Настройка трансляции адресов (NAT)

Введение

REFOS имеет механизм трансляции(преобразования) адресов (NAT), который может производить следующие процессы преобразования IP-адресов в заголовке пакета:

DNAT(Prerouting) – используется для преобразования IP-адреса и номера порта получателя в заголовке пакета;
SNAT(Postrouting) – используется для преобразования IP-адреса и номера порта отправителя в заголовке пакета;
BINAT – используется для преобразования IP-адреса отправителя и получателя в заголовке пакета.

DNAT(Prerouting)

Механизм позволяет перенаправлять поступающий трафик на определенный хост в сети. Система (REFOS) производит преобразование IP-адреса и номера порта получателя в заголовках поступающего трафика, который подходит под условие трансляции.

Весь процесс преобразования адресов DNAT(Prerouting) регулируются правилами перенаправления в разделе Межсетевой экран - NAT - DNAT (Prerouting).

Для конфигурации правила трансляции DNAT(Prerouting) необходимо задать параметры трафика, который подлежит преобразованию, а также параметры перенаправления в соответствии с таблицей.

Параметры правила перенаправления DNAT(Prerouting)
Параметры трафика, который подлежит преобразованию
Отключить	Отключить правило перенаправления без его удаления из системы
Интерфейс	Указать интерфейс, на котором будет происходить преобразование адресов. Преобразование должно производиться до процесса обработки и маршрутизации на входящем интерфейсе
Версии TCP/IP	Выбор протокола: IPv4;
Протокол	Выбор протокола TCP, UDP, ICMP. По умолчанию используется значение Any (Любой)
Отправитель / Инвертировать; Получатель/ Инвертировать;	Трафик, который попадает под правила перенаправления с использованием данной функции, будет игнорироваться и обрабатываться последующими правилами фильтрации, а трафик, который не попадает по параметрам под заданные правила перенаправления с инверсией, будет обрабатываться данным правилом
Отправитель; Получатель;	Указать IP-адрес или целую сеть отправителя или получателя По умолчанию используется значение Любой
Диапазон портов источника; Диапазон портов получателя; (Параметры доступны только при выборе протоколов TCP, UDP)	Возможно задать любой порт или список портов источника или получателя, используя параметр Другое. А также можно использовать список портов из поля Хорошо известные порты: FTP, SSH, Telnet, SMTP, DNS, TFTP, HTTP, POP3, IDENT/AUTH, NNTP, NTP, NetBIOS-NS, NetBIOS-DGM, NetBIOS-SSN, IMAP, SNMP, SNMP-Trap, LDAP, HTTPS, MS DS, SMTP/S, ISAKMP, ModBus(TCP), SUBMISSION, IMAP/S, POP3/S, OpenVPN, MS WINS, L2TP, PPTP, MMS/TCP, RADIUS, RADIUS accounting, MSN, MQTT, IEK 60870-5-104; HBCI, MS RDP, STUN, Teredo, IPsec NAT-T, RTP, SIP, VNC, CVSup, MMS/UDP, MQTT(SSL)
Параметры преобразования трафика
Перенаправление целевого IP-адреса	Задать IP-адрес получателя, на который будет производиться перенаправление. Возможно задать один IP-адрес хоста или Диапазон IP-адресов.
Перенаправлять на порт (ы)	Задать порт(ы) получателя, на который будет производиться перенаправление. Возможно задать любой порт или список портов источника или получателя, используя параметр Другое. А также можно использовать список портов из поля Хорошо известные порты: FTP, SSH, Telnet, SMTP, DNS, TFTP, HTTP, POP3, IDENT/AUTH, NNTP, NTP, NetBIOS-NS, NetBIOS-DGM, NetBIOS-SSN, IMAP, SNMP, SNMP-Trap, LDAP, HTTPS, MS DS, SMTP/S, ISAKMP, ModBus(TCP), SUBMISSION, IMAP/S, POP3/S, OpenVPN, MS WINS, L2TP, PPTP, MMS/TCP, RADIUS, RADIUS accounting, MSN, MQTT, IEK 60870-5-104; HBCI, MS RDP, STUN, Teredo, IPsec NAT-T, RTP, SIP, VNC, CVSup, MMS/UDP, MQTT(SSL).
Журналирование	Запуск журналирования. Журналируется каждый пакет, который попадает под текущее правило перенаправления.
Описание	Общее описание правила преобразования.

