ می شود گتوی روتر میکروتیکمان که آی پی مبین نت است. اگر به قسمت IP و بخش Routs برویم، می توانیم این را مشاهده کنیم؛ البته آی پی مبین نت ما، ۱.۲ است و ۱.۱ نیست که گتوی روترمان محسوب می شود.خب در این سناریو، ما یک سری کلاینت ها را هم به آن وصل کردیم؛ مثلا سیستم من، یک کلاینت است و به پورت ۴ روتر میکروتیک وصل است. سیستم من چه IP ای را گرفته است؟ آی پی از شبکه ی LAN و DHCP سروری که روی میکروتیک راه اندازی کردیم، گرفته است و در رنج ۱۰ است.
می خواهیم ببینیم که چه IP ای را دارد. به قسمت IP بخش DHCP Server می رویم و در سربرگ Leases، می توانیم کل کلاینت هایی را که از این DHCP Server آی پی گرفته اند را ببینیم. سیستم من، آ پی ۱۰.۸۰ را گرفته است که MAC آن ۲C:44:FD:14:AB:83 است و گتوی ای که روی سیستم من است چه می شود؟ آی پی ۱۰.۱ است. اگر به قسمت کنترل پنل و بخش Network برویم و بعد Change adaptor setting و Detail را بزنیم به ما نشان می دهد.
این جا آی پی ۱۰.۸۰ را گرفته، گتوی ما ۱۰.۱ است با DNS هایی که در تصویر می بینید.این کل کارهایی که کردیم است؛ سیستم من در رنج ۱۰ از میکروتیک آی پی گرفته و قرار است که ما به آن اینترنت بدهیم. عملیات روتینگ را هم روی میکروتیکمان نوشتیم. اگر به قسمت IP و بخش Routs برویم، دیفالت روت در ردیف اول نوشته شده، روتینگ هم انجام شده است.حالا ما گفتیم که وقتی که عملیات روتینگ را روی روترمان پیاده سازی می کنیم، باید به لحاظ آی پی، دسترسی هم ایجاد کنیم و به کلاینت هایمان که در شبکه هستند، دسترسی بدهیم که به دنیای WAN یا اینترنت وصل بشوند. همان چیزی که در مورد آن در بخش قبلی صحبت کردیم؛ مطابق تصویر زیر.حالا وقتی که این کلاینت ها می خواهند که به اینترنت وصل بشوند، این کار را نمی توانند با آی پی LAN انجام بدهند و باید آی پی آن ها (آی پی خودشان) تغییر کند یا ترنسلیت بشود. چون آی پی خود کلاینت ها در حال عوض شدن است؛ یعنی سورس (Src) آن ها در حال تغییر کردن است، می گوییم عملیات Src NAT را باید انجام بدهیم که Src کلاینت ها به آی پی قابل درک و فهم در شبکه ی WAN یا در شبکه ی اینترنت، ترنسلیت بشود که به آن سورس نت (SOURCE NAT) می گوییم.
پیاده سازی Src NAT روی میکروتیک
حالا ما می خواهیم Src NAT را روی میکروتیک، پیاده سازی کنیم. ما در فصل قبل برای این که به سیستم خودمان دسترسی به اینترنت بدهیم، یک Src NAT را به صورت ابتدایی نوشتیم و خیلی هم در مورد آن صحبت نکردیم؛ فقط گفتیم که Src NAT به این شکل نوشته می شود؛ برای این که آی پی آن، ترنسلیت بشود. ما می خواهیم آن را کنسل کنیم؛ پس به قسمت IP و بخش Firewall و سپس NAT می رویم. سورس نتی که نوشته بودیم را می بینیم؛ روی آن کلیک کرده و Cancel را می زنیم. ما آن را پاک نکردیم؛ فقط غیر فعال کردیم.
اگر از سمت چپ صفحه مثبت را بزنید (+) می توانید در قسمت Chain ، NAT را بنویسید. حالا می توانید دستینیشن نت و یا سورس نت را بنویسید و هر دو امکان پذیر است.
