Pengertian NAT pada MIKROTIK
Ringkasan
Network Address Translation (NAT) adalah sebuah
router yang
menggantikan fasilitas sumber dan (atau) alamat IP tujuan dari paket IP
karena melewati router thhe. Hal ini paling sering digunakan untuk
mengaktifkan beberapa host di jaringan pribadi untuk mengakses internet
dengan menggunakan satu alamat IP publik.
Spesifikasi
Paket yang diperlukan: system Lisensi yang dibutuhkan: Level1 (jumlah terbatas pada aturan 1), Level3 Submenu tingkat: / ip firewall nat Standar dan Teknologi: IP , RFC1631 , RFC2663 Hardware penggunaan: Meningkatkan dengan hitungan aturan
Deskripsi
Network Address Translation adalah standar Internet yang memungkinkan
host pada jaringan area lokal untuk menggunakan satu set alamat IP untuk
komunikasi internal dan satu set alamat IP untuk komunikasi
eksternal. Sebuah LAN yang menggunakan NAT disebut sebagai natted jaringan. Untuk
NAT berfungsi, harus ada gateway NAT di setiap natted jaringan. Gateway
NAT (NAT router) melakukan penulisan ulang alamat IP dalam perjalanan
perjalanan paket dari / ke LAN.
Ada dua jenis NAT:
- Sumber
NAT atau • srcnat. Jenis NAT dilakukan pada paket yang berasal dari
natted jaringan. Sebuah router NAT akan mengganti sumber alamat pribadi
IP dari sebuah paket dengan alamat IP baru publik karena perjalanan
melalui router. Sebuah operasi diterapkan ke paket balasan dalam arah
lainnya.
- tujuan
NAT atau dstnat. Jenis NAT dilakukan pada paket yang ditujukan ke
jaringan natted. Hal ini umumnya digunakan untuk membuat host di
jaringan pribadi untuk dapat diakses dari Internet. Sebuah router NAT
melakukan dstnat menggantikan alamat IP tujuan dari sebuah paket IP
karena perjalanan melalui router terhadap jaringan pribadi.
Host di belakang router NAT-enabled tidak memiliki benar end-to-end
konektivitas. Oleh karena itu beberapa protokol internet mungkin tidak
bekerja dengan skenario NAT. Pelayanan yang membutuhkan inisiasi dari
koneksi TCP dari luar jaringan pribadi atau status protokol seperti
UDP,
dapat terganggu. Selain itu, beberapa protokol yang inheren
bertentangan dengan NAT, contoh tebal adalah AH protokol suite IPsec.
RouterOS mencakup sejumlah disebut pembantu NAT, yang memungkinkan NAT traversal untuk berbagai protokol.
Redirect dan Masquerade
Redirect dan masquerade adalah bentuk khusus tujuan NAT dan sumber NAT,
masing-masing. Redirect mirip dengan tujuan NAT biasa dalam cara yang
sama seperti masquerade mirip dengan sumber NAT - masquerade adalah
bentuk khusus sumber NAT tanpa perlu menentukan
to-addresses - outgoing interface address yang digunakan secara otomatis. Hal yang sama adalah untuk redirect - itu adalah bentuk tujuan NAT
ke mana-alamat yang tidak digunakan - alamat antarmuka yang masuk digunakan sebagai gantinya. Perlu diketahui bahwa
to-port adalah makna penuh untuk redirect aturan - ini adalah port layanan pada router yang akan menangani permintaan (misalnya web
proxy).
Ketika paket dst-natted (tidak peduli - action = nat atau action = redirect), dst
alamat berubah. Informasi tentang terjemahan alamat (termasuk alamat
asli dst) disimpan dalam tabel router internal. Web transparent proxy
bekerja pada router (bila permintaan web bisa diarahkan ke port proxy
pada router) dapat mengakses informasi ini dari tabel internal dan
mendapatkan alamat web server dari mereka. Jika Anda dst-NATting ke
beberapa server proxy yang berbeda, ia tidak memiliki cara untuk
menemukan alamat web server dari header IP (dst karena alamat IP dari
paket yang sebelumnya adalah alamat web server telah berubah ke alamat
server proxy).Mulai dari HTTP/1.1 ada khusus di header permintaan HTTP
yang memberitahu alamat web server, server sehingga proxy dapat
menggunakannya, bukan alamat dst paket IP. Jika tidak ada semacam header
(HTTP versi lama pada klien), proxy server dapat tidak menentukan
alamat web server dan karena itu tidak dapat bekerja.
