В каких случаях следует использовать правила NAT, а в каких правила Firewall?

В веб-интерфейсе интернет-центра серии Keenetic в меню Безопасность присутствуют настройки Трансляция сетевых адресов (NAT) и Межсетевой экран (Firewall). Подскажите, в каких случаях следует использовать правила NAT, а в каких правила Firewall?

В интернет-центрах серии Keenetic по умолчанию работают встроенный Межсетевой экран (Firewall) и механизм Трансляция сетевых адресов (NAT), что позволяет скрыть и защитить устройства домашней сети от пользователей Интернета и угроз извне. Обе функции являются важным элементом безопасности локальной сети.
Но при этом, следует помнить, что Трансляция сетевых адресов и Межсетевой экран — функции, предназначенные для решения принципиально разных задач.
 
Чтобы разобраться в каких случаях следует использовать правила NAT, а в каких правила Firewall, рассмотрим сначала назначение каждой из указанных функций.
 
Трансляция сетевых адресов (NAT, Network Address Translation) — этот механизм позволяет использовать всем устройствам локальной сети (компьютерам, планшетам, смартфонам) единственный IP-адрес внешнего интерфейса, через который происходит подключение к Интернету или внешней сети. Самый распространенный случай: на роутер выделяется один глобальный/внешний IP-адрес (через который и осуществляется выход во внешнюю сеть), за которым работают и получают доступ устройства домашней сети с локальными/внутренними IP-адресами (по умолчанию из подсети 192.168.1.x).
В простейшем случае при работе NAT происходит подмена в сетевых пакетах IP-адреса источника и назначения. У пакетов, приходящих из внешней сети, меняется адрес получателя, у пакетов из внутренней — отправителя. В частности, NAT изменяет IP-адрес источника (внутренний локальный/частный адрес) в сетевом пакете, принятом от устройства локальной сети, на глобальный/внешний адрес перед передачей пакета во внешнюю сеть. При получении ответа NAT преобразовывает адрес получателя (внешний адрес) обратно в локальный/внутренний адрес перед передачей его исходному внутреннему хосту сети.
По умолчанию механизм NAT настроен таким образом, чтобы предотвращать или ограничивать обращение извне (со стороны внешней сети) к устройствам локальной сети, оставляя возможность обращения из локальной сети во внешнюю. NAT позволяет скрыть внутренние сервисы компьютеров/серверов локальной сети от обращений из Интернета.
 
С помощью пользовательских правил трансляции сетевых адресов (NAT) можно определенные внутренние сервисы (например, Веб- или FTP-сервер), расположенные в локальной сети за NAT, сделать видимыми (доступными) для внешних пользователей из Интернета. Для этого нужно создать правила NAT для трансляции (иногда говорят — для "перенаправления", "проброса", "открытия") определенных портов через роутер на компьютер/сервер локальной сети (этот механизм также называют Port Forwarding). По сути, такие правила определяют трансляцию трафика из внешней сети во внутреннюю (такой тип правил NAT называют Destination NAT).

Приведем примеры, в каких случаях следует использовать правила NAT:
– Предоставить доступ из Интернета на сетевое хранилище (NAS) или сервер (WWW, FTP и др.) локальной сети;
– Предоставить удаленный доступ из Интернета на компьютер домашней сети, используя специальные службы для удаленного подключения рабочих столов. Например, с помощью Remote Desktop (из состава ОС Windows) или через программы Radmin, VNC и др;
– Выполнить "подмену номера порта" ("маппинг порта") для обращения на другой порт. Например, перевести удаленное управление роутером из Интернета на другой порт (в случае, если ваш провайдер блокирует стандартный порт 80 и вы хотите использовать для доступа к веб-конфигуратору порт 8080);
– Открытие портов для торрента, игровых консолей, т.е. для приложений, которые используют входящий трафик из внешней сети для работы каких-то функций.
Пример настройки проброса порта в интернет-центре Keenetic: «Настройка проброса портов в интернет-центре»
Пример подмены номера порта управления интернет-центром серии Keenetic: «Как подменить номер порта управления интернет-центром?»
Пример организации удаленного доступа из Интернета на компьютер домашней сети, подключенный через роутер Keenetic: «Удаленный доступ из Интернета на компьютер домашней сети, подключенный через Keenetic»
Пример настройки проброса портов в интернет-центрах серии Keenetic для корректной работы программы µTorrent: «Настройка проброса портов в Keenetic для корректной работы с программой µTorrent»
 
Внимание! В интернет-центрах серии Keenetic с микропрограммой NDMS V2 настраивать дополнительно к правилу NAT разрешающее правило в настройках межсетевого экрана НЕ НУЖНОДостаточно создать только правило трансляции NAT.
 
При использовании некоторых служб интернет-центра (например, Сервер VPN, Сервер FTP, служба UPnP) автоматически включаются правила NAT для работы трансляции адресов из внутренней сети во внешнюю. Обращаем ваше внимание, что данные правила не отображаются в веб-конфигураторе роутера.
 
Межсетевой экран (Firewall, сетевой экран) — предназначен для защиты устройств локальной сети от атак извне. В общем случае, сетевой экран действует на трафик уже после трансляции адресов и маршрутизации, и осуществляет контроль и фильтрацию трафика, в соответствии с заданными правилами на основе IP-адресов. Прежде всего межсетевой экран предназначен для обеспечения безопасности и разграничения доступа. По умолчанию встроенный сетевой экран интернет-центра разрешает устанавливать соединение из домашних интерфейсов (LAN) сети в публичные (WAN), и запрещает в обратную сторону. Пользовательскими настройками (правилами) можно изменять параметры безопасности: разрешать или, наоборот, запрещать доступ к конкретным хостам или сервисам сети (путем блокирования портов или протоколов). Фактически правила Firewall осуществляют проверку — пропустить (разрешить) сетевой пакет или отбросить (запретить).
 
Приведем примеры, в каких случаях следует использовать правила Firewall:
– Разрешить доступ в Интернет только определенным компьютерам локальной сети, а для всех остальных заблокировать доступ, и наоборот — заблокировать доступ в Интернет только для определенных компьютеров локальной сети, а всем остальным разрешить доступ;
– Заблокировать доступ к определенным веб-сайтам из локальной сети;
– Разрешить определенным компьютерам локальной сети доступ только к какому-то одному указанному веб-сайту (или нескольким сайтам);
– Разрешить доступ из локальной сети в Интернет только по определенным протоколам (сервисам, службам);
– Блокировать (запретить) передачу трафика по определенным портам или протоколам;
– Заблокировать доступ с определенных IP-адресов к интернет-центру со стороны Интернета или внешней сети;
– Разрешить удаленное управление интернет-центром (роутером) из Интернета.
Подробное описание работы с Межсетевым экраном в интернет-центрах серии Keenetic представлено в статье: «Описание работы с межсетевым экраном»
Различные примеры использования правил Межсетевого экрана в интернет-центрах серии Keenetic: «Использование правил Межсетевого экрана»
Пример использования Межсетевого экрана в интернет-центре Keenetic для предоставления разных прав доступа в Интернет: «Использование межсетевого экрана для предоставления разных прав доступа в Интернет»
Пример настройки удаленного доступа к веб-интерфейсу интернет-центра серии Keenetic из Интернета: «Настройка удаленного доступа к интернет-центру из Интернета»
 
Внимание! Как правило, в интернет-центре Keenetic сначала выполняются правила трансляции адресов (NAT), а затем правила межсетевого экрана (Firewall).
 
 
Примечание.
 
Некоторые интернет-провайдеры не позволяют клиентам своей сети запускать и использовать серверные приложения (такие как веб-сервер WWW, FTP-сервер или почтовый сервер). Интернет-провайдер может блокировать пользовательский трафик по стандартным протоколам и портам (например, 21/FTP, 80/HTTP, 25/SMTP и другим портам) или периодически делать проверку сети на наличие в ней активных серверов (при обнаружении возможна последующая блокировка доступа или даже приостановление действия вашего договора). За дополнительной информацией по использованию серверных служб и блокировки определенного трафика, обращайтесь к своему интернет-провайдеру.

KB-4994

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 7 из 7

Еще есть вопросы? Отправить запрос

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.