23T13 Port NAT w 7 min. [konfiguracja Mikrotik]

Network Address Translation

Link do artykułu.

0:00 Wprowadzenie

1:18 Topologia

1:47 Konfiguracja

6:21 Podsumowanie

Transkrypcja

Cześć. Chciałbyś sobie zdalnie udostępnić pewien system, który masz w sieci wewnętrznej? Na przykład do takiego scenariusza awaryjnego dostępu administracyjnego ale pod warunkiem, że masz na przykład stały adres IP z którego możesz z domu się połączyć do swojej firmy. Jeżeli tak, to przekierowanie portów może być dla ciebie dobrym rozwiązaniem. Inny scenariusz przekierowania portów to są oczywiście usługi publiczne.

Czyli jeżeli w swoim DMZ umieścisz na przykład serwer webowy czy serwer pocztowy i chcesz go na innym porcie obsługiwać wewnętrznie na przykład, niż na typowych portach zestandaryzowanych publicznie, to możesz przekierować jeden port do danego systemu. I to jest rozwiązanie, które
w dwóch kierunkach może działać. Czyli możesz prywatny port, taki niestandardowy przekierować na publiczną usługę. Jeżeli to jest dla ciebie tylko dostęp taki administracyjny albo możesz publiczny port na przykład 80 przekierować na różne porty wewnątrz twojej organizacji.

W zależności od tego jakie usługi chcesz tam świadczyć na przykład na przykład na port 8080 a publicznie będziesz udostępniał port 80. Więc w zależności od tego jaki scenariusz chcesz osiągnąć, taki kierunek możesz obrać. To zacznijmy od tego co tutaj mamy. Mamy sieć VAN. Tu z adresacją symulowaną 192.168.1. Mamy jakąś stację końcową w tym publicznym internecie naszym, mamy Mikrotika i tu będziemy robić NATa na dwa systemy. Pierwszy system z końcówką 6 – system RDP i drugi system z końcówką 5 -serwer www. Nasza prywatna sieć to 10.10.10.0.

To co trzeba tutaj zrobić żebyśmy mogli się połączyć bez VPNa, to przekierowanie portów. No to zacznijmy od wpisywania reguł  NAT, czyli zakładka IP Firewall NAT i nowa reguła czyli Destination NAT na protokół TCP i konkretny numer portu. Interfejs, następnie akcja. Jako akcję wybierzemy Destination NAT i wybieramy na jaki adres IP i na jaki numer portu będziemy przekierowywać taki ruch.

Kolejnym krokiem jest stworzenie drugiej reguły dla drugiego systemu. Czyli tym razem będzie to system RDP. Czyli też protokół TCP, numer portu i interfejs. Action, Destination NAT, adres drugiego serwera RDP tym razem i numer portu. Jeżeli byś chciał to zadań takich zdalnego dostępu jakiegoś konkretnego systemu, w tym przypadku RDP, zastosować taki rodzaj podejścia dostępu zdalnego to o ile przy serwerze www zakładamy, że będzie to publiczny dostęp, tak najczęściej jest. Czyli nieograniczamy source adresu, tak jak tutaj masz w tym przykładzie.

Czyli mamy jakiś po prostu numer portu na jaki kierujemy. Możemy zrobić w drugą stronę też to mapowanie portów. Czyli możemy powiedzieć, że jeżeli – i tak jest najczęściej dla publicznych adresów – że jeżeli serwer www będzie na porcie 80, to my wewnętrznie Destination port będziemy mieli właśnie 8080 na przykład. Czyli każdy się próbuje łączyć na port 80 a my wewnętrznie mamy przekierowanie na pod 8080 w naszym DMZie.

Jeżeli natomiast byś chciał taką bardziej prywatną usługę, już na przykład tego RDPa, to warto wpisać source adres, jeżeli masz stały IP na przykład z domu, gdzie się łączysz no to wtedy ograniczamy tym konkretnym source adresem no i możemy w Destination pod wpisać sobie taki, jaki mamy uruchomiony na usłudze i zewnętrzny numer portu również taki jak na usłudze. Oczywiście serwera RDP nie polecamy wystawiać do publicznego internetu bez ograniczeń w source adresie dlatego, że to nie jest dobra praktyka i nie jest bezpieczny dostęp.

Jeżeli chciałbyś usługi takie prywatne uruchamiać, to zdecydowanie z wykorzystaniem VPN-a czyli na przykład WireGuarda i wtedy będziesz mógł jakieś niekoniecznie super bezpieczne usługi uruchamiać w trybie bezpiecznym. Teraz sprawdźmy czy ten Windows 10 będzie się łączył z serwerem www. W tym naszym przykładzie wybraliśmy niestandardowy port, czyli adres publiczny naszego Mikrotika i port 80…

Mówiłem o 8080, to jest właśnie nasz serwer www. Czyli jeżeli standardowy port wybierzemy to będziemy się próbowali łączyć do Mikrotika, jeżeli wybierzemy niestandardowy port w tym naszym przykładzie 8080 to połączymy się do serwera www. Oczywiście tutaj warto mieć na uwadze, że nie należy wystawiać portu 80 tutaj w tym miejscu do internetu na mikrotiku bo to jest nasz interfejs zarządzania. Więc tutaj należałoby ten ruch blokować albo na 80 porcie po prostu przekierować na nasz publiczny serwer www, tak by było najbezpieczniej.

Zobaczmy teraz przykład połączenia przez RDPa. Czyli tutaj wpisujemy adres publiczny w tym przykładzie na Mikrotiku a łączymy się z konkretnym systemem RDP, bo numer portu domyślnie dla RDPa został zamapowany również wewnętrznie. Czyli tutaj nie zmienialiśmy numeru portu. No i widać, że połączenie z naszym zdalnym systemem przez RDPa działa prawidłowo.

No i na dzisiaj to tyle, dziękuję ci za uwagę i do zobaczenia już za tydzień. Jeżeli masz jakieś pytania to oczywiście pisz w komentarzu i widzimy się w kolejnym odcinku.