ما در این بخش، می خواهیم یک Src NAT را برای شما پیاده سازی کنیم. ما در قسمت Src NAT، آپشن های زیادی داریم و شرط هایی وجود دارند که شما می توانید پیاده سازی کنید؛ مثلاً بگویید اگر فلان پروتکل بود یا اگر سورسمان فلان آی پی بود یا اگر دستینیشن آن به فلان جا یا فلان مقصد بود، اگر از In Interface داشت وارد می شد یا از فلان Interface داشت خارج می شد یا به فلان Interface، آن را خارج کن (چون Out Interface دو حالته است و بستگی به کاری دارد که ما در حال انجام دادن آن هستیم) یا می توانیم، لیستی از اینتر فیس ها را در نظر بگیریم و یا می توانیم، محدودیت ها دیگری را در قسمت Advanced در نظر بگیریم؛ بهتر است بگوییم شرط؛ یعنی می توانیم شرایط دیگری را نیز برای آن لحاظ کنیم. در نهایت در قسمت Action می توانیم بگوییم که چه عملیاتی را انجام بدهد. این بخش ها هم برای فیلتر رول ها و هم NAT، تقریباً یکسان است؛ حالا در برخی بخش ها، کم و زیادهایی را دارد.
در قسمت General برای نوشتن Src NAT ما باید چند کار انجام بدهیم:
اول این که باید Chain را روی حالت SOURCE NAT بگذاریم و بگوییم که چه آدرس هایی. اگر هیچ آدرس یا هیچ کلاینتی مد نظرتان نیست، کافی است که هیچ تغییری ندهید؛ ولی اگر قرار است که به تعداد مشخصی کلاینت دسترسی بدهید، می توانید در این قسمت یک آی پی خاص را بنویسید یا رنجی از آی پی را در نظر بگیرید؛ مثلاً بنویسید ۱۹۲.۱۶۸.۱۰.۸۰. اگر جای ۸۰ بنویسیم ۰/۲۴، یعنی کل رنج ۱۰ و همه را شامل می شود یا اگر نگذاریم هر آی پی ای که بود همان می شود.می توانیم برای دستینیشن آن، یک مقصد انتخاب کنیم، ما گزینه ی پر کاربرد را به شما می گوییم؛ پس می توانید دستینیشن را هم مشخص کنید. در راه اندازی سیپ ترانک ها، ما از این پارامتر استفاده می کنیم؛ چون به لحاظ امنیتی، خیلی به کارمان می آید. می توانیم برای آن، پروتکل بگذاریم یا اگر اینترنت هست، می توانیم برای آن، یک Out Interface را لحاظ کنیم و بگوییم از چه اینترفیسی خارج شو.
اگر کانکشن pppoe استفاده کردید و خواستید Out Interface آن را مشخص کنید، حتماً یادتان باشد که باید خود کانکشن را لحاظ کنید و ether را لحاظ نکنید؛ ولی در مواقع دیگر، غیر از اینترنت که وی پی انی نصب نمی شود و معمولاً روتینگ است از خود ether هم می توانید استفاده کنید و می توانید اصلاً Out Interface را در نظر نگیرید.پس اگر بخواهیم یک Src NAT کلی برای اینترنت پیاده کنیم، نیازی نیست که سورس یا دستینیشنی انتخاب کنیم یا یک OutInterface را لحاظ کنیم. حال به قسمت Action می رویم و آن را روی Masquerade می گذاریم؛ یعنی آی پی پرایویت را به آی پی پابلیک تبدیل می کند.
حالا این از کجا می فهمد که چه آی پی پرایویتی را باید به چه آی پی پابلیکی تغییر دهد؟ در حالت Masquerade به Route Tables می روید و از روتینگ ها بر اساس درخواستی که شما می دهید، استفاده می کند؛ اگر Static Route باشد، Static Route مناسب با آن درخواست را انتخاب می کند و آی پی پرایویت که آی پی کلاینتمان است را به آی پی پابلیک در آن شبکه در آن روتینگ استفاده می کند و یا اگر اینترنت باشد، مثلاً دیفالت روت را زدید، خودش آی پی پرایویت را به آی پی پابلیک اینترنت، تغییر می دهد.
