NAT Rehberi
Last updated
Last updated
Bu rehberde gerçekleştirilecek konfigürasyon adımları Configuration -> Firewall -> Rule arayüzünden gerçekleştirilecektir. Bu arayüzle ilgili dokümantasyona aşağıdaki sayfadan ulaşabilirsiniz.
NAT (Network Address Translation), ağdaki cihazların dış dünyayla iletişimini yönetmek için kullanılan bir teknolojidir. Bu teknoloji sayesinde birden fazla cihazın tek bir IP adresi üzerinden internete bağlanması mümkün hale gelir. NAT, internete çıkan trafikteki kaynak IP adreslerini değiştirerek, gelen trafiklerin doğru cihaza yönlendirilmesini sağlar.
NAT, birçok avantaja sahiptir. Öncelikle, ağ yöneticilerinin IP adreslerini kontrol etmelerine izin verir. Aynı zamanda, birden fazla cihazın tek bir IP adresi üzerinden internete bağlanabilmesi sayesinde IP adreslerinin daha verimli kullanılmasına olanak tanır. NAT ayrıca, ağdaki cihazların internete doğrudan erişimini engelleyerek güvenlik açısından da faydalıdır.
Bu rehberde, NAT konfigürasyonu için gerekli adımlar hakkında bilgiler verilecektir.
NAT konfigürasyonu, Targitas web arayüzündeki Configuration -> Firewall -> Rule -> New Rule menüsünden gerçekleştirilebilir.
Konfigürasyon öncesinde, NAT'ın kullanılacağı ağlar ve IP adresleri belirlenmelidir. Bu belirleme süreci, hangi ağlardan gelen trafiğin NAT'lanacağını, NAT'ın hangi IP adresi kullanılarak gerçekleştirileceğini ve hangi durumlarda NAT'ın gerçekleştirileceğini kararlaştırmayı içermektedir. NAT'ın doğru yapılandırılması, ağ güvenliği açısından önemlidir.
Örnek senaryomuzda 1/1/1 Interface'de 91.191.174.222 IP adreine sahip WAN Interface bulunmaktadır. 1/1/2 ve vlan 10 interface'ler ise yerel ağ içerisinde internet erişimi sağlanması istenilen kullanıcıların yer aldığı ağlardır. TRUST, WAN_Zone ve WAN_IP objeleri için Configuration -> Network -> Zone ve Object -> IP Address arayüzlerinde aşağıdaki temel konfigürasyonlar gerçekleştirilmiştir.
1- TRUST ve WAN_Zone Konfigürasyonları:
2- WAN_IP konfigürasyonu:
3- Firewall NAT Kuralı
TRUST Zone'da bulunan IP adreslerinin internete erişimini sağlamak için NAT işlemi gerekmektedir. Bu işlem, TRUST Zone'da yer alan cihazlardan dış ağa gönderilen paketlerin, sahip olunan WAN_IP adresi ile değiştirilerek internet erişimine olanak tanır. Bu değişim sayesinde, paketlerin kaynağı, sahip olunan WAN_IP adresi ile değiştirilir ve internete yönlendirilir. Böylece, TRUST Zone'daki cihazlar dış ağa erişebilir hale gelir ve internet hizmetlerinden yararlanabilir.
NAT Firewall Kuralı oluşturulmasında aşağıdaki parametreler göz önüne alınmıştır:
Name
Firewall kuralının görevini ifade eden bir isim verilmiştir.
Type
NAT kuralı hem Access hem de Port Forwarding modları için oluşturulabilir.
Source Zone
İç ağımızda tanımladığımız TRUST zone için bu yönlendirme işlemini gerçekleştiriyoruz.
Destination Zone
İnternet'e erişimi sağlayan interface WAN_Zone objesi içerisinde seçilmiştir.
Source IP
Source Zone seçimi ardından TRUST.network otomatik oluşturulmuştur. TRUST.network içerisinde ethernet 1/1/2 interface ve vlan 10 interface içerisindeki IP adresleri yer almaktadır. Bu bölümde Configuration -> Object arayüzünde oluşturulan IP adresi objeleri seçilebilir. Bu sayede sadece belirlenen IP adreslerinin NAT ile internete çıkması sağlanabilir.
NAT
Network Address Translation gerçekleştirilmek isteniyorsa aktifleştirilmelidir. Eğer NAT aktifleştirilirse hangi IP adresi ile NAT işlemi gerçekleştirileceğini belirlemek için yeni bir form oluşacaktır. Örneğimizde oluşturulan WAN_IP adresi objesi seçilmiştir. Eğer interface'de 1 IP adresi bulunuyor ise interface seçimi de gerçekleştirilebilir.
Yerel alan ağındaki cihazların NAT ile internet erişimi sağlanan Firewall kurallarında Security Policy kısmında bulunan DPI seçeneğinin aktifleştirilmesi önerilir. Bu sayede internet erişim trafiğinde L7 düzeyinde filtreleme ve loglama gerçekleştirilebilecektir. Bu konuyla ilgili ayrıntılara DPI Rehberi sayfasından ulaşabilirsiniz.
Yukarıda oluşturulan Firewall Kuralının CLI karşılığı aşağıdaki gibidir.