Pengertian NAT pada MIKROTIK
Ringkasan
Network Address Translation (NAT) adalah sebuah router yang menggantikan fasilitas sumber dan
(atau) alamat IP tujuan dari paket IP karena melewati router thhe. Hal ini
paling sering digunakan untuk mengaktifkan beberapa host di jaringan pribadi
untuk mengakses internet dengan menggunakan satu alamat IP publik.
Spesifikasi
Paket yang diperlukan: system
Lisensi yang dibutuhkan: Level1 (jumlah terbatas pada aturan 1),
Level3
Submenu tingkat: / ip firewall nat
Deskripsi
Network Address Translation adalah standar Internet yang
memungkinkan host pada jaringan area lokal untuk menggunakan satu set alamat IP
untuk komunikasi internal dan satu set alamat IP untuk komunikasi
eksternal. Sebuah LAN yang menggunakan NAT disebut sebagai natted jaringan. Untuk NAT
berfungsi, harus ada gateway NAT di setiap natted jaringan. Gateway NAT
(NAT router) melakukan penulisan ulang alamat IP dalam perjalanan perjalanan
paket dari / ke LAN.
Ada dua jenis NAT:
·
Sumber NAT atau •
srcnat. Jenis NAT dilakukan pada paket yang berasal dari natted
jaringan. Sebuah router NAT akan mengganti sumber alamat pribadi IP dari
sebuah paket dengan alamat IP baru publik karena perjalanan melalui
router. Sebuah operasi diterapkan ke paket balasan dalam arah lainnya.
·
tujuan NAT atau
dstnat. Jenis NAT dilakukan pada paket yang ditujukan ke jaringan
natted. Hal
ini umumnya digunakan untuk membuat host di jaringan pribadi untuk dapat
diakses dari Internet. Sebuah router NAT melakukan dstnat menggantikan
alamat IP tujuan dari sebuah paket IP karena perjalanan melalui router terhadap
jaringan pribadi.
Host di belakang router NAT-enabled tidak memiliki benar end-to-end
konektivitas. Oleh
karena itu beberapa protokol internet mungkin tidak bekerja dengan skenario
NAT. Pelayanan yang membutuhkan inisiasi dari koneksi TCP dari luar
jaringan pribadi atau status protokol seperti UDP, dapat terganggu. Selain itu, beberapa
protokol yang inheren bertentangan dengan NAT, contoh tebal adalah AH protokol
suite IPsec.
RouterOS mencakup sejumlah disebut pembantu
NAT, yang memungkinkan NAT traversal untuk berbagai protokol.
Redirect dan masquerade adalah bentuk khusus
tujuan NAT dan sumber NAT, masing-masing. Redirect mirip dengan tujuan NAT
biasa dalam cara yang sama seperti masquerade mirip dengan sumber NAT -
masquerade adalah bentuk khusus sumber NAT tanpa perlu menentukan to-addresses - outgoing
interface address yang digunakan secara otomatis. Hal yang sama
adalah untuk redirect - itu adalah bentuk tujuan NAT ke mana-alamat yang tidak
digunakan - alamat antarmuka yang masuk digunakan sebagai gantinya. Perlu
diketahui bahwa to-port adalah
makna penuh untuk redirect aturan - ini adalah port layanan pada router yang
akan menangani permintaan (misalnya web proxy).
Ketika paket dst-natted (tidak peduli
- action = nat atau action = redirect), dst alamat
berubah. Informasi tentang terjemahan alamat (termasuk alamat asli dst)
disimpan dalam tabel router internal. Web transparent proxy bekerja pada
router (bila permintaan web bisa diarahkan ke port proxy pada router) dapat
mengakses informasi ini dari tabel internal dan mendapatkan alamat web server
dari mereka. Jika Anda dst-NATting ke beberapa server proxy yang berbeda,
ia tidak memiliki cara untuk menemukan alamat web server dari header IP (dst
karena alamat IP dari paket yang sebelumnya adalah alamat web server telah
berubah ke alamat server proxy).Mulai dari HTTP/1.1 ada khusus di header
permintaan HTTP yang memberitahu alamat web server, server sehingga proxy dapat
menggunakannya, bukan alamat dst paket IP. Jika tidak ada semacam header
(HTTP versi lama pada klien), proxy server dapat tidak menentukan alamat web
server dan karena itu tidak dapat bekerja.