پس در حالت Masquerade، ما معمولاً برای اینترنت استفاده می کنیم، اما روی Static Routeهایی که زدیم هم می توانیم از این NAT استفاده کنیم. موضوع مهمی که وجود دارد، این است که اگر از اینترنت استفاده می کنید، پیشنهاد ما این است که Masquerade بگذارید و اگر آی پی پابلیک اینترنت Static دارید (داینامیک نبوده و تغییر نکند)، می توانید از گزینه ی Src NAT هم استفاده کنید. SOURCE NAT بشود به آی پی پابلیکمان. این را برای توضیحات بیشتر خدمتتان عرض کردیم.پس ما در حالت SOURCE NAT ، دو تا Actoin را در Chain سورس نت به شما معرفی می کنیم؛ یکی اکشن Masquerade بود که گزینه ی اولمان بود و گفتیم روی سورس نت Masquerade بگذارید که خودش آی پی پرایویت را به آی پی پابلیک بر اساس روتینگ هایی که نوشته شده، تبدیل یا ترنسلیت کند و نیازی نیست که کاری را انجام بدهید یا اگر خواستید که به یک آی پی پابلیک خاصی تغییر پیدا کند، باید روی حالت Src NAT بگذارید و آی پی پابلیکتان را در قسمت To Address بنویسید. این می شود همان کانفیگ Src NAT. جزئیات دیگری هم دارد که شما در قسمت Advanced یا Extra می توانید گزینه های دیگری را نیز انتخاب کنید؛ اما ما هدفمان این است که فقط شما را با این موضوع آشنا کنیم و نمی خواهیم که تمام جزئیات را به شما بگوییم؛ چون نیازمند زمان زیادی می باشد و نیاز است که کلاً با این شرایط در NAT یا در فیلتر رول ها و یا در Firewall آشنا شوید که در این دوره، هدف ما نیست و هدف ما، این است که در این جلسه، فقط شما را با Src NAT آشنا کنیم.
پس ما در تنظیمات Src NAT، می توانیم سورسمان را انتخاب کنیم که چه کلاینت هایی باشند، چه مقصدی را داشته باشند (اگر اینترنت باشد، نمی توانیم هیچ مقصدی برای آن لحاظ کنیم)، اگر مثلاً سیپ سرور مخابرات باشد، می توانیم آی پی سیپ سرور را بگذاریم و اگر یک سرور خاصی با یک آی پی خاص مد نظرمان است، می توانیم آن را بگذاریم؛ یعنی اگر فقط به این آی پی خاص برود، آی پی آن را ترنسلیت کن و به آن دسترسی بده و برای کلاینتمان دسترسی ایجاد کن.
پس ما روی پارامترهای Src Address، Dst Address و Out Interface می توانیم در صورت نیاز کار کنیم. اما چون می خواهیم اینترنت را راه اندازی کنیم و قرار است که همه ی کلاینت هایمان به اینترنت دسترسی پیدا کنند، هیچ تغییری را ایجاد نمی کنیم و Action آن را روی حالت Masquerade می گذاریم تا اینترنتمان برقرار شود. الان اگر روی سایت برویم و F5 را بزنیم، ملاحظه می کنیم که اینترنت را داریم و اینترنتمان برقرار است و اگر آن را قطع کنیم، اینترنتمان نیز قطع می شود؛ یعنی دیگر آی پی ما ترنسلیت نشده است.حالا ابتدا Src NAT را فعال می کنیم. اگر مثلاً بگوییم که یک آی پی خاص NAT شود؛ برای مثال ۱۹۲.۱۶۸.۱۰.۳ و Apply و سپس OK را می زنیم.
یک نکته ی مهم که می خواهیم بگوییم این است که زمانی که روی NAT می خواهید کار کنید، حتماً به قسمت Connections رفته و کل کانکشن ها را با Ctrl+A انتخاب کرده و منفی (-) را بزنید که کل کانکشن هایتان پاک شده و دوباره ساخته بشوند و تغییرات شما، اعمال شوند. الان ما گفتیم که در Src NAT، فقط اگر سورس آن ۱۰.۳ بود، Masquerade انجام شود و آی پی پرایویت به آی پی پابلیک تغییر پیدا کند. این جا اگر F5 را بزنیم، قاعدتاً نباید رفرش شود. همان طور که در تصویر مشاهده می کنید رفرش نشده و اینترنتمان قطع شده است.