Ini berarti, bahwa tidak mungkin untuk benar transparan mengarahkan lalu
lintas HTTP ke beberapa router lainnya box transparan-proxy
lainnya. Hanya cara yang benar adalah dengan menambahkan transparan
proxy di router itu sendiri, dan konfigurasikan agar Anda "real" proxy
adalah orang parent-proxy. Dalam situasi ini Anda "real" proxy tidak
harus transparan lagi, sebagai proxy pada router akan transparan dan
akan meneruskan permintaan proxy-style (menurut standar; permintaan ini
mencakup semua informasi yang diperlukan tentang web server) to "real"
proxy.
Pengertian Deskripsi Action pada NAT
action (accept
| add-dst-to-address-list | add-src-to-address-list | dst-nat | jump |
log | masquerade | netmap | passthrough | redirect | return | same |
src-nat; default: accept ) - tindakan untuk melakukan jika paket sesuai aturan
accept - menerima paket. Tidak ada tindakan yang diambil, yaitu paket yang melewati dan aturan tidak lebih diterapkan untuk itu
add-dst-to-address-list - menambahkan alamat tujuan dari sebuah paket IP ke daftar alamat yang ditentukan berdasarkan alamat-daftar parameter
add-src-to-address-list - menambahkan sumber alamat IP dari sebuah paket ke daftar alamat yang ditentukan berdasarkan alamat-daftar parameter
dst-nat - menggantikan alamat tujuan dari sebuah paket ke IP ditentukan oleh nilai-nilai to-address dan parameter ke-port
jump - lompat ke rantai yang ditentukan oleh nilai parameter jump-target
log - setiap pertandingan dengan tindakan ini akan menambahkan pesan ke log sistem
masquerade - menggantikan sumber alamat IP dari sebuah paket ke otomatis ditentukan oleh alamat fasilitas routing IP
netmap -
menciptakan pemetaan 1:1 statis dari satu set alamat IP satu sama
lain. Sering digunakan untuk mendistribusikan alamat IP publik untuk
host di jaringan pribadi
passthrough - mengabaikan aturan ini pergi ke yang berikutnya
redirect - tujuan menggantikan alamat IP dari sebuah paket ke salah satu alamat lokal router
return - melewati kontrol kembali ke tempat dari rantai melompat terjadi
same -
memberikan tertentu klien yang sama sumber / alamat tujuan IP yang
disediakan untuk berbagai masing-masing sambungan. Hal ini paling sering
digunakan untuk layanan yang mengharapkan klien alamat yang sama untuk
beberapa sambungan dari klien yang sama
src-nat - menggantikan sumber alamat IP dari sebuah paket dengan nilai-nilai yang ditentukan oleh to-address dan parameter ke-port
address-list (name) - menetapkan nama daftar alamat untuk mengumpulkan alamat IP dari aturan yang memiliki action = add-dst-to-address-list atau action=add-src-to-address-list action. Daftar alamat dapat kemudian digunakan untuk pencocokan paket address-list-timeout (time; standar: 00:00:00) - interval waktu setelah alamat yang akan dihapus dari daftar alamat yang ditentukan berdasarkan address-listparameter. Digunakan bersama dengan add-dst-to-address-list atau add-src-to-address-list action
00:00:00 - meninggalkan alamat di daftar alamat selamanya
chain (dstnat | • srcnat | name) - menentukan rantai untuk meletakkan aturan tertentu ke dalam. Sebagai
lalu lintas yang berbeda dimasukan melalui berbagai rantai, selalu
berhati-hati dalam memilih yang tepat untuk rantai baru aturan. Jika input tidak sesuai dengan nama rantai sudah ditentukan, sebuah rantai baru akan dibuat
dstnat - aturan yang ditempatkan di rantai ini diterapkan sebelum
routing. Aturan-aturan yang menggantikan tujuan alamat IP paket harus
ditempatkan di sana
srcnat - aturan yang ditempatkan di rantai ini akan diterapkan
setelah routing. Aturan-aturan yang menggantikan sumber alamat IP paket
harus ditempatkan di sana
comment (teks) - Berikan komentar untuk aturan. Komentar dapat digunakan untuk mengidentifikasi bentuk peraturan skrip connection-byte (integer - integer) - paket cocok hanya jika jumlah tertentu byte telah ditransfer melalui sambungan tertentu
0 - berarti infinity, exempli Gratia: connection-bytes = 2000000-0 berarti bahwa aturan yang cocok jika lebih dari 2MB yang ditransfer melalui sambungan relevan
connection-limit (integer, netmask) - membatasi batas koneksi per blok alamat atau alamat connection-mark (name) - sesuai paket ditandai melalui fasilitas ngoyakkan dengan sambungan menandai tertentu connection-type (ftp
| GRE | H323 | irc | mms | PPTP | quake3 | TFTP) - sesuai paket yang
terkait sambungan berdasarkan informasi dari pelacakan pembantu koneksi
