Related Articles
NAT server Vyatta
Các khái niệm trong NAT:
Vùng Inside: là vùng mạng riêng, không được truy cập từ bên ngoài nếu không được NAT, và sử dụng các lớp mạng private.
Vùng Outside: là vùng mạng bên ngoài (internet).
Card Inbound: Là card nhận các gói tin tới trong rule NAT
Card Outbound: là card mạng mà các gói tin sẽ đi ra trong rule NAT
Các kiểu NAT Vyatta hỗ trợ bao gồm:
A/ Source NAT (SNAT):
One to One
One to Many
Many to ManyMany to One
B/ Destination NAT (DNAT):
Destination NAT được sử dụng khi ta cần cho phép các máy từ bên ngoài truy cập vào mạng riêng của ta, ví dụ như các dịch vụ Web, Mail, FTP, File Server v.v….
Destination NAT gồm nhiều loại:
One to One
One to Many
C/ Masquerade NAT:
Đây là kiểu NAT thông dụng nhất, khi NAT kiểu MASQUERADE mọi dữ liệu được NAT sẽ sử dụng một địa chỉ internet duy nhất để truy cập mạng giống như Source NAT, nhưng các gói tin đi từ trong mạng lan ra mạng bên ngoài thông qua server NAT sẽ chỉ ràng buộc với card mạng mà các gói tin đó sẽ dùng để đi ra mạng ngoài.
Khi NAT theo kiểu MASQUERADE, việc thay đổi địa chỉ của card mạng giao tiếp phía ngoài sẽ không ảnh hưởng, vì vậy nên sử dụng NAT kiểu MASQUERADE nếu router Vyatta là thiết bị làm gateway ra internet của hệ thống.
Minh họa cấu hình NAT
Destination NAT
ONE TO ONE
Khi cấu hình DNAT:
Cần quy định địa chỉ IP và card mạng sẽ tiếp nhận kết nối tới.
Giao thức.
Cổng nhận kết nối.
Ví dụ mô hình trên, ta sẽ cấu hình cho phép truy cập web server với địa chỉ riêng là 192.168.3.7 từ internet thông qua địa chỉ 192.168.0.17 thông qua port 80.Các câu lệnh cấu hình như sau:
Quy định loại nat là DESTINATION:
set service nat rule 10 type destination
Kiểu kết nối là tcp:
set service nat rule 10 protocol tcp
Khai báo địa chỉ ip của router, khi các máy bên ngoài truy cập vào địa chỉ này thì mới NAT:
set service nat rule 10 destination address 192.168.0.17
Cổng kết nối là cổng của giao thức http:
set service nat rule 10 destination port http
Card mạng nhận kết nối là eth1:
set service nat rule 10 inbound-interface eth1
Địa chỉ sẽ được nat tới:
set service nat rule 10 inside-address address 192.168.3.7
Tại máy 192.168.3.7(win2k3) cài dịch vụ IIS
Tạo 1 trang web index.htm tại đường dẫn C:\Inetpub\wwwroot\index.htm (nội dung tùy ý)
Truy cập vào router ADSL cấu hình port forwarding như sau:
Truy cập vào trang http://www.canyouseeme.org/ để xem ip mặt ngoài của router ADSL
Hoàn thành Nat destination (nat ngược)
Kiểm tra cấu hình bằng câu lệnh show nat rules:
ONE TO MANY
Mô hình trên sử dụng 2 web server với địa chỉ lan là 7 và 8 ta sử dụng DNAT với địa chỉ internet là 192.168.0.17.
Các câu lệnh cấu hình ở kiểu NAT này tương tự như DNAT one to one, nhưng khi cấu hình destination address ta sẽ cấu hình DNAT tới dãy địa chỉ hoặc lớp địa chỉ được DNAT, câu lệnh:set service nat rule 10 inside-address address 192.168.3.7-192.168.3.8
Kết luận:
Kết thúc phần 2 cấu hình các dịch vụ cơ bản cho vyatta,qua phần này ta có thể kết luận rằng vyatta không chỉ đơn thuần là 1 thiết bị định tuyến mà nó còn được tích hợp đầy đủ những dịch vụ cần thiết rất mềm dẻo trong những trường hợp cần tối ưu hóa thiết bị phù hợp cho những doanh nghiệp mới.
Qua phần 3 tôi sẽ trình bày về các giao thức định tuyến của Vyatta. Chúc các bạn thành công !
