1:1 NAT



1:1 (อ่านว่า วัน ทู วัน) NAT, แม็ป 1 public IP กับ 1 private IP , traffic จาก private IP จะถูกแม็ปเป็น public IP ตามที่ได้ทำ 1:1 NAT ไว้และจะแทนที่ outbound NAT ในทางตรงกันข้าม traffic ที่มาจากอินเตอร์เน็ตจะถูกแปลงเป็น private IP และถูกตรวจสอบโดย WAN firewall ruleset ถ้า Firewall Rule นั้นอนุญาตให้ traffic ผ่าน traffic นั้นก็จะผ่านไปยัง internal host ตามต้องการ
ความเสี่ยงของการทำ 1:1 NAT
ความเสี่ยงของการทำ 1:1 NAT มีมากมายเหมือนกับการทำ port forward  ถ้าคุณอนุญาตให้ traffic นั้นผ่านมายังโฮสต์ Firewall Rules ใน WAN เมื่อใดก็แล้วแต่ที่คุณอนุญาคให้ traffic เข้ามา ก็เป้นการอนุญาติให้ traffic ที่เป็นอัตรายเข้ามาด้วยเช่นกัน แต่มีความเสียงที่เพิ่มขึ้นมาอีกนิดสำหรับการทำ 1:1 NAT กล่าวคือ ถ้าคุณใช้ port forward และสร้าง rule สำหรับ port forward นั้น หากมีความผิดพลาดเกิดขึ้นเกี่ยวกับ rule เช่น อนูญาตให้ทุก port เข้ามายัง internal host ได้, traffic ที่ผ่านไปยัง internal host ก็จะมีเพียงแค่ port ที่ได้สร้างไว้ใน port forward เท่านั้น แต่หากเป็น 1:1 NAT , traffic ทั้งหมดก็จะไปยัง internal host นั้นทั้งหมด
การ config 1:1 NAT
อย่างแรกคือ การเพิ่ม Virtual IP สำหรับ public IP ที่จะใช้ทำ 1:1 NAT ตามที่ได้กล่าวมาแล้วในหัวข้อ Virtual IP หลังจากนั้นให้บราวซ์ไปที่ Firewall --> NAT แล้วคลิกที่แท็บ 1:1 คลิกที่ add-button เพื่อเพิ่ม 1:1 NAT ดังรูปที่ 1

edit-1-1-nat
รูปที่ 1 หน้าเว็บสำหรับแก้ไข 1:1 NAT

Interface

เป็นที่สำหรับ external subnet ส่วนใหญ่คือ WAN หรือ OPT WAN interface สำหรับ multi-WAN

External Subnet

IP หรือช่วงของ IP ที่ได้กำหนดไว้แล้วใน Virtual IP คุณสามารถใช้ช่วงของ IP หรือ IP เดียวโดยใช้ Subnet mask เป็นตัวแยก  ถ้าเป็น IP เดียวให้ใช้ subnet mask เป็น 32

Internal Subnet

เป้นที่ที่คุณจะระบุ internal IP address หรือ ช่วงของ IP ที่อยู่ในเน็ตเวิร์คภายในของคุณ IP หรือ ช่วงของ IP สามารถเข้าถึงได้โดยหนึ่งใน internal interface ไม่ว่าจะด้วยการเข้าถึงได้โดยตรงหรือ static route

Description

ส่วนนี้ไม่มีผลอะไรกับการ config แต่ควรจะใส่อะไรที่มีความหมายเพื่อสะดวกต่อการอ้างอิงในอนาคต

nat-entry
รูปที่ 2 การสร้าง 1:1 NAT สำหรับ Mail Server
nat-example
รุปที่ 3 ตัวอย่างการทำ 1:1 NAT
ตัวอย่างช่วง IP ของการทำ 1:1 NAT
1:1 NAT สามารถ config เป็นหลาย IP โดยใช้ CIDR (Classless Inter-Domain Routing) ตามตัวอย่างข้างล่างเป็นการใช้ /30 CIDR
External IPs Internal IPs
10.0.0.64/30 192.168.2.64/30
10.0.0.64 192.168.2.64
10.0.0.65 192.168.2.65
10.0.0.66 192.168.2.66
10.0.0.67 192.168.2.67
ตารางที่ 1 การแม็ปช่วง IP ของ Subnet mask 30 (/30) สำหรับตัวเลขตัวท้ายเหมือนกัน
External IPs Internal IPs
10.0.0.64/30 192.168.2.200/30
10.0.0.64 192.168.2.200
10.0.0.65 192.168.2.201
10.0.0.66 192.168.2.202
10.0.0.67 192.168.2.203
ตารางที่ / การแม็ปช่วง IP ของ Subnet mask 30 (/30) สำหรับตัวเลขตัวท้ายไม่เหมือนกัน

1-1-nat-30-cidr
รูปที่ 4 1:1 NAT สำหรับ /30 CIDR
at 9:06 PM

0 comments:

Post a Comment

Subscribe to: Post Comments (Atom)
 

Pfsense Thailand Copyright © 2011-2012 | Powered by Blogger