Ini berarti, bahwa tidak mungkin untuk benar
transparan mengarahkan lalu lintas HTTP ke beberapa router lainnya box
transparan-proxy lainnya. Hanya cara yang benar adalah dengan menambahkan
transparan proxy di router itu sendiri, dan konfigurasikan agar Anda
"real" proxy adalah orang parent-proxy. Dalam situasi ini Anda
"real" proxy tidak harus transparan lagi, sebagai proxy pada router
akan transparan dan akan meneruskan permintaan proxy-style (menurut standar;
permintaan ini mencakup semua informasi yang diperlukan tentang web server) to
"real" proxy.
action (accept |
add-dst-to-address-list | add-src-to-address-list | dst-nat | jump | log |
masquerade | netmap | passthrough | redirect | return | same | src-nat;
default: accept ) -
tindakan untuk melakukan jika paket sesuai aturan
accept - menerima paket. Tidak ada
tindakan yang diambil, yaitu paket yang melewati dan aturan tidak lebih
diterapkan untuk itu
add-dst-to-address-list - menambahkan alamat tujuan dari
sebuah paket IP ke daftar alamat yang ditentukan berdasarkan alamat-daftar parameter
add-src-to-address-list - menambahkan sumber alamat IP dari
sebuah paket ke daftar alamat yang ditentukan berdasarkan alamat-daftar parameter
dst-nat - menggantikan alamat tujuan dari
sebuah paket ke IP ditentukan oleh nilai-nilai to-address dan parameter ke-port
jump - lompat ke rantai yang
ditentukan oleh nilai parameter jump-target
log - setiap pertandingan dengan tindakan
ini akan menambahkan pesan ke log sistem
masquerade - menggantikan sumber alamat IP dari
sebuah paket ke otomatis ditentukan oleh alamat fasilitas routing IP
netmap - menciptakan pemetaan 1:1 statis dari
satu set alamat IP satu sama lain. Sering digunakan untuk mendistribusikan alamat IP publik untuk host di
jaringan pribadi
passthrough - mengabaikan aturan ini pergi ke yang
berikutnya
redirect - tujuan menggantikan alamat IP dari
sebuah paket ke salah satu alamat lokal router
return - melewati kontrol kembali ke tempat
dari rantai melompat terjadi
same - memberikan tertentu klien yang sama
sumber / alamat tujuan IP yang disediakan untuk berbagai masing-masing
sambungan. Hal ini paling sering digunakan untuk layanan yang mengharapkan
klien alamat yang sama untuk beberapa sambungan dari klien yang sama
src-nat - menggantikan sumber alamat IP dari
sebuah paket dengan nilai-nilai yang ditentukan oleh to-address dan parameter ke-port
address-list (name) -
menetapkan nama daftar alamat untuk mengumpulkan alamat IP dari aturan yang
memiliki action =
add-dst-to-address-list atau action=add-src-to-address-list action. Daftar
alamat dapat kemudian digunakan untuk pencocokan paket address-list-timeout (time; standar: 00:00:00) - interval waktu setelah alamat yang akan dihapus
dari daftar alamat yang ditentukan berdasarkan address-listparameter. Digunakan bersama dengan add-dst-to-address-list atau add-src-to-address-list action
00:00:00 - meninggalkan alamat di daftar alamat
selamanya
chain (dstnat | • srcnat
| name) - menentukan
rantai untuk meletakkan aturan tertentu ke dalam. Sebagai lalu lintas yang
berbeda dimasukan melalui berbagai rantai, selalu berhati-hati dalam memilih
yang tepat untuk rantai baru aturan. Jika input tidak sesuai dengan nama
rantai sudah ditentukan, sebuah rantai baru akan dibuat
dstnat - aturan yang ditempatkan di rantai
ini diterapkan sebelum routing. Aturan-aturan yang menggantikan tujuan
alamat IP paket harus ditempatkan di sana
srcnat - aturan yang ditempatkan di rantai
ini akan diterapkan setelah routing. Aturan-aturan yang menggantikan
sumber alamat IP paket harus ditempatkan di sana
comment (teks) - Berikan komentar untuk
aturan. Komentar dapat digunakan untuk mengidentifikasi bentuk peraturan
skrip
connection-byte (integer - integer) - paket cocok hanya
jika jumlah tertentu byte telah ditransfer melalui sambungan tertentu
0 - berarti infinity, exempli Gratia: connection-bytes = 2000000-0 berarti
bahwa aturan yang cocok jika lebih dari 2MB yang ditransfer melalui sambungan
relevan
connection-mark (name) - sesuai paket ditandai
melalui fasilitas ngoyakkan dengan sambungan menandai tertentu
connection-type (ftp | GRE | H323 |
irc | mms | PPTP | quake3 | TFTP) - sesuai paket yang terkait sambungan
berdasarkan informasi dari pelacakan pembantu koneksi mereka. Sebuah
helper sambungan relevan harus diaktifkan di bawah /ip firewall service-port (teks) - para teks harus berisi paket agar sesuai aturan