mereka. Sebuah helper sambungan relevan harus diaktifkan di bawah /ip firewall service-port (teks) - para teks harus berisi paket agar sesuai aturandst-address (alamat IP / netmask | alamat IP - alamat IP) - menentukan rentang alamat IP adalah paket ditakdirkan untuk. Perlu diketahui bahwa konsol mengkonversiaddress /netmask jaringan ke alamat yang valid, ie: 1.1.1.1/24 dikonvert ke 1.1.1.0/24dst-address-list (name) - sesuai tujuan alamat dari paket terhadap pengguna ditetapkan daftar alamat dst-address-type (unicast | lokal | broadcast | multicast) - sesuai tujuan alamat jenis IP paket, salah satu:
unicast - alamat IP yang digunakan untuk satu titik ke titik lainnya transmisi. Hanya ada satu pengirim dan penerima dalam hal ini
local - sesuai alamat yang ditugaskan ke router dari interface
broadcast - IP paket akan dikirim dari satu titik ke semua titik dalam IP subnetwork
multicast - jenis alamat IP yang bertanggung jawab untuk transmisi dari satu atau lebih poin ke satu set poin lainnya
dst-limit (integer / waktu {0,1}, integer, dst-address | dst-port | src-address {} +, waktu {0,1}) - membatasi paket per detik (pps) menilai pada per tujuan IP atau port tujuan dasar per. Berbeda dengan pertandingan batas, setiap IP alamat tujuan / tujuan pelabuhan itu memiliki batas sendiri. Pilihannya adalah sebagai berikut (dalam urutan tampilan):
Count - rata tingkat paket maksimum, diukur dalam paket per detik (pps), kecuali jika diikuti oleh pilihan Waktu
Time - menentukan interval waktu yang lebih dari paket menilai diukur
Burst - jumlah paket yang cocok dengan yang di burst
Mode - yang penggolong (-s) menilai paket untuk membatasi
Expire - Interval setelah menentukan alamat IP yang direkam / port akan dihapus
dst-port (integer: 0 .. 65535 - integer: 0 .. 65535 {*}) - tujuan nomor port atau jangkauanhotspot (pilihan ganda: dari-client | auth | lokal dst) - paket pertandingan yang diterima dari klien terhadap berbagai Hot-Spot. Semua nilai dapat menegasikan
dari-client - benar, jika paket
datang dari klien Hotspot
auth - benar, jika paket yang berasal dari klien authenticted
local-dst - benar, jika paket memiliki tujuan lokal alamat IP
icmp-options (integer: integer) - cocok ICMP Jenis: Kode bidang in-interface (nama) - antarmuka paket telah masuk melalui router ipv4-options (setiap
| loose-source-routing | no-record-route | no-router-alert |
no-source-routing | no-timestamp | none | record-route | router-alert |
strict-source-routing | timestamp) - match ipv4 header option
any - paket cocok dengan setidaknya salah satu pilihan IPv4
loose-source-routing -
paket cocok dengan sumber loose routing yang pilihan. Pilihan ini
digunakan untuk rute internet datagram berdasarkan informasi yang
diberikan oleh sumber
no-record-route - paket cocok dengan
catatan rute pilihan. Pilihan ini digunakan untuk rute internet datagram
berdasarkan informasi yang diberikan oleh sumber
no-router-alert - paket cocok dengan router mengubah pilihan tanpa
no-source-routing - tidak cocok dengan paket sumber routing pilihan
no-timestamp - tidak cocok dengan paket pilihan timestamp
record-route - paket cocok dengan catatan rute pilihan
router-alert - paket cocok dengan router mengubah pilihan
strict-source-routing - paket cocok dengan ketat sumber routing pilihan
timestamp - paket cocok dengan timestamp
jump-target (dstnat | • srcnat name) - nama dari rantai target untuk melompat ke, jika action=jump digunakan limit (integer / waktu {0,1}, integer) - membatasi paket cocok dengan tarif untuk menilai suatu batas. Berguna untuk mengurangi jumlah pesan log
Hitung - rata tingkat paket maksimum, diukur dalam paket per detik (pps), kecuali jika diikuti oleh pilihan Waktu
Waktu - menentukan interval waktu yang lebih dari paket menilai diukur
Burst - jumlah paket yang cocok dengan yang di burst
log-prefix (teks) - semua pesan log akan ditulis ke berisi awalan ditentukan di sini. Digunakan bersama dengan action=log
nth (integer, integer: 0 .. 15, integer {0,1}) - cocok Nth paket tertentu yang diterima oleh aturan. Satu dari 16 counter tersedia dapat digunakan untuk menghitung paket
Every - cocok setiap paket Every +1 th. Misalnya, jika Every = 1 maka setiap aturan yang cocok 2 paket
Counter - menentukan mana counter untuk digunakan. Sebuah meja bertahap setiap kali berisi aturan nth cocok cocok
Packet - cocok pada paket nomor yang diberikan. Nilai dengan alasan yang jelas harus antara 0 dan setiap. Jika opsi ini digunakan untuk suatu counter, maka harus ada setidaknya Setiap 1 peraturan dengan opsi ini, yang meliputi semua nilai antara 0 dan setiap inklusif.
