NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
пулы».<br />
IP-адрес источника, используемый в NAT<br />
В системе NetDefendOS существует три способа определения IP-адреса источника, который будет<br />
использован в NAT:<br />
• Использование IP-адреса интерфейса<br />
Когда устанавливается новое соединение, для него по таблице маршрутизации назначается<br />
выходной интерфейс. И когда система NetDefendOS выполняет преобразование адресов, IPадрес<br />
принятого интерфейса используется в качестве нового IP-адреса источника. Этот способ<br />
определения IP-адреса используется как способ по умолчанию.<br />
• Назначение определенного IP-адреса<br />
В качестве нового IP-адреса источника может быть назначен определенный IP-адрес. Для этого<br />
необходимо, чтобы этот IP-адрес опубликовывался в ARP на выходном интерфейсе, т.к. в<br />
противном случае, обратный трафик не будет получен межсетевым экраном NetDefend. Этот<br />
метод используется, когда IP-адрес источника должен отличаться от адреса интерфейса<br />
источника. С использованием этого метода, например, Интернет-провайдер с помощью<br />
механизма NAT может выдавать разные IP-адреса разным клиентам.<br />
• Использование IP-адреса из NAT-пула<br />
В качестве IP-адреса источника может использоваться NAT-пул – диапазон IP-адресов,<br />
определенный администратором сети. В этом случае в качестве IP-адреса NAT будет<br />
приниматься очередной доступный IP-адрес из пула. Причем NAT-пулов может существовать<br />
несколько. А также один NAT-пул может быть использоваться в более чем одном NATправиле.<br />
Более подробно эта тема освещена далее в разделе 7.3. «NAT-пулы».<br />
Применение NAT-преобразования<br />
Следующий пример демонстрирует практическое применение механизма NAT в процессе<br />
установления нового соединения.<br />
1. Отправитель 192.168.1.5 посылает пакет с динамически назначенного порта 1038 серверу<br />
195.55.66.77 на порт 80.<br />
192.168.1.5:1038 => 195.55.66.77:80<br />
2. В этом примере используется параметр Use Interface Address, поэтому считаем 195.11.22.33<br />
адресом интерфейса. Порт источника случайным выбором преобразован в определенный<br />
свободный порт межсетевого экрана NetDefend с номером больше 1024. В данном примере<br />
допускаем, что выбран порт 32789. Тогда пакет отправлен в свой адрес назначения.<br />
195.11.22.33:32789 => 195.55.66.77:80<br />
3. Сервер-получатель обрабатывает пакет и отправляет ответ.<br />
195.55.66.77:80 => 195.11.22.33:32789<br />
4. Система NetDefendOS получает пакет и сравнивает его со своим перечнем открытых<br />
соединений. Когда соответствующее соединение найдено, система восстанавливает исходный<br />
адрес и пересылает пакет.<br />
195.55.66.77:80 => 192.168.1.5:1038<br />
5. Источник-отправитель получает ответ.<br />
329