راه اندازی یک NAT ساده

یکی از بیشترین سرویس هایی که در مصارف خانگی میکروتیک بیشترین استفاده را دارد سرویس NAT است، این سرویس میتواند شما را که در شبکه زیرین میکروتیک قرار دارید به شبکه های بالاتر که خود میکروتیک به آن متصل است ( مثلاً اینترنت ) ارتباط دهد.

در این پست نحوه راه اندازی چند حالتNAT ، از جمله Destination NAT رو توضیح می دم.

Source NAT چیست و چگونه کار می کند ؟

Source NAT به این صورت است که اگر شبکه داخلی شما برای ارتباط با شبکه ای خارج از شبکه میکروتیک ،درخواست های خود را به میکروتیک فرستاد ، میکروتیک آن اطلاعات رو از جانب خود به نقطه بعدی روتینگ انتقال دهد . برای مثال اگر شما درخواست باز کردن سایت yahoo.com را داشته باشید ، ابتدا این درخواست به میکروتیک تحت این عنوان که من نیاز به ارتباط با سروری با نام yahoo.com بر روی پورت 80 دارم . جدا از بخش DNS ، میکروتیک ارتباط شما را با سرور yahoo بر روی پورت 80 برقرار می کند.شما می توانید Source NAT را فقط برای پورت های مشخصی اعمال کنید تا از ارتباطات غیر دلخواه هم جلوگیری کنید.

از مزایای این سرویس این است که امکان نفوز به سیستم شما در صورت نبود کانفیگ خاص غیر ممکن میشود و امنیت سیستم شما بسیار بالا می رود.

فرض میکنیم در شبکه خود سیستم ها IP هایی از این رنج داند : 192.168.1.0/24
و در میکروتیک هم شما دارای IP Valid به آدرس  217.219.18.120 هستید و IP Route خود را هم مشخص نموده اید ( میکروتیک دارای اینترنت می باشد )

حالا روی اون Interface که به شبکه داخلیتون وصله یه IP اخصاص میدیم : مثلاً 192.168.1.1/24
و بر روی تمامی سیستم های دیگه IPهای توی همین رنج رو با Gateway میکروتیک ( در این مثال یعنی : 192.168.1.1 ) رو ست می کنیم

کافیه تو میکروتیک دستور زیر رو وارد کنیم تا همه چیز به خوبی انجام بشه :

ip firewall nat add chain=srcnat src-address=192.168.1.0/24 action=src-nat to-addresses=217.219.18.120

اگر شما تنها یک IP Valid دارید و می خواهید بر روی همان روتینگ پیشفرض خود نت انجام دهید میتوانید از این دستور نیز استفاده کنید :

ip firewall nat add chain=srcnat src-address=192.168.1.0/24  action=masquerade

Destination NAT چیست و چگونه کار می کند؟

 

Destination NAT برای انتقال درخواست هایی که مقصدشان خود میکروتیک می باشند استفاده میشود. برای مثال فرض کنید میکروتیک شما دارای IP Valid می باشد و میخواهید روی یکی از سیستم های داخل شبکه زیر مجموعه میکروتیک یک Web سرور راه انداری کنید . برای اینکه سرور شما در هرجایی قابل رویت باشد نیار به داشتن IP Valid بر روی سرور دارید اما سرور شما با یک IP Invalid به میکروتیک متصل است و عملاً به صورت عادی قابل رویت نیست، اما میکروتیک شما قابل دستیابی می باشد و شما می توانید با یک خط فرمان به راحتی به سرور وب خود دسترسی داشته باشید. این قابلیت خود نوعی فایروال برای وب سرور شما می باشد. برای ارتباط با یک وب سرور نیاز به دستیابی به پورت 80 آن سیستم هست . پس کافیه تمامی درخواست ها که از پورت 80 آی پی میکروتیک هستند رو به سرور داخل شبکه خود هدایت کنید.

حالا اگه بخوایم یکی از پورت های ورودی به روترمون رو به یکی از سیستم ها انتقال بدیم باید به این شکا عمل کنیم
اول باید بدونیم به کدوم پورت نیاز داریم ( برای وب سرور به 80 و برای انتقال تصویر DVR ها بستگی به پورت های مورد نیاز اون دستگاه تایین می کنیم ) و بعد می تونیم DST NAT رو روش پیاده کنیم. ما اینجا یک وی سرور رو مثال میزنیم.
یادتون باشه مثل Source NAT باید یه IP روی میکروتیکتون باشه و gateway سیستم ها باید IP میکروتیک باشه تا NAT درست انجام شه

IP وب سرور : 192.168.1.2
IP Valid میکروتیک : 217.219.18.120
پورت مورد نظر در مقصد : 80 و مبدا هم 80

 ip firewall nat add chain=dstnat protocol=tcp dst-address=217.219.18.120 dst-port=80 action=dst-nat to-addresses=192.168.1.2 to-ports=80

امیدوارم خوب توضیح داده باشم

 

دوستتون دارم
عرفان

Leave a comment ?

19 Comments.

  1. سلام
    ممنون از وبلاگ خوب شما خیلی استفاده می کنیم
    در این خصوص خب با زدن آی پی ولید میکروتیک دیگه امکان دیدن گراف و webfig نیست درست ؟راه حل رو می فرمایید که بشه گراف و وب فیگ رو هم دید چو شما پورت 80 رو برای وب سرور گذاشتین
    و سوال دوم چطور میشه به یه آی پی ولید پن وب سرور رو پاپلیش کرد گویا با میکروتیک میشه؟

    ممنون

    • خواهش مي كنم
      خب شما ميتوني يا پورت 80 واسه وب فيگ ميكروتيك رو عوض كني ( همونطور كه در پست 8 نكته امنيتي گفتم واسه امنيت هم بهتره ) و يا اگه خواستي ميتوني يه پورت ديگه ( مثلاً 8080 ) رو به 80 وب سرورت بفرستي

      منظورت رو از سوال دوم نفهميدم

  2. با سلام
    وبلاگ مفید و جالبی دارین.

  3. سلام
    میشه بگین چطوری می تونم با یک کانکشن pptp از بیرون یکی از سرورهای داخلی رو ping کنم یا remote داشته باشم.
    الان می تونم وصل شم ولی فقط ip داخلی میکروتیک رو می تونم ping کنم
    ممنون

    • سلام دوست عزیز .
      شرمنده برای تاخیر در پاسخ
      بله میتونید فقط کافیه آدرس Gateway IP اون کلاینتهایی که می خواهید از بیرون ببینید رو همون IP میکروتیک قرار بدید

  4. It is in point of fact a nice and useful piece of info. I’m happy that you just shared this useful info with us. Please keep us up to date like this. Thank you for sharing.

  5. بی نهایت خوب توضیح میدی.
    مرسی

  6. سلام داداش خوب توضیح دادی، دست شما طلا بشه. ممنون 😐

  7. خيلي ممنون از سايت بسيار خوبتون
    عزيزان من يك مشكل بزرگ دارم، مشكلم اينه كه من الان يه سيستم رو تبديل به وب سرور كردم حالا مي خوام كاري كنم كه از طريق ميكروتيك بشه خارج از شبكه و با استفاده از اينترنت بشه به اون دسترسي داشت و سايتي رو كه روي اون قرار دادم برام باز بشه . اگر اين آموزش رو برامتهيه كنيد يك عمر دعاتون مي كنم

  8. سلام مهندس خسته نباشيد واقعا توضيحات شما بسيار عاليه
    بزرگوار من يه سوال داشتم ، IP Valid چيه و چطوري ميشه يه IP Valid رو روي ميكروتيك تنظيم كرد.
    Ip valid رو بايد از كجا تهيه كرد ؟

    • سلام دوست عزیز
      باید از شرکتی که ازش سرویس اینترنت میگیرید پیگیری کنین
      بصورت ماهانه باید مبلغی رو پرداخت کنید
      کافیه تماس بگیرید و درخواست آی پی استاتیک کنید

  9. ممنون از اطلاعاتتون. پابلیش کردنو متوجه شدم منتها از اینترنت با استفاده از IP میتونیم دسترسی به وب سرور مذکور داشت. اگه بخوایم با DNS باشه چی.یعنی با دامین ثبت شده و با استفاده از ساب دامیناش. مثلا webserver1.test.com , webserver2.test.com و … . میدونم که باید NS هارو روت کنیم سمت static IP خودمون. اما بقیش؟ ممنون میشم کمکم کنید خیلی احتیاج دارم

Leave a Comment


NOTE - You can use these HTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>