dst-address (alamat IP / netmask | alamat IP - alamat IP) - menentukan rentang
alamat IP adalah paket ditakdirkan untuk. Perlu diketahui bahwa konsol
mengkonversiaddress /netmask jaringan ke alamat yang
valid, ie: 1.1.1.1/24 dikonvert ke 1.1.1.0/24
dst-address-list (name) - sesuai tujuan alamat
dari paket terhadap pengguna ditetapkan daftar alamat
dst-address-type (unicast | lokal |
broadcast | multicast) - sesuai tujuan alamat jenis IP paket, salah satu:
unicast - alamat IP yang digunakan untuk satu
titik ke titik lainnya transmisi. Hanya ada satu pengirim dan penerima
dalam hal ini
local - sesuai alamat yang ditugaskan ke
router dari interface
broadcast - IP paket akan dikirim dari satu
titik ke semua titik dalam IP subnetwork
multicast - jenis alamat IP yang bertanggung
jawab untuk transmisi dari satu atau lebih poin ke satu set poin lainnya
dst-limit (integer / waktu {0,1}, integer, dst-address | dst-port
| src-address {} +, waktu {0,1})
- membatasi paket per detik (pps) menilai pada per tujuan IP atau port tujuan
dasar per. Berbeda dengan pertandingan batas, setiap IP alamat tujuan / tujuan pelabuhan itu
memiliki batas sendiri. Pilihannya adalah sebagai berikut (dalam urutan
tampilan):
Count - rata tingkat paket maksimum, diukur
dalam paket per detik (pps), kecuali jika diikuti oleh pilihan Waktu
Time - menentukan interval waktu yang lebih
dari paket menilai diukur
Burst - jumlah paket yang
cocok dengan yang di burst
Mode - yang penggolong (-s)
menilai paket untuk membatasi
Expire - Interval setelah
menentukan alamat IP yang direkam / port akan dihapus
dst-port (integer: 0
.. 65535 - integer: 0
.. 65535 {*}) - tujuan nomor port atau jangkauanhotspot (pilihan
ganda: dari-client | auth | lokal dst) - paket pertandingan yang
diterima dari klien terhadap berbagai Hot-Spot. Semua nilai dapat
menegasikan
auth - benar, jika paket yang berasal dari
klien authenticted
local-dst - benar, jika paket memiliki tujuan
lokal alamat IP
icmp-options (integer: integer) - cocok ICMP
Jenis: Kode bidang
in-interface (nama) - antarmuka paket telah
masuk melalui router
ipv4-options (setiap |
loose-source-routing | no-record-route | no-router-alert | no-source-routing |
no-timestamp | none | record-route | router-alert | strict-source-routing |
timestamp) - match ipv4 header option
any - paket cocok dengan
setidaknya salah satu pilihan IPv4
loose-source-routing - paket cocok dengan sumber loose routing yang pilihan. Pilihan ini digunakan untuk rute internet
datagram berdasarkan informasi yang diberikan oleh sumber
no-record-route - paket cocok dengan catatan rute pilihan. Pilihan ini digunakan untuk rute internet
datagram berdasarkan informasi yang diberikan oleh sumber
no-router-alert - paket cocok dengan router mengubah pilihan tanpa
no-source-routing - tidak cocok dengan paket sumber routing pilihan
no-timestamp - tidak cocok dengan paket pilihan timestamp
record-route - paket cocok dengan catatan rute pilihan
router-alert - paket cocok dengan router mengubah pilihan
strict-source-routing - paket cocok dengan ketat sumber routing pilihan
timestamp - paket cocok dengan
timestamp
jump-target (dstnat | • srcnat name) - nama dari rantai target
untuk melompat ke, jika action=jump digunakan
limit (integer / waktu {0,1}, integer) - membatasi paket cocok
dengan tarif untuk menilai suatu batas. Berguna untuk mengurangi jumlah
pesan log
Hitung - rata tingkat paket
maksimum, diukur dalam paket per detik (pps), kecuali jika diikuti oleh
pilihan Waktu
Waktu - menentukan interval
waktu yang lebih dari paket menilai diukur
Burst - jumlah paket yang
cocok dengan yang di burst
log-prefix (teks) -
semua pesan log akan ditulis ke berisi awalan ditentukan di
sini. Digunakan bersama dengan action=log
nth (integer,
integer: 0 .. 15, integer {0,1})
- cocok Nth paket tertentu yang diterima oleh aturan. Satu dari 16 counter
tersedia dapat digunakan untuk menghitung paket
Every - cocok setiap
paket Every +1 th. Misalnya,
jika Every = 1 maka
setiap aturan yang cocok 2 paket
Counter - menentukan mana counter untuk
digunakan. Sebuah meja bertahap setiap kali berisi aturan nth cocok cocok
Packet - cocok pada paket
nomor yang diberikan. Nilai dengan alasan yang jelas harus antara 0 dan setiap. Jika opsi ini digunakan
untuk suatu counter, maka harus ada setidaknya Setiap 1 peraturan dengan opsi ini, yang meliputi semua nilai
antara 0 dan setiap inklusif.
