DNAT (Destination Network Address Translation) jest techniką adresacji polegającą na tłumaczeniu docelowych adresów IP na adresy dostępne dla odbiorców zapytujących o usługi sieciowe.
W praktyce – zazwyczaj są to adresy IP, z puli prywatnej, serwerów (jak np. serwer WWW, SMTP i inne) działających w sieciach lokalnych; tłumaczone na publiczne adresy IP.
W niniejszym przykładzie posłużymy się m. in. translacją DNAT aby połączyć się z serwerem FTP, umieszczonym w sieci lokalnej gdzie Hillstone jest urządzeniem brzegowym.
W scenariuszu zamierzamy udostępnić serwer lokalny w sieci globalnej, według poniższego schematu:
ZAŁOŻENIA/OPIS
I. Serwer FTP znajduje się wewnątrz sieci lokalnej i ma adres wewnętrzny 192.168.18.2
II. Urządzenie Hillstone posiada adres zewnętrzny 77.189.214.244 i rozdziela adresy wewnętrzne poprzez translację SNAT
III. Komputtery PC o adresach 192.168.18.101 oraz 192.168.12.102 swobodnie korzystają z zasobów serwera FTP, znajdując się w tej samej sieci lokalnej
IV. Komputer oznaczony jako „PC – zewnętrzny” nie może zainicjować połączenia z serwerem, zatem połączenie oznaczone pytajnikiem jest bezpośrednio niewykonalne.
1. Uruchomienie serwera FTP (*)
Konfiguracja serwera różni się, w zależności od użytego rozwiązania.
W niniejszym przykładzie posłużymy się oprogramowaniem Filezilla Server dla systemów Windows.
Do prawidłowego działania serwera, potrzebujemy:
– minimum jednego użytkownika, którego definiujemy po naciśnięciu Add [1] w sekcji Users (zakładka)
– minimum jednego udostępnionego folderu (Shared folders [2]) który wskazujemy z dostępnych z zasobów po naciśnięciu Add [3]
W ustawieniach trybu pasywnego (Passive mode settings [1]):
– wpisujemy zewnętrzny adres bramy [2]
– wyłączamy używanie zewnętrznego IP do połączeń lokalnych [3]
Pozostałe opcje możemy pozostawić przy ustawieniach domyślnych.
[*] – jeżeli już posiadamy serwer FTP, lub inny serwer na który – w analogiczny sposób – zamierzamy przekierować translację DNAT; pomijamy pkt. 1.
2. Konfiguracja interfejsów i przypisanie ich do stref
Wybieramy zakładkę Network -> Interface [1], wskazujemy interfejs, który należy skonfigurować, naciskamy Edit [2], a następnie w oknie Ethernet Interface ustawiamy opcje (tu: odnośniki naniesione na okno główne):
– Binding Zone – strefa powiązana – (tu, dla wszystkich: “Layer 3 Zone”)
– Zone [3] – używamy stref predefiniowanych:
——“trust” (domyślna zaufana dla LAN; “ethernet0/4”)
——“untrust” (domyślna niezaufana dla WAN; “ethernet0/1”)
——“mgt” (domyślna zarządzająca; “ethernet0/0”)
– Type [4] – typ adresacji – (tu, dla wszystkich: “Static IP”)
– IP Address [5] – adres IP – według powyższego schematu lub poniższego zrzutu ekranu
– Netmask [5] – maska sieciowa – (tu, dla wszystkich: “255.255.255.0”; 24-bitowa)
3. Zdefiniowanie usługi na odrębnym porcie.
Do przekierowania wyznaczamy dowolny port, co do którego mamy pewność, że nie jest on używany przez żadną inną usługę.
Zalecane jest też, aby nie należał on do zbioru portów zarezerwowanych dla usług powszechnie stosowanych.
Wybieramy zakładkę Object -> Service Book -> Service [1], naciskamy New, a następnie w oknie Service Configuration:
– w polu Service obowiązkowo wpisujemy nazwę usługi [2]
– aby dodać usługę do tabeli Member naciskamy New [3], a następnie w oknie Service Member Configuration uzupełniamy pola:
—— Type – typ protokołu. Transfer FTP odbywa się na protokole połączeniowym TCP [4]
—— Destination Port (Min/Max) – port docelowy, Potrzebujemy tylko jednego portu, zatem w obu polach wpisujemy tę samą wartość (tu: „4021”) [5]
Pozostałe opcje pozostawiamy przy ustawieniach domyślnych i zatwierdzamy nowo zdefiniowaną usługę, dwukrotnie naciskając OK.
4. Ustalenie polityki zezwalającej na inicjowanie połączeń z zewnątrz sieci.
Wybieramy zakładkę Policy -> Security Policy -> Policy [1], na naciskamy New -> Policy, a następnie w oknie Policy Configuration ustawiamy pola:
– Source Zone [2] – strefa źródłowa – “untrust” (domyślna niezaufana dla WAN)
– Destination Zone [3] – strefa docelowa – “trust” (domyślna zaufana dla LAN)
Pozostałe opcje pozostawiamy przy ustawieniach domyślnych.
Politykę zatwierdzany naciskając OK [4].
5. Włączenie docelowej translacji adresów – DNAT
Wybieramy zakładkę Policy -> NAT -> DNAT [1], naciskamy New -> Advanced Configuration, a następnie w oknie DNAT Configuration ustawiamy pola:
– Source Address [2] – adres IP hosta źródłowego – “Address Entry”/”Any”; dowolny.
– Destination Address [3] – adres IP hosta docelowego – „77.189.214.244”; zewnętrzny dla sieci.
– Service [4] – usługa – zdefiniowana w pkt. 3 „DNAT-FTP”; dobierana z listy „User-defined”.
– Translate to [5] – adres IP hosta, na który wskazujemy przekierowanie – „192.168.18.2”; wewnętrzny serwera FTP.
– Port [6] – włączamy wskazanie portu i wpisujemy jego numer – „21”; domyślny dla FTP, chyba że w pkt. 1 został ustawiony inny.
– Redirect [7] – włączamy przekierowanie ruchu.
Translację DNAT zatwierdzamy, naciskając OK [8].
6. Test
W celu sprawdzenia poprawności konfiguracji, posłużymy się oprogramowaniem klienta Filezilla dla systemów Windows.
Po wpisaniu właściwych danych/namiarów (adres IP, numer portu, nazwa użytkownika, hasło), zostajemy przekierowani i zalogowani do zasobów serwera za pośrednictwem translacji DNAT.
Serwer zatem – zgodnie z założeniami – świadczy usługę FTP, pomimo nieposiadania własnego zewnętrznego adresu IP.