Пример конфигурирования правила перенаправления (DNAT) ICMP-трафика

Например, сконфигурируем правило перенаправление DNAT таким образом, чтобы приходящие ICMP запросы на LAN интерфейс с IP-адресом отправителя 10.0.0.2 на IP-адрес получателя 20.0.0.2 направлялись на IP-адрес 20.0.0.3.

../../../../_images/one13.png — Пример конфигурирования правила перенаправления (DNAT) ICMP-трафика

SNAT(Postrouting)

Механизм позволяет преобразовывать сетевые адреса, т.е. производить изменения исходящего IP адреса в заголовке пакета, который подходит под условие правила перенаправления SNAT (Postrouting).

Процесс преобразования SNAT(Postrouting) состоит в следующем: после обработки пакета (фильтрация, маршрутизация и т.п.) пакет анализируется правилом перенаправления SNAT(Postrouting), где сопоставляются параметры трафика и параметры правила перенаправления SNAT(Postrouting), если происходит совпадение, система производит преобразование порта и/или IP-адреса отправителя.

В системе используются определенные методы преобразования:

Трансляция по статически заданному IP-адресу - система использует только заданный IP-адрес для замены IP-адреса отправителя в заголовке пакета;
Persistent - система использует только IP-адрес исходящего интерфейса для замены IP-адреса отправителя в заголовке пакета;
Random и Fully-Random - система использует IP-адрес исходящего интерфейса для замены IP-адреса отправителя и случайный(свободный) номер порта для замены порта отправителя в заголовке пакета.

Весь процесс преобразования адресов SNAT(Postrouting) регулируются правилами перенаправления в разделе Межсетевой экран - NAT - SNAT(Postrouting).

Для конфигурации правила перенаправления SNAT(Postrouting) необходимо задать параметры трафика, который подлежит преобразованию, а также параметры перенаправления SNAT(Postrouting) в соответствии с таблицей.

Параметры правила перенаправления SNAT(Postrouting)
Параметры трафика, который подлежит преобразованию
Отключить	Отключить правило перенаправления без его удаления из системы
Интерфейс	Указать интерфейс, на котором будет происходить преобразование адресов. Преобразование должно производиться до процесса обработки и маршрутизации на исходящем интерфейсе
Версии TCP/IP	Выбор протокола: IPv4;
Протокол	Выбор протокола TCP, UDP, ICMP. По умолчанию используется значение Any (Любой)
Отправитель / Инвертировать; Получатель/ Инвертировать;	Трафик, который попадает под правила перенаправления с использованием данной функции, будет игнорироваться и обрабатываться последующими правилами фильтрации, а трафик, который не попадает по параметрам под заданные правила перенаправления с инверсией, будет обрабатываться данным правилом
Отправитель; Получатель;	Указать IP-адрес или целую сеть отправителя или получателя По умолчанию используется значение Любой
Диапазон портов источника; Диапазон портов получателя; (Параметры доступны только при выборе протоколов TCP, UDP)	Возможно задать любой порт или список портов источника или получателя, используя параметр Другое. А также можно использовать список портов из поля Хорошо известные порты: FTP, SSH, Telnet, SMTP, DNS, TFTP, HTTP, POP3, IDENT/AUTH, NNTP, NTP, NetBIOS-NS, NetBIOS-DGM, NetBIOS-SSN, IMAP, SNMP, SNMP-Trap, LDAP, HTTPS, MS DS, SMTP/S, ISAKMP, ModBus(TCP), SUBMISSION, IMAP/S, POP3/S, OpenVPN, MS WINS, L2TP, PPTP, MMS/TCP, RADIUS, RADIUS accounting, MSN, MQTT, IEK 60870-5-104; HBCI, MS RDP, STUN, Teredo, IPsec NAT-T, RTP, SIP, VNC, CVSup, MMS/UDP, MQTT(SSL)
Параметры преобразования трафика
Перенаправить с исходного IP	Задать IP-адрес отправителя, который будет меняться(преобразовываться) в заголовке пакета. Возможно задать один IP-адрес хоста или Диапазон IP-адресов.
Masquerade	Выбор механизма преобразования IP-адреса и порта отправителя. Отсутствует – используются заданные параметры из поля Перенаправить с исходного IP; Persistent - система использует только IP-адрес исходящего интерфейса для замены IP-адреса отправителя в заголовке пакета; Random и Fully-Random - система использует IP-адрес исходящего интерфейса для замены IP-адреса отправителя и случайный(свободный) номер порта для замены порта отправителя в заголовке пакета.
Журналирование	Запуск журналирования. Журналируется каждый пакет, который попадает под текущее правило перенаправления.
Описание	Общее описание правила преобразования.

Пример конфигурирования правила перенаправления (SNAT) ICMP-трафика

Например, сконфигурируем правило перенаправление SNAT таким образом, чтобы перенаправления применялось только к трафику, параметры которого указаны в таблице ниже.

Пример конфигурирования правила перенаправления (SNAT) ICMP-трафика
Параметры пакета	Значение
Протокол	TCP
Сеть отправителя	10.0.0.0/24
Порт отправителя	200-250
IP-адрес получателя	40.0.0.1
Порт получателя	251-298
Параметры трансляции SNAT	20.0.0.3

В данном случае порты и IP-адреса отправителя в заголовках пакетов, которые инициированы хостами из сети 10.0.0.0/24 в сторону IP-адреса получателя 40.0.0.1, TCP-портом отправителя 200-250 и получателя 251-298, будут меняться на заданный правилом перенаправления IP-адрес - 20.0.0.3.

../../../../_images/two15.png — Пример конфигурирования правила перенаправления (SNAT)

BINAT

Двойная трансляция(преобразование) по IP-адресу один к одному. При использовании данного метода трансляции, необходимо задать IP-адрес отправителя и соответственно IP-адрес трансляции(преобразования). Условно говоря, система создает два правила перенаправления SNAT(Postrouting) и DNAT(Prerouting). При прохождении пакета от отправителя, система при помощи SNAT(Postrouting) делает замену IP-адреса отправителя на IP-адрес трансляции(преобразования). При прохождении пакета в обратную сторону, все пакеты с заданным IP-адресом получателя при помощи DNAT(Prerouting) меняются на первоначального отправителя.

Весь процесс преобразования адресов BINAT регулируются правилами перенаправления в разделе Межсетевой экран - NAT - BINAT в соответствии с таблицей.

Параметры правила перенаправления BINAT
Параметры трафика, который подлежит преобразованию
Отключить	Отключить правило перенаправления без его удаления из системы
Интерфейс	Указать интерфейс, на котором будет происходить преобразование адресов.
Версии TCP/IP	Выбор протокола: IPv4;
Протокол	Выбор протокола TCP, UDP, ICMP. По умолчанию используется значение Any (Любой)
Отправитель	Указать IP-адрес отправителя
Параметры преобразования трафика
Перенаправить на IP	Задать IP-адрес получателя, который будет меняться(преобразовываться) в заголовке пакета.
Журналирование	Запуск журналирования. Журналируется каждый пакет, который попадает под текущее правило перенаправления.
Описание	Общее описание правила преобразования.

Пример конфигурирования правила перенаправления (BINAT)

В рамках данного примера сконфигурируем условие трансляции, в котором укажем, что IP-адрес всех пакетов приходящих от хоста ПК 1(10.0.0.2) транслируется(преобразуются) в заданный адрес трансляции (SNAT - 20.0.0.3).

../../../../_images/tri10.png — Пример конфигурации условий трансляции

../../../../_images/binatex.png — Пример конфигурирования правила перенаправления (BINAT)

Фильтрация

Географическая привязка IP-адресов (GeoIP)