اگر در قسمت Src Address بنویسیم ۲۴/۰۱۰. یعنی کل رنج ۱۰ و اگر این را Apply و سپس OK کنیم و یک بار دیگر چک کنیم، مشاهده می کنیم که اینترنتمان درجا وصل شده است و ما اینترنت داریم.روی NAT گفتیم اگر Dst Address مشخص باشد می توانیم بگذاریم؛ ولی چون این جا ما می خواهیم به اینترنت وصل شویم و مقصد خاصی مد نظرمان نیست و کل اینترنت هست، ما در این قسمت محدودیتی برای آن نمی گذاریم. روی Out Interface می توانیم بگوییم که از چه اینتر فیسی خارج بشود؛ اما می توانیم هیچ Out اینتر فیسی هم نگذاریم. ما این جا برای این که این سناریو تکمیل شود، ما آن را روی ether1 می گذاریم(چون اینترنتمان روی پورت ether1 است). می گوییم روی ether1 و Dst Address 10.0 یعنی همه.حالا F5 را می زنیم و مشاهده می کنیم که اینترنت داریم و هیچ مشکلی وجود ندارد.
خب دوستان این هم از بخش Src NAT و در جلسه ی بعدی هم ما با Src NAT و انواع NAT سروکار داریم که قطعاً مسلط می شوید و می توانید در پروژه هایتان از Src NAT و Dst NATها استفاده کنید. حال به سراغ بخش بعدی آموزش برویم.
ttttttttttttttttttttttt
آموزش پیاده سازی Destination NAT بر روی روتر میکروتیک (جلسه ۲۱)
nnnnnnnnnnnnnnnnnnnnnnnn
پیاده سازی Destination NAT بر روی روتر میکروتیک ما در این مقاله، تصمیم داریم تا در رابطه با دستینیشن نت (Dst NAT) صحبت کنیم؛ هر چند که در دو الی سه ویدیوی قبل، ما NAT را به شما معرفی کردیم و Source NAT را به شما گفتیم. در این ویدیو هم می خواهیم یک دستینیشن نت را به صورت اولیه روی روتر میکروتیک برای شما پیاده سازی کنیم.
آنچه در این مقاله می خوانید:
پیاده سازی Destination NAT بر روی روتر میکروتیک پیاده سازی Dst NAT روی میکروتیکجمع بندی
توضیحات اولیه
بریم روی وان نوت. ابتدا یک مروری داشته باشیم به بحث دستینیشن نت. گفتیم که توی دستینیشن نت، درخواست هایی که روی آی پی پابلیک ما میاد با پورت خاص، ارسال می کنیم به یک آی پی پرایویت با یک پورت خاص که اون سرویس روی آن راه اندازی شده. این کاریه که ما روی دستینیشن نت انجام میدیم. در واقع توی دستینیشن نت، ما آی پی دستینیشنمان را که معمولاً آی پی پابلیک است ترنسلیت می کنیم به یک آی پی پرایویت.
حالا اگر توی شبکه ی LAN باشیم یا دو شبکه ی LAN داشته باشیم هم، گاهی اوقات این کار را انجام می دهیم؛ اما معمولاً دستینیشن نت، روی شبکه های اینترنت استفاده می شود؛ روی شبکه های پابلیک. توی شبکه هایی که می خواهیم بین دو تا روتر یا مثلاً بین دو تا شعبه روتینگ بزنیم و شبکه ها را با هم یکپارچه کنیم، معمولاً از NAT استفاده نمی کنیم. خب یک مثال زدیم و گفتیم مثلاً ما یک کلاینت یا سروری را در شبکه ی LAN داریم و توی شبکه ی LAN خودمان، آی پی آن ۱۵۰ است.
فرض کنید که این یک دستگاه NVR است که تعدادی دوربین به آن وصل است و ما می خواهیم با موبایلمان آن را چک کنیم. موبایل ما اینترنت پابلیک دارد؛ اینترنتش را از سیمکارت گرفته یا آی پی پابلیک دارد و روی نرم افزار موبایلمان، ما تنظیم کردیم که برو به یک آی پی پابلیکی که شبکه ی LAN ما به آن وصل شده؛ مثلا این آی پی (۴۶.۱۰۰.۲۰.۵۰). فرض کنید این آی پی، اینترنت شبکه ی ما است. موبایل ما در خارج از شبکه هم یک آی پی پابلیک دارد.
ما با آی پی پابلیک موبایلمان به آی پی پابلیک شبکه وصل می شویم و طبق پورتی که نرم افزار دارد، درخواستمان را روی همان پورت ارسال می کنیم و بعد با دستینیشن نت، ما چیکار می کنیم؟ این درخواستی که به آی پی پابلیک ۴۶.۱۰۰.۲۰.۵۰ آمده را با آن پورت خاص، می فرستیم به آی پی NVR با پورتی که نرم افزاردر حال کار کردن با آن است. این دقیقاً کاری است که در دستینیشن نت انجام می شود. خب ما توضیحات بیشتر هم در بخش های قبلی دادیم و به شما گفتیم که به چه شکلی در حال عمل کردن است.
پیاده سازی Dst NAT روی میکروتیک
ما در این ویدیو، فقط می خواهیم کانفیگ اولیه را به شما بگوییم و به طور کامل راه اندازی نمی کنیم؛ چون همان طور که گفتیم، باید حتماً امنیت را تامین کنیم و جلوی نفوذ هکر یا ربات ها را بگیریم.
ببینید ما الان در این فصل هستیم: بررسی انواع نت. نت را به شما گفتیم، تفاوت نت با روت را بررسی کردیم و در بخش قبلی، Source NAT را به شما گفتیم که به چه شکلی است و در این بخش هم می خواهیم دستینیشن نت را روی روتر میکروتیک به شما معرفی کنیم؛ اما به طور کامل پیاده سازی نمی کنیم؛ چرا؟ چون شما باید حتماً بخش امنیت را روی روترتان در چند لایه راه اندازی کنید و بعد ما تنظیمات نت را به طور کامل به شما می گوییم و شما می توانید یک کلاینت را در خارج از شبکه مثلاً به شبکه ی LAN خودتان، وصل کنید و دسترسی ایجاد کنید.دقیقاً در بخش “دسترسی به Device ها در خارج از شبکه” است که ما به طور کامل در رابطه با دستینیشن نت فقط صحبت می کنیم و NAT را در قالب یک سناریوی عملی برایتان پیاده سازی می کنیم. بریم روی روتر میکروتیک. کاری که می کنیم این است که مثبت را از بالای صفحه سمت چپ در قسمت فایر وال و سر برگ NAT می زنیم و شما می توانید با زدن مثبت، دو نوع NAT بسازید؛ دستینیشن نت یا Source NAT.
کاری که ما می خواهیم انجام بدهیم، این است که چون می خواهیم آی پی پابلیک را به آی پی LAN تبدیل کنیم و ترنسلیت کنیم، باید از دستینیشن نت استفاده کنیم. وقتی از دستینیشن نت استفاده می کنیم، می توانیم بر اساس Source و دستینیشن، یک سری محدودیت ها را ایجاد کنیم یا بگوییم اگر این پروتکل بود یا اگر مثلاً این پورت بود، اگر از این اینترفیس وارد شده بود یا از این لیست اینترفیس ها وارد شده بود و…. پس می توانیم انواع شرط ها را برای آن برقرار کنیم.
اصلاً یکی از دلایلی که ما از NAT استفاده می کنیم، برای این است که می توانیم محدودیت ایجاد کنیم و می توانیم شرایطی را بگذاریم و شبکه ی LAN ما در واقع پشت فایر وال باشد که بتوانیم امنیت را تأمین کنیم. یکی از راه های تأمین امنیت، همین شرایطی است که ما می توانیم روی پنجره ی NAT، پیاده سازی کنیم. مثلاً بگوییم فقط آی پی های داخل ایران حق دارند که NAT بشوند.مثلاً می توانیم این کار را بکنیم. برای مثال می توانیم زمان را برای آن مشخص کنیم و بگوییم در فلان ساعت، این NAT می تواند انجام بشود یا خیلی کارهای دیگر. مثلاً از یک سری پورت های غیر مرتبط یا غیر معروف استفاده کنیم. این لایه های امنیتی ای است که ما می توانیم روی آن پیاده کنیم که دسترسی به شبکه ی LANمان را تا جایی که می توانیم، محدود کنیم که هر هکری نتواند به راحتی کلاینت ما را پیدا کرده و آن را هک کند. خب ما وقتی که داریم دستینیشن نت را می نویسیم، باید یک Source و یک دستینیشن را بگذاریم.
Source ما چیست؟ همان آی پی پابلیک کلاینتمان. مثلاً فرض کنید که می خواهیم با موبایلمان به نرم افزار یا وب سرور دوربین ها در شرکت وصل شویم. موبایل ما، خودش یک آی پی پابلیک دارد. این آی پی، آی پی Source ما می شود که می خواهد به آی پی پابلیک شرکت وصل شود و یک پورت را درخواست بدهد. آی پی شرکت، آی پی دستینیشن ما می شود.
مثلاً همان طور که در این تصویر می بینید، ما یک اینترنت داریم: ۴۶.۱۰۰.۲۰.۵۰. این آی پی دستینیشن ما می شود و Source ما چه می شود؟ آی پی پابلیک موبایلمان.
مثلاً در تصویر، فرض کنید که این شکل مستطیل آبی، موبایلمان باشد که یک آی پی دارد؛ برای مثال تحت عنوان ۵.۱۰۰.۲۰.۲۰۰. این آی پی، آی پی پابلیک است و از طریق دنیای اینترنت در حال وصل شدن به روترمان است؛ یعنی می خواهد به آی پی میکروتیکمان وصل شود. آی پی میکروتیک چند است؟ همان ۴۶.۱۰۰.۲۰.۵۰ است که میکروتیکمان برای دسترسی به اینترنت، یک آی پی پابلیک گرفته و این آی پی را با کل کلاینت ها به اشتراک می گذارد(share) که همان عملیات Source NAT می باشد.ولی ما در همان شبکه ی اینترنت با آی پی ۵۰.۱۰۰.۲۰.۲۰۰ در حال فرستادن درخواست به شما با آی پی ۴۶.۱۰۰.۲۰.۵۰ و پورت ۹۸ هستیم(آی پی Source(Src) و آی پی Dst در تصویر با رنگ بنفش مشخص شده اند). چون آی پی Src عوض می شود و ثابت نیست، ما لحاظ نمی کنیم؛ چون الان موبایل ما در این شبکه که وصل است، این آی پی را دارد و اگر اینترنت آن قطع و مجدداً وصل شود، یک آی پی پابلیک دیگر را می گیرد.
چون آی پی پابلیک موبایل ما ثابت نیست، ما این آی پی را روی روترمان لحاظ نمی کنیم؛ اما اگر ثابت باشد و فقط یک شرکت خاصی مد نظرمان باشد، مثلاً بگوییم فقط SPC مخابرات، آی پی و سورس آن را وارد می کنیم و در غیر این صورت، وارد نمی کنیم. پس یکی از راهکارهای امنیتی ای که می شود روی دستینیشن نت پیاده سازی کرد، همین است که می توانیم بگوییم که اگر فلان کلاینت با فلان آی پی بود، فقط NAT بشود و در غیر این صورت اجازه ی NAT شدن را ندارد.
در دستینیشن نت(Dst Address)، آی پی پابلیک خودمان را می نویسیم و می توانیم بگوییم که از چه اینتر فیسی وارد شد. وقتی که آی پی پابلیک خودمان را می نویسیم، اینترفیس آن مشخص است و عملاً In Interface، کاربردی ندارد. Out Interface هم که خب الان روی دستینیشن نت اصلاً فعلاً کاربردی ندارد.
در قسمت Advanced می توانیم بگوییم که اگر Src Address ما، مثلاً اگر ۱۰ الی ۱۰۰۰ لیست و… بود، این جا می توانیم لیست آن را بسازیم و اضافه کنیم که در بخش یا فصل امنیت به صورت مفصل در مورد آن صحبت می کنیم و این جا می توانیم بگوییم که اگر فقط این لیست آی پی ها بودند، NAT انجام بشود. معمولاً برای کشورها از این کار استفاده می کنند؛ مثلاً بگوییم فقط اگر آی پی داخل ایران بودند، اجازه ی NAT شدن را دارند. این به بحث امنیت مربوط می شود. قسمت Extra هم بیشتر به امنیت ربط پیدا می کند.
در قسمت Action می توانیم، عملیاتمان را انجام بدهیم که بگوییم دستینیشن نت روی چه آی پی لنی با چه پورتی انجام شود. To Address همان آی پی LAN ما می شود؛ مثلاً آی پی LAN ما، ۱۹۲.۱۶۸.۱.۲۰۰ است به پورت ۹۸ که گفته بودیم.این بخشی که با رنگ سبز در تصویر نوشتیم (گفتیم اگر درخواستی به پورت ۸۸ آمد، به آی پی ۱۹۲.۱۶۸.۱.۲۰۰:۸۸ برود) در قسمت Action وارد می شود؛ یعنی از بیرون که آمد، برود به این سیستم یا سرور ما. این قسمت سبز رنگ، همان کاری است که ما در سربرگ Action انجام می دهیم که می گوییم به این آی پی و پورت، دستینیشن نت کن. اما ورودی را ما پورت ۹۸ لحاظ نکردیم و وقتی که پورت ۹۸ را نگذارید، یعنی هیچ محدودیتی روی آن ندارید. پس بهتر است که ما در دستینیشن نت، چون قرار است که دستینیشن پورت را تغییر بدهیم در قسمت Dst Port، می توانیم پورتی را لحاظ کنیم؛ مثلا بنویسیم ۹۸ یا بگوییم ۹۹_۹۷ که شامل ۹۷، ۹۸ و ۹۹ می شود؛ یعنی می توانید یک رنج را گذاشته یا یک پورت خاص را بگذارید. این یکی از موضوعات مهم در دستینیشن نت است.جمع بندی
حالا می خواهیم یک جمع بندی داشته باشیم. در دستینیشن نت، گفتیم که می توانیم Source را استفاده کنیم و می توانیم دستینیشن را هم بگذاریم. Source را موقعی استفاده می کنیم که تغییر نمی کند یا Source ما، عوض شدنی نیست؛ مثلاً مثل سیپ سرور مخابرات، مثل شبکه ای که همیشه آی پی پابلیک آن ثابت است. آن را در این قسمت قرار می دهیم که همیشه اگر Source آن همان بود، NAT انجام شود و روی دستینیشن، می توانیم آی پی پابلیک خودمان را بگذاریم. در Protocol مشخص می کنیم که چه پروتکلی و چه پورتی یا چه رنج پورتی و در Action می گوییم به چه آی پی و چه پورتی، انتقال پیدا کند.
این دقیقاً همان پورت فورواردینگی است که ما در دوره ی نتورک پلاس روی مودم های معمولی انجام دادیم. به همین راحتی؛ می توانیم بگوییم چه Source و چه پروتکل و چه پورتی به چه آی پی و چه پورتی، انتقال پیدا کند. دقیقاً مانند صحبتی که در مورد تصویر زیر کردیم. گفتیم مثلا ۵۰.۶۰ اگر از آی پی ۱۰.۱۹۸.۵.۱۰۰ بود و این Source آن بود، برو به Ip LAN به پورت ۵۰۶۰.
این دقیقاً می شود همان دستینیشن نت؛ اما ما این را فعال نکرده و Apply یا OK را نمی زنیم؛ بلکه آن را Cancel می کنیم؛ چون حتماً قبل از این که بخواهید دستینیشن نت را بنویسید، باید امنیت را بلد باشید و حداقل به صورت اولیه، امنیت را روی آن تأمین کرده باشید و بعد دستینیشن نت را بنویسید؛ چون وقتی دستینیشن نت را می نویسید، یعنی عملاً در حال دسترسی دادن به سرور یا به کلاینت از طریق اینترنت هستید.
این نکته ی مهمی بود که می خواستیم در انتهای این بخش، دوباره و برای چهارمین یا پنجمین بار، تأکید کنیم که به هیچ عنوان فراموش نکنید و روی دستینیشن نت باید حتماً امنیت تأمین باشد. این هم از بحث دستینیشن نت. اما اصلاً نگران پیاده سازی سناریو در این بخش نباشید. ما در فصلی که می خواهیم به صورت عملی پیاده سازی کنیم، تمام مطالبی که لازم باشد را به شما می گوییم.
اول راهکار امنیتی را بررسی می کنیم و بعد دستینیشن نت را برایتان می نویسیم که ببینید چطور می توانیم با خیالی راحت به سرورمان از خارج شبکه دسترسی بدهیم و بتوانیم در خارج از شبکه یعنی روی اینترنت به یکی از کلاینت هایمان در شبکه ی داخلی، وصل شویم و خیالمان هم راحت باشد و استرس امنیت را نداشته باشیم. خب دوستان بیشتر از این وقت شما را نمی گیریم. حال برویم سراغ فصل بعدی آموزش.