Firewall Builder: Cấu hình nguồn và đích NAT

Số trang: 6 Loại file: pdf Dung lượng: 245.27 KB Lượt xem: 7 Lượt tải: 0

tailieu_vip

Báo xấu

Xem trước 2 trang đầu tiên của tài liệu này:

Thông tin tài liệu:

Firewall Builder: Cấu hình nguồn và đích NAT Cách cách cấu hình NAT cho cả địa chỉ IP nguồn và đích. Firewall Builder là ứng dụng giao diện đồ họa cho phép cấu hình và quản lý tường lửa, hỗ trợ Linux iptables, pf BSD, Cisco ASA / PIX, danh sách truy cập router Cisco,...Bạn có thể vào trang http://www.fwbuilder.org để tìm hiểu thêm các nền tảng được hỗ trợ.
Nội dung trích xuất từ tài liệu:
Firewall Builder: Cấu hình nguồn và đích NAT Firewall Builder: Cấu hình nguồn và đích NATCách cách cấu hình NAT cho cả địa chỉ IP nguồnvà đích.Firewall Builder là ứng dụng giao diện đồ họa chophép cấu hình và quản lý tường lửa, hỗ trợ Linuxiptables, pf BSD, Cisco ASA / PIX, danh sách truycập router Cisco,...Bạn có thể vào tranghttp://www.fwbuilder.org để tìm hiểu thêm các nềntảng được hỗ trợ.Kiểu cấu hình NAT này hữu dụng cho hầu hết các kếtnối. Thực tế, có nhiều trường hợp yêu cầu bắt buộcphải kết nối NAT cả hai đầu. Dưới đây là mô hìnhmáy chủ cần truy cập từ ngoài thông qua RemoteDesktop Protocol (RDP).Điểm phức tạp trong mô hình này thực tế là luồngthông tin mặc định tới máy chủ ký hiệu ms-server-1chuyển hướng tới rtr-1 thay vì fw-2. Nếu người dùngthông qua Internet truy cập ms-server-1, tườnglửa fw-2 được cấu hình đích là NAT sẽ chuyển luồngthông tin từ giao diện eth0 đến cổng 3389 (RDP) trênms-server-1.Lúc này, máy chủ ms-server-1 sẽ phản hồi cho rtr-1do luồng mặc định và kết nối từ xa không được thiếtlập.Cách giải quyết là cấu hình fw-2 NAT cả hai đầuđích và nguồn. Bằng cách chỉnh nguồn IP thành địachỉ eth1 trong của fw-2, gói thông tin do máy chủms-server-1 trả về cho kết nối RDP sẽ được chuyểntrực tiếp cho fw-2 và kết nối truy cập từ xa sẽ hoạtđộng.Các quy tắc NAT được tạo sử dung các đối tượng từStandard Library. Quy tắc NAT sau khi cấu hìnhNAT hai chiều sẽ như sau:Ghi chú: Original Src sẽ được đặt là Any, cho phépnhận địa chỉ IP của máy PC bất kỳ trên Internet. Đểtruy cập ms-server-1 thông qua RDP, máy tính truycập từ xa sẽ truy cập mặt ngoài fw-2 qua cổng 4080.Firewall Builder biên dịch dữ liệu xuất ra trên tườnglửa iptables như sau:$IPTABLES -t nat -A PREROUTING -p tcp -m tcp -d192.0.2.2 --dport 4080 -j DNAT --to-destination 192.168.1.25:3389$IPTABLES -t nat -A POSTROUTING -o eth1 -p tcp-m tcp -d 192.168.1.25 --dport 3389 -j SNAT --to-source 192.168.1.3Sau khi quy tắc NAT được cài đặt trên tường lửa,luồng dữ liệu qua cổng 4080 ở mặt ngoài fw-2 sẽđược xử lý như hình sau:Ghi chú: Các cổng nguồn trong ví dụ trên được tạongẫu nhiên bởi kết nối TCP từ hệ thống nguồn.