out-interface (name) -
antarmuka paket yang meninggalkan router melalui
packet-mark (teks) -
sesuai paket ditandai melalui fasilitas ngoyakkan dengan tanda paket tertentu
paket-size (integer: 0
.. 65535 - integer: 0
.. 65535 {0,1}) - cocok paket dari ukuran yang ditentukan atau berbagai ukuran
dalam byte
Min - menetapkan batas yang
lebih rendah dari berbagai ukuran atau nilai mandiri
Max - menetapkan batas atas
dari berbagai ukuran
phys-in-interface (name) -
sesuai port jembatan perangkat input fisik ditambahkan ke perangkat
jembatan. Ini hanya berguna jika paket telah tiba melalui jembatan
phys-out-interface (name) -
sesuai port jembatan perangkat output fisik ditambahkan ke perangkat
jembatan. Ini hanya berguna jika paket akan meninggalkan router melalui
jembatan
protocol (ddp | egp | encap | GGP | gre | hmp | icmp |
idrp-cmtp | IGMP | ipencap | IPIP | ipsec-ah | ipsec-esp | iso-TP4 | ospf | pup
| rdp | rspf | st | tcp | udp | vmtp | XNS-idp | xtp | integer) - cocok protokol IP
tertentu ditentukan oleh protokol nama atau nomor. Anda harus menetapkan
pengaturan ini jika Anda ingin menentukan port
PSD (integer,
waktu, integer, integer) - berupaya untuk mendeteksi dan UDP TCP
scans. Hal ini disarankan untuk menetapkan menurunkan berat ke pelabuhan
dengan angka tinggi untuk mengurangi frekuensi palsu positif, seperti dari
pasif mode FTP transfer
WeightThreshold - berat total TCP / UDP paket terbaru dengan port tujuan yang
berbeda yang datang dari host yang sama untuk diperlakukan sebagai port scan
urutan
DelayThreshold - delay untuk paket dengan port tujuan yang berbeda yang
datang dari host yang sama untuk diperlakukan sebagai port scan subsequence
yang mungkin
LowPortWeight - berat yang paket dengan privilege (<= 1024) tujuan
pelabuhan
HighPortWeight - berat paket dengan non-priviliged tujuan pelabuhan
random (integer) -
cocok paket secara acak dengan propability diberikan
routing-mark (name) - sesuai paket ditandai
melalui fasilitas ngoyakkan dengan tanda rute tertentu
same-not-by-dst (yes | no) - untuk
menentukan apakah account atau tidak untuk mencapai alamat tujuan IP ketika
memilih sumber alamat IP baru untuk paket cocok dengan aturan dengan action=same
src-address (alamat IP / netmask | alamat IP - alamat IP) - menentukan rentang
alamat IP adalah paket berasal dari. Perlu diketahui bahwa konsol
mengkonversiaddress/netmask jaringan
ke alamat yang valid, ie: 1.1.1.1/24
dikonvert ke 1.1.1.0/24
src-address-list (name) - sesuai alamat sumber
dari paket terhadap pengguna ditetapkan daftar alamat
src-address-type (unicast | lokal |
broadcast | multicast) - sesuai jenis sumber alamat IP dari paket, salah satu:
unicast - alamat IP yang digunakan untuk satu
titik ke titik lainnya transmisi. Hanya ada satu pengirim dan penerima
dalam hal ini
local - sesuai alamat yang ditugaskan ke
router dari interface
broadcast - IP paket akan dikirim dari satu
titik ke semua titik dalam IP subnetwork
multicast - jenis alamat IP yang bertanggung
jawab untuk transmisi dari satu atau lebih poin ke satu set poin lainnya
src-mac-address (MAC address) - sumber alamat
MAC
src-port (integer: 0 .. 65535 - integer: 0 .. 65535 {*}) -
Sumber nomor port atau jangkauan
tcp-mss (integer: 0 .. 65535) - sesuai
nilai TCP MSS IP dari sebuah paket
time (time - waktu, duduk | fri | thu |
menikah | tue | mon | matahari {} +) - memungkinkan untuk membuat penyaring
berdasarkan waktu kedatangan paket dan tanggal, atau untuk paket lokal yang
dihasilkan, waktu dan tanggal keberangkatan
to-address (alamat IP - alamat IP {0,1}; default: 0.0.0.0) - alamat atau kisaran
alamat untuk menggantikan asli alamat IP dari sebuah paket dengan
to-port (integer: 0 .. 65535 - integer: 0 .. 65535 {0,1}) -
port atau jangkauan port untuk menggantikan port asli dari sebuah paket IP
dengan
tos (max-reliabilitas |
max-throughput | min-biaya | min-delay | normal) - menentukan pertandingan
dengan nilai Jenis Layanan (ToS) bidang header IP
max-reliabilitas - memaksimalkan reliabilitas (ToS = 4)
max-throughput - memaksimalkan throughput (ToS = 8)
min-cost - meminimalkan biaya
moneter (ToS = 2)
min-delay - delay meminimalkan
(ToS = 16)
normal - layanan normal (ToS = 0)
NAT Aplikasi
Anggaplah kita ingin membuat router bahwa:
·
"Menyembunyikan"
LAN pribadi "di belakang" satu alamat
·
menyediakan
IP publik ke server lokal
·
menciptakan 1:1 pemetaan
alamat jaringan
Contoh
Sumber NAT (Masquerading)
Jika Anda ingin "menyembunyikan" 192.168.0.0/24 LAN
pribadi "di belakang" satu alamat 10.5.8.109 diberikan kepada Anda
oleh ISP, Anda harus menggunakan jaringan sumber terjemahan alamat (menyamar)
fitur router MikroTik. The masquerading akan mengubah alamat IP sumber dan
port dari paket berasal dari jaringan 192.168.0.0/24 ke alamat 10.5.8.109 dari
router ketika paket yang diarahkan melalui itu.
Untuk menggunakan masquerading, sumber NAT aturan dengan
'masquerade' tindakan yang harus ditambahkan ke konfigurasi firewall:
/ Firewall nat ip add chain = • srcnat action = masquerade
out-interface = Public
Semua koneksi keluar dari jaringan 192.168.0.0/24 akan memiliki
alamat sumber 10.5.8.109 dari router dan port sumber di atas 1024. Tidak ada akses dari Internet akan dilakukan
ke alamat lokal. Jika Anda ingin memperbolehkan koneksi ke server di
jaringan lokal, Anda harus menggunakan tujuan Network Address Translation
(NAT).
Jika Anda ingin menghubungkan IP address
10.5.8.200 Publik Lokal satu 192.168.0.109, Anda harus menggunakan alamat
tujuan fitur terjemahan dari router MikroTik.Juga jika Anda ingin memungkinkan
server lokal untuk berbicara dengan luar dengan IP Publik yang diberikan Anda
harus menggunakan terjemahan alamat sumber, juga
Tambahkan IP Publik untuk antarmuka Publik:
/ Ip address add address = 10.5.8.200/32 interface = Public
Tambahkan aturan yang memungkinkan akses ke
server internal dari jaringan eksternal:
/ Firewall nat ip add chain = dstnat dst-address = 10.5.8.200 action
= dst-nat \
ke-alamat = 192.168.0.109
Tambahkan aturan yang memungkinkan server internal untuk berbicara
dengan jaringan luar yang memiliki alamat sumber yang diterjemahkan ke
10.5.8.200:
/ Firewall nat ip add chain = • srcnat src-address = 192.168.0.109
action = src-nat \
ke-alamat = 10.5.8.200
Contoh
1:1 pemetaan
Jika Anda ingin menghubungkan subnet IP Public 11.11.11.0/24 untuk
lokal satu 2.2.2.0/24, Anda harus menggunakan terjemahan alamat tujuan dan
fitur alamat sumber terjemahan dengan tindakan = netmap.
/ Ip firewall nat add chain = dstnat dst-address =
11.11.11.1-11.11.11.254 \
action = netmap ke-alamat = 2.2.2.1-2.2.2.254
/ Ip firewall nat add chain = • srcnat src-address =
2.2.2.1-2.2.2.254 \
action = netmap ke-alamat = 11.11.11.1-11.11.11.254
0 Response to "Fungsi NAT di mikrotik"
Post a Comment
Ilmu ibarat sempax, kita harus menggunakannya, tapi tak perlu memamerkannya..".Tolong klik iklan dong..biar blog nya tetep eksis..Thxs "