Pengertian NAT pada MIKROTIK
Ringkasan
Network Address Translation (NAT) adalah sebuah router yang menggantikan fasilitas sumber dan (atau) alamat IP tujuan dari paket IP karena melewati router thhe. Hal ini paling sering digunakan untuk mengaktifkan beberapa host di jaringan pribadi untuk mengakses internet dengan menggunakan satu alamat IP publik.
Spesifikasi
Paket yang diperlukan: system
Lisensi yang dibutuhkan: Level1 (jumlah terbatas pada aturan 1), Level3
Submenu tingkat: / ip firewall nat
Standar dan Teknologi: IP , RFC1631 , RFC2663
Hardware penggunaan: Meningkatkan dengan hitungan aturan
Deskripsi
Network Address Translation adalah standar Internet yang memungkinkan host pada jaringan area lokal untuk menggunakan satu set alamat IP untuk komunikasi internal dan satu set alamat IP untuk komunikasi eksternal. Sebuah LAN yang menggunakan NAT disebut sebagai natted jaringan. Untuk NAT berfungsi, harus ada gateway NAT di setiap natted jaringan. Gateway NAT (NAT router) melakukan penulisan ulang alamat IP dalam perjalanan perjalanan paket dari / ke LAN.
Ada dua jenis NAT:
- Sumber NAT atau • srcnat. Jenis NAT dilakukan pada paket yang berasal dari natted jaringan. Sebuah router NAT akan mengganti sumber alamat pribadi IP dari sebuah paket dengan alamat IP baru publik karena perjalanan melalui router. Sebuah operasi diterapkan ke paket balasan dalam arah lainnya.
- tujuan NAT atau dstnat. Jenis NAT dilakukan pada paket yang ditujukan ke jaringan natted. Hal ini umumnya digunakan untuk membuat host di jaringan pribadi untuk dapat diakses dari Internet. Sebuah router NAT melakukan dstnat menggantikan alamat IP tujuan dari sebuah paket IP karena perjalanan melalui router terhadap jaringan pribadi.
Host di belakang router NAT-enabled tidak memiliki benar end-to-end konektivitas. Oleh karena itu beberapa protokol internet mungkin tidak bekerja dengan skenario NAT. Pelayanan yang membutuhkan inisiasi dari koneksi TCP dari luar jaringan pribadi atau status protokol seperti UDP, dapat terganggu. Selain itu, beberapa protokol yang inheren bertentangan dengan NAT, contoh tebal adalah AH protokol suite IPsec.
RouterOS mencakup sejumlah disebut pembantu NAT, yang memungkinkan NAT traversal untuk berbagai protokol.
Redirect dan Masquerade
Redirect dan masquerade adalah bentuk khusus tujuan NAT dan sumber NAT, masing-masing. Redirect mirip dengan tujuan NAT biasa dalam cara yang sama seperti masquerade mirip dengan sumber NAT - masquerade adalah bentuk khusus sumber NAT tanpa perlu menentukan to-addresses - outgoing interface address yang digunakan secara otomatis. Hal yang sama adalah untuk redirect - itu adalah bentuk tujuan NAT ke mana-alamat yang tidak digunakan - alamat antarmuka yang masuk digunakan sebagai gantinya. Perlu diketahui bahwa to-port adalah makna penuh untuk redirect aturan - ini adalah port layanan pada router yang akan menangani permintaan (misalnya web proxy).
Ketika paket dst-natted (tidak peduli - action = nat atau action = redirect), dst alamat berubah. Informasi tentang terjemahan alamat (termasuk alamat asli dst) disimpan dalam tabel router internal. Web transparent proxy bekerja pada router (bila permintaan web bisa diarahkan ke port proxy pada router) dapat mengakses informasi ini dari tabel internal dan mendapatkan alamat web server dari mereka. Jika Anda dst-NATting ke beberapa server proxy yang berbeda, ia tidak memiliki cara untuk menemukan alamat web server dari header IP (dst karena alamat IP dari paket yang sebelumnya adalah alamat web server telah berubah ke alamat server proxy).Mulai dari HTTP/1.1 ada khusus di header permintaan HTTP yang memberitahu alamat web server, server sehingga proxy dapat menggunakannya, bukan alamat dst paket IP. Jika tidak ada semacam header (HTTP versi lama pada klien), proxy server dapat tidak menentukan alamat web server dan karena itu tidak dapat bekerja.
Ini berarti, bahwa tidak mungkin untuk benar transparan mengarahkan lalu lintas HTTP ke beberapa router lainnya box transparan-proxy lainnya. Hanya cara yang benar adalah dengan menambahkan transparan proxy di router itu sendiri, dan konfigurasikan agar Anda "real" proxy adalah orang parent-proxy. Dalam situasi ini Anda "real" proxy tidak harus transparan lagi, sebagai proxy pada router akan transparan dan akan meneruskan permintaan proxy-style (menurut standar; permintaan ini mencakup semua informasi yang diperlukan tentang web server) to "real" proxy.
Pengertian Deskripsi Action pada NAT
action (accept | add-dst-to-address-list | add-src-to-address-list | dst-nat | jump | log | masquerade | netmap | passthrough | redirect | return | same | src-nat; default: accept ) - tindakan untuk melakukan jika paket sesuai aturan
accept - menerima paket. Tidak ada tindakan yang diambil, yaitu paket yang melewati dan aturan tidak lebih diterapkan untuk itu
add-dst-to-address-list - menambahkan alamat tujuan dari sebuah paket IP ke daftar alamat yang ditentukan berdasarkan alamat-daftar parameter
add-src-to-address-list - menambahkan sumber alamat IP dari sebuah paket ke daftar alamat yang ditentukan berdasarkan alamat-daftar parameter
dst-nat - menggantikan alamat tujuan dari sebuah paket ke IP ditentukan oleh nilai-nilai to-address dan parameter ke-port
jump - lompat ke rantai yang ditentukan oleh nilai parameter jump-target
log - setiap pertandingan dengan tindakan ini akan menambahkan pesan ke log sistem
masquerade - menggantikan sumber alamat IP dari sebuah paket ke otomatis ditentukan oleh alamat fasilitas routing IP
netmap - menciptakan pemetaan 1:1 statis dari satu set alamat IP satu sama lain. Sering digunakan untuk mendistribusikan alamat IP publik untuk host di jaringan pribadi
passthrough - mengabaikan aturan ini pergi ke yang berikutnya
redirect - tujuan menggantikan alamat IP dari sebuah paket ke salah satu alamat lokal router
return - melewati kontrol kembali ke tempat dari rantai melompat terjadi
same - memberikan tertentu klien yang sama sumber / alamat tujuan IP yang disediakan untuk berbagai masing-masing sambungan. Hal ini paling sering digunakan untuk layanan yang mengharapkan klien alamat yang sama untuk beberapa sambungan dari klien yang sama
src-nat - menggantikan sumber alamat IP dari sebuah paket dengan nilai-nilai yang ditentukan oleh to-address dan parameter ke-port
address-list (name) - menetapkan nama daftar alamat untuk mengumpulkan alamat IP dari aturan yang memiliki action = add-dst-to-address-list atau action=add-src-to-address-list action. Daftar alamat dapat kemudian digunakan untuk pencocokan paket address-list-timeout (time; standar: 00:00:00) - interval waktu setelah alamat yang akan dihapus dari daftar alamat yang ditentukan berdasarkan address-list parameter. Digunakan bersama dengan add-dst-to-address-list atau add-src-to-address-list action
00:00:00 - meninggalkan alamat di daftar alamat selamanya
chain (dstnat | • srcnat | name) - menentukan rantai untuk meletakkan aturan tertentu ke dalam. Sebagai lalu lintas yang berbeda dimasukan melalui berbagai rantai, selalu berhati-hati dalam memilih yang tepat untuk rantai baru aturan. Jika input tidak sesuai dengan nama rantai sudah ditentukan, sebuah rantai baru akan dibuat
dstnat - aturan yang ditempatkan di rantai ini diterapkan sebelum routing. Aturan-aturan yang menggantikan tujuan alamat IP paket harus ditempatkan di sana
srcnat - aturan yang ditempatkan di rantai ini akan diterapkan setelah routing. Aturan-aturan yang menggantikan sumber alamat IP paket harus ditempatkan di sana
comment (teks) - Berikan komentar untuk aturan. Komentar dapat digunakan untuk mengidentifikasi bentuk peraturan skrip
connection-byte (integer - integer) - paket cocok hanya jika jumlah tertentu byte telah ditransfer melalui sambungan tertentu
0 - berarti infinity, exempli Gratia: connection-bytes = 2000000-0 berarti bahwa aturan yang cocok jika lebih dari 2MB yang ditransfer melalui sambungan relevan
connection-limit (integer, netmask) - membatasi batas koneksi per blok alamat atau alamat
connection-mark (name) - sesuai paket ditandai melalui fasilitas ngoyakkan dengan sambungan menandai tertentu
connection-type (ftp | GRE | H323 | irc | mms | PPTP | quake3 | TFTP) - sesuai paket yang terkait sambungan berdasarkan informasi dari pelacakan pembantu koneksi mereka. Sebuah helper sambungan relevan harus diaktifkan di bawah /ip firewall service-port (teks) - para teks harus berisi paket agar sesuai aturan
dst-address (alamat IP / netmask | alamat IP - alamat IP) - menentukan rentang alamat IP adalah paket ditakdirkan untuk. Perlu diketahui bahwa konsol mengkonversi address /netmask jaringan ke alamat yang valid, ie: 1.1.1.1/24 dikonvert ke 1.1.1.0/24
dst-address-list (name) - sesuai tujuan alamat dari paket terhadap pengguna ditetapkan daftar alamat
dst-address-type (unicast | lokal | broadcast | multicast) - sesuai tujuan alamat jenis IP paket, salah satu:
unicast - alamat IP yang digunakan untuk satu titik ke titik lainnya transmisi. Hanya ada satu pengirim dan penerima dalam hal ini
local - sesuai alamat yang ditugaskan ke router dari interface
broadcast - IP paket akan dikirim dari satu titik ke semua titik dalam IP subnetwork
multicast - jenis alamat IP yang bertanggung jawab untuk transmisi dari satu atau lebih poin ke satu set poin lainnya
dst-limit (integer / waktu {0,1}, integer, dst-address | dst-port | src-address {} +, waktu {0,1}) - membatasi paket per detik (pps) menilai pada per tujuan IP atau port tujuan dasar per. Berbeda dengan pertandingan batas, setiap IP alamat tujuan / tujuan pelabuhan itu memiliki batas sendiri. Pilihannya adalah sebagai berikut (dalam urutan tampilan):
Count - rata tingkat paket maksimum, diukur dalam paket per detik (pps), kecuali jika diikuti oleh pilihan Waktu
Time - menentukan interval waktu yang lebih dari paket menilai diukur
Burst - jumlah paket yang cocok dengan yang di burst
Mode - yang penggolong (-s) menilai paket untuk membatasi
Expire - Interval setelah menentukan alamat IP yang direkam / port akan dihapus
dst-port (integer: 0 .. 65535 - integer: 0 .. 65535 {*}) - tujuan nomor port atau jangkauanhotspot (pilihan ganda: dari-client | auth | lokal dst) - paket pertandingan yang diterima dari klien terhadap berbagai Hot-Spot. Semua nilai dapat menegasikan
dari-client - benar, jika paket datang dari klien Hotspot
auth - benar, jika paket yang berasal dari klien authenticted
local-dst - benar, jika paket memiliki tujuan lokal alamat IP
icmp-options (integer: integer) - cocok ICMP Jenis: Kode bidang
in-interface (nama) - antarmuka paket telah masuk melalui router
ipv4-options (setiap | loose-source-routing | no-record-route | no-router-alert | no-source-routing | no-timestamp | none | record-route | router-alert | strict-source-routing | timestamp) - match ipv4 header option
any - paket cocok dengan setidaknya salah satu pilihan IPv4
loose-source-routing - paket cocok dengan sumber loose routing yang pilihan. Pilihan ini digunakan untuk rute internet datagram berdasarkan informasi yang diberikan oleh sumber
no-record-route - paket cocok dengan catatan rute pilihan. Pilihan ini digunakan untuk rute internet datagram berdasarkan informasi yang diberikan oleh sumber
no-router-alert - paket cocok dengan router mengubah pilihan tanpa
no-source-routing - tidak cocok dengan paket sumber routing pilihan
no-timestamp - tidak cocok dengan paket pilihan timestamp
record-route - paket cocok dengan catatan rute pilihan
router-alert - paket cocok dengan router mengubah pilihan
strict-source-routing - paket cocok dengan ketat sumber routing pilihan
timestamp - paket cocok dengan timestamp
jump-target (dstnat | • srcnat name) - nama dari rantai target untuk melompat ke, jika action=jump digunakan
limit (integer / waktu {0,1}, integer) - membatasi paket cocok dengan tarif untuk menilai suatu batas. Berguna untuk mengurangi jumlah pesan log
Hitung - rata tingkat paket maksimum, diukur dalam paket per detik (pps), kecuali jika diikuti oleh pilihan Waktu
Waktu - menentukan interval waktu yang lebih dari paket menilai diukur
Burst - jumlah paket yang cocok dengan yang di burst
log-prefix (teks) - semua pesan log akan ditulis ke berisi awalan ditentukan di sini. Digunakan bersama dengan action=log
nth (integer, integer: 0 .. 15, integer {0,1}) - cocok Nth paket tertentu yang diterima oleh aturan. Satu dari 16 counter tersedia dapat digunakan untuk menghitung paket
Every - cocok setiap paket Every +1 th. Misalnya, jika Every = 1 maka setiap aturan yang cocok 2 paket
Counter - menentukan mana counter untuk digunakan. Sebuah meja bertahap setiap kali berisi aturan nth cocok cocok
Packet - cocok pada paket nomor yang diberikan. Nilai dengan alasan yang jelas harus antara 0 dan setiap. Jika opsi ini digunakan untuk suatu counter, maka harus ada setidaknya Setiap 1 peraturan dengan opsi ini, yang meliputi semua nilai antara 0 dan setiap inklusif.
out-interface (name) - antarmuka paket yang meninggalkan router melalui
packet-mark (teks) - sesuai paket ditandai melalui fasilitas ngoyakkan dengan tanda paket tertentu
paket-size (integer: 0 .. 65535 - integer: 0 .. 65535 {0,1}) - cocok paket dari ukuran yang ditentukan atau berbagai ukuran dalam byte
Min - menetapkan batas yang lebih rendah dari berbagai ukuran atau nilai mandiri
Max - menetapkan batas atas dari berbagai ukuran
phys-in-interface (name) - sesuai port jembatan perangkat input fisik ditambahkan ke perangkat jembatan. Ini hanya berguna jika paket telah tiba melalui jembatan
phys-out-interface (name) - sesuai port jembatan perangkat output fisik ditambahkan ke perangkat jembatan. Ini hanya berguna jika paket akan meninggalkan router melalui jembatan
protocol (ddp | egp | encap | GGP | gre | hmp | icmp | idrp-cmtp | IGMP | ipencap | IPIP | ipsec-ah | ipsec-esp | iso-TP4 | ospf | pup | rdp | rspf | st | tcp | udp | vmtp | XNS-idp | xtp | integer) - cocok protokol IP tertentu ditentukan oleh protokol nama atau nomor. Anda harus menetapkan pengaturan ini jika Anda ingin menentukan port
PSD (integer, waktu, integer, integer) - berupaya untuk mendeteksi dan UDP TCP scans. Hal ini disarankan untuk menetapkan menurunkan berat ke pelabuhan dengan angka tinggi untuk mengurangi frekuensi palsu positif, seperti dari pasif mode FTP transfer
WeightThreshold - berat total TCP / UDP paket terbaru dengan port tujuan yang berbeda yang datang dari host yang sama untuk diperlakukan sebagai port scan urutan
DelayThreshold - delay untuk paket dengan port tujuan yang berbeda yang datang dari host yang sama untuk diperlakukan sebagai port scan subsequence yang mungkin
LowPortWeight - berat yang paket dengan privilege (<= 1024) tujuan pelabuhan
HighPortWeight - berat paket dengan non-priviliged tujuan pelabuhan
random (integer) - cocok paket secara acak dengan propability diberikan
routing-mark (name) - sesuai paket ditandai melalui fasilitas ngoyakkan dengan tanda rute tertentu
same-not-by-dst (yes | no) - untuk menentukan apakah account atau tidak untuk mencapai alamat tujuan IP ketika memilih sumber alamat IP baru untuk paket cocok dengan aturan dengan action=same
src-address (alamat IP / netmask | alamat IP - alamat IP) - menentukan rentang alamat IP adalah paket berasal dari. Perlu diketahui bahwa konsol mengkonversi address/netmask jaringan ke alamat yang valid, ie: 1.1.1.1/24 dikonvert ke 1.1.1.0/24
src-address-list (name) - sesuai alamat sumber dari paket terhadap pengguna ditetapkan daftar alamat
src-address-type (unicast | lokal | broadcast | multicast) - sesuai jenis sumber alamat IP dari paket, salah satu:
unicast - alamat IP yang digunakan untuk satu titik ke titik lainnya transmisi. Hanya ada satu pengirim dan penerima dalam hal ini
local - sesuai alamat yang ditugaskan ke router dari interface
broadcast - IP paket akan dikirim dari satu titik ke semua titik dalam IP subnetwork
multicast - jenis alamat IP yang bertanggung jawab untuk transmisi dari satu atau lebih poin ke satu set poin lainnya
src-mac-address (MAC address) - sumber alamat MAC
src-port (integer: 0 .. 65535 - integer: 0 .. 65535 {*}) - Sumber nomor port atau jangkauan
tcp-mss (integer: 0 .. 65535) - sesuai nilai TCP MSS IP dari sebuah paket
time (time - waktu, duduk | fri | thu | menikah | tue | mon | matahari {} +) - memungkinkan untuk membuat penyaring berdasarkan waktu kedatangan paket dan tanggal, atau untuk paket lokal yang dihasilkan, waktu dan tanggal keberangkatan
to-address (alamat IP - alamat IP {0,1}; default: 0.0.0.0) - alamat atau kisaran alamat untuk menggantikan asli alamat IP dari sebuah paket dengan
to-port (integer: 0 .. 65535 - integer: 0 .. 65535 {0,1}) - port atau jangkauan port untuk menggantikan port asli dari sebuah paket IP dengan
tos (max-reliabilitas | max-throughput | min-biaya | min-delay | normal) - menentukan pertandingan dengan nilai Jenis Layanan (ToS) bidang header IP
max-reliabilitas - memaksimalkan reliabilitas (ToS = 4)
max-throughput - memaksimalkan throughput (ToS = 8)
min-cost - meminimalkan biaya moneter (ToS = 2)
min-delay - delay meminimalkan (ToS = 16)
normal - layanan normal (ToS = 0)
NAT Aplikasi
Deskripsi
Dalam bagian ini beberapa aplikasi NAT dan contoh dari mereka yang dibahas.
Dasar NAT Konfigurasi
Anggaplah kita ingin membuat router bahwa:
- "Menyembunyikan" LAN pribadi "di belakang" satu alamat
- menyediakan IP publik ke server lokal
- menciptakan 1:1 pemetaan alamat jaringan
Contoh Sumber NAT (Masquerading)
Jika Anda ingin "menyembunyikan" 192.168.0.0/24 LAN pribadi "di belakang" satu alamat 10.5.8.109 diberikan kepada Anda oleh ISP, Anda harus menggunakan jaringan sumber terjemahan alamat (menyamar) fitur router MikroTik. The masquerading akan mengubah alamat IP sumber dan port dari paket berasal dari jaringan 192.168.0.0/24 ke alamat 10.5.8.109 dari router ketika paket yang diarahkan melalui itu.
Untuk menggunakan masquerading, sumber NAT aturan dengan 'masquerade' tindakan yang harus ditambahkan ke konfigurasi firewall:
/ Firewall nat ip add chain = • srcnat action = masquerade out-interface = Public
Semua koneksi keluar dari jaringan 192.168.0.0/24 akan memiliki alamat sumber 10.5.8.109 dari router dan port sumber di atas 1024. Tidak ada akses dari Internet akan dilakukan ke alamat lokal. Jika Anda ingin memperbolehkan koneksi ke server di jaringan lokal, Anda harus menggunakan tujuan Network Address Translation (NAT).
Contoh Destination NAT
Jika Anda ingin menghubungkan IP address 10.5.8.200 Publik Lokal satu 192.168.0.109, Anda harus menggunakan alamat tujuan fitur terjemahan dari router MikroTik.Juga jika Anda ingin memungkinkan server lokal untuk berbicara dengan luar dengan IP Publik yang diberikan Anda harus menggunakan terjemahan alamat sumber, juga
Tambahkan IP Publik untuk antarmuka Publik:
/