out-interface (name) - antarmuka paket yang meninggalkan router melalui packet-mark (teks) - sesuai paket ditandai melalui fasilitas ngoyakkan dengan tanda paket tertentupaket-size (integer: 0 .. 65535 - integer: 0 .. 65535 {0,1}) - cocok paket dari ukuran yang ditentukan atau berbagai ukuran dalam byte
Min - menetapkan batas yang lebih rendah dari berbagai ukuran atau nilai mandiri
Max - menetapkan batas atas dari berbagai ukuran
phys-in-interface (name) - sesuai port jembatan perangkat input fisik ditambahkan ke perangkat jembatan. Ini hanya berguna jika paket telah tiba melalui jembatanphys-out-interface (name) - sesuai port jembatan perangkat output fisik ditambahkan ke perangkat jembatan. Ini hanya berguna jika paket akan meninggalkan router melalui jembatanprotocol (ddp
| egp | encap | GGP | gre | hmp | icmp | idrp-cmtp | IGMP | ipencap |
IPIP | ipsec-ah | ipsec-esp | iso-TP4 | ospf | pup | rdp | rspf | st |
tcp | udp | vmtp | XNS-idp | xtp | integer) - cocok protokol IP tertentu ditentukan oleh protokol nama atau nomor. Anda harus menetapkan pengaturan ini jika Anda ingin menentukan port PSD (integer, waktu, integer, integer) - berupaya untuk mendeteksi dan UDP TCP scans. Hal
ini disarankan untuk menetapkan menurunkan berat ke pelabuhan dengan
angka tinggi untuk mengurangi frekuensi palsu positif, seperti dari
pasif mode FTP transfer
WeightThreshold - berat total TCP / UDP paket terbaru dengan port
tujuan yang berbeda yang datang dari host yang sama untuk diperlakukan
sebagai port scan urutan
DelayThreshold - delay untuk paket
dengan port tujuan yang berbeda yang datang dari host yang sama untuk
diperlakukan sebagai port scan subsequence yang mungkin
LowPortWeight - berat yang paket dengan privilege (<= 1024) tujuan pelabuhan
HighPortWeight - berat paket dengan non-priviliged tujuan pelabuhan
random (integer) - cocok paket secara acak dengan propability diberikan routing-mark (name) - sesuai paket ditandai melalui fasilitas ngoyakkan dengan tanda rute tertentu same-not-by-dst (yes
| no) - untuk menentukan apakah account atau tidak untuk mencapai
alamat tujuan IP ketika memilih sumber alamat IP baru untuk paket cocok
dengan aturan dengan action=samesrc-address (alamat IP / netmask | alamat IP - alamat IP) - menentukan rentang alamat IP adalah paket berasal dari. Perlu diketahui bahwa konsol mengkonversiaddress/netmask jaringan ke alamat yang valid, ie: 1.1.1.1/24 dikonvert ke 1.1.1.0/24 src-address-list (name) - sesuai alamat sumber dari paket terhadap pengguna ditetapkan daftar alamatsrc-address-type (unicast | lokal | broadcast | multicast) - sesuai jenis sumber alamat IP dari paket, salah satu:
unicast - alamat IP yang digunakan untuk satu titik ke titik lainnya transmisi. Hanya ada satu pengirim dan penerima dalam hal ini
local - sesuai alamat yang ditugaskan ke router dari interface
broadcast - IP paket akan dikirim dari satu titik ke semua titik dalam IP subnetwork
multicast - jenis alamat IP yang bertanggung jawab untuk transmisi dari satu atau lebih poin ke satu set poin lainnya
src-mac-address (MAC address) - sumber alamat MAC src-port (integer: 0 .. 65535 - integer: 0 .. 65535 {*}) - Sumber nomor port atau jangkauan tcp-mss (integer: 0 .. 65535) - sesuai nilai TCP MSS IP dari sebuah paket time (time - waktu, duduk
| fri | thu | menikah | tue | mon | matahari {} +) - memungkinkan untuk
membuat penyaring berdasarkan waktu kedatangan paket dan tanggal, atau
untuk paket lokal yang dihasilkan, waktu dan tanggal keberangkatan to-address (alamat IP - alamat IP {0,1}; default: 0.0.0.0) - alamat atau kisaran alamat untuk menggantikan asli alamat IP dari sebuah paket dengan to-port (integer: 0 .. 65535 - integer: 0 .. 65535 {0,1}) - port atau jangkauan port untuk menggantikan port asli dari sebuah paket IP dengantos (max-reliabilitas
| max-throughput | min-biaya | min-delay | normal) - menentukan
pertandingan dengan nilai Jenis Layanan (ToS) bidang header IP
max-reliabilitas - memaksimalkan reliabilitas (ToS = 4)
max-throughput - memaksimalkan throughput (ToS = 8)
min-cost - meminimalkan biaya moneter (ToS = 2)
min-delay - delay meminimalkan (ToS = 16)
normal - layanan normal (ToS = 0)
NAT Aplikasi
Deskripsi
Dalam bagian ini beberapa
aplikasi NAT dan contoh dari mereka yang dibahas.
Anggaplah kita ingin membuat router bahwa:
- "Menyembunyikan" LAN pribadi "di belakang" satu alamat
- menyediakan IP publik ke server lokal
- menciptakan 1:1 pemetaan alamat jaringan
Contoh Sumber NAT (Masquerading)
Jika Anda ingin "menyembunyikan" 192.168.0.0/24 LAN pribadi "di
belakang" satu alamat 10.5.8.109 diberikan kepada Anda oleh ISP, Anda
harus menggunakan jaringan sumber terjemahan alamat (menyamar) fitur
router MikroTik. The masquerading akan mengubah alamat IP sumber dan
port dari paket berasal dari jaringan 192.168.0.0/24 ke alamat
10.5.8.109 dari router ketika paket yang diarahkan melalui itu.
Untuk menggunakan masquerading, sumber NAT aturan dengan 'masquerade' tindakan yang harus ditambahkan ke konfigurasi firewall:
/ Firewall nat ip add chain = • srcnat action = masquerade out-interface = Public
Semua koneksi keluar dari jaringan 192.168.0.0/24 akan memiliki alamat
sumber 10.5.8.109 dari router dan port sumber di atas 1024. Tidak ada
akses dari Internet akan dilakukan ke alamat lokal. Jika Anda ingin
memperbolehkan koneksi ke server di jaringan lokal, Anda harus
menggunakan tujuan Network Address Translation (NAT).
Contoh Destination NAT
Jika Anda ingin menghubungkan IP address 10.5.8.200 Publik Lokal satu
192.168.0.109, Anda harus menggunakan alamat tujuan fitur terjemahan
dari router MikroTik.Juga jika Anda ingin memungkinkan server lokal
untuk berbicara dengan luar dengan IP Publik yang diberikan Anda harus
menggunakan terjemahan alamat sumber, juga
Tambahkan IP Publik untuk antarmuka Publik:
/ Ip address add address = 10.5.8.200/32 interface = Public
Tambahkan aturan yang memungkinkan akses ke server internal dari jaringan eksternal:
/ Firewall nat ip add chain = dstnat dst-address = 10.5.8.200 action = dst-nat \
ke-alamat = 192.168.0.109
Tambahkan aturan yang memungkinkan server internal untuk berbicara
dengan jaringan luar yang memiliki alamat sumber yang diterjemahkan ke
10.5.8.200:
/ Firewall nat ip add chain = • srcnat src-address = 192.168.0.109 action = src-nat \
ke-alamat = 10.5.8.200
Contoh 1:1 pemetaan
Jika Anda ingin menghubungkan subnet IP Public 11.11.11.0/24 untuk lokal
satu 2.2.2.0/24, Anda harus menggunakan terjemahan alamat tujuan dan
fitur alamat sumber terjemahan dengan tindakan = netmap.
/ Ip firewall nat add chain = dstnat dst-address = 11.11.11.1-11.11.11.254 \
action = netmap ke-alamat = 2.2.2.1-2.2.2.254
/ Ip firewall nat add chain = • srcnat src-address = 2.2.2.1-2.2.2.254 \
action = netmap ke-alamat = 11.11.11.1-11.11.11.254
sumber dari http://pantun02.blogspot.co.id/2013/11/nat-srcnat-dan-dstnat.html
