В одной из предыдущих статей мы начали настройку DNAT (Destination Nat) на Eltex ESR, который позволяет выставить локальный сервер наружу, для подключения из сети Интернет. Функция Source NAT (SNAT) используется для подмены адреса источника у пакетов, проходящих через маршрутизатор. При прохождении пакетов из локальной сети в публичную сеть, адрес источника заменяется на один из публичных адресов шлюза.
То есть SNAT может использоваться для предоставления доступа в Интернет компьютерам, находящимся в локальной сети.
Рассмотрим настройку SNAT на конкретном примере.
Настроить доступ пользователей локальной сети 192.168.1.0/24 к публичной сети с использованием функции Source NAT, через ip-адрес внешней сети 1.1.1.1.
1.Настройку начнем с создания зон TRUST и UNTRUST, который обозначают LAN и WAN сегмент соответственно.
esr# configure esr(config)# security zone UNTRUST esr(config-zone)# exit esr(config)# security zone TRUST esr(config-zone)# exit
2. На интерфейсы навесим зоны и ip-адреса.
esr(config)# interface gigabitethernet 1/0/1 esr(config-if-gi)# security-zone TRUST esr(config-if-gi)# ip address 192.168.1.1/24 esr(config-if-gi)# exit esr(config)# interface tengigabitethernet 1/0/2 esr(config-if-te)# ip address 1.1.1.1/29 esr(config-if-te)# security-zone UNTRUST esr(config-if-te)# exit
3. Для конфигурирования SNAT и настройки правил зон безопасности потребуется создать профиль адресов локальной сети «LOCAL_NET», включающий адреса, которым разрешен выход в публичную сеть, и профиль адреса публичной сети «WAN_NET».
esr(config)# object-group network LOCAL_NET esr(config-object-group-network)# ip address-range 192.168.1.1-192.168.1.254 esr(config-object-group-network)# exit esr(config)# object-group network WAN_NET esr(config-object-group-network)# ip address-range 1.1.1.1 esr(config-object-group-network)# exit
4. Для пропуска трафика из зоны «TRUST» в зону «UNTRUST» создадим пару зон и добавим правила, разрешающие проходить трафику в этом направлении. Дополнительно включена проверка адреса источника данных на принадлежность к диапазону адресов «LOCAL_NET» для соблюдения
ограничения на выход в публичную сеть. Действие правил разрешается командой enable:
esr(config)# security zone-pair TRUST UNTRUST esr(config-zone-pair)# rule 1 esr(config-zone-pair-rule)# match source-address LOCAL_NET esr(config-zone-pair-rule)# action permit esr(config-zone-pair-rule)# enable esr(config-zone-pair-rule)# exit esr(config-zone-pair)# exit
5. Конфигурируем сервис SNAT. Первым шагом создаётся IP-адрес публичной сети (WAN), используемых для сервиса SNAT:
esr(config)# nat sourсe esr(config-snat)# pool WAN_ADDRESS esr(config-snat-pool)# ip address-range 1.1.1.1 esr(config-snat-pool)# exit
6. Создаём набор правил SNAT. В атрибутах набора укажем, что правила применяются только для пакетов, направляющихся в публичную сеть – в зону «UNTRUST». Правила включают проверку адреса источника данных на принадлежность к пулу «LOCAL_NET»:
esr(config-snat)# ruleset SNAT esr(config-snat-ruleset)# to zone UNTRUST esr(config-snat-ruleset)# rule 1 esr(config-snat-rule)# match source-address LOCAL_NET esr(config-snat-rule)# action source-nat pool WAN_ADDRESS esr(config-snat-rule)# enable esr(config-snat-rule)# exit esr(config-snat-ruleset)# exit
7. На самом маршрутизаторе создаем маршрут по умолчанию с помощью следующей команды, через шлюз WAN-сети:
esr(config)# ip route 0.0.0.0/0 1.1.1.254 esr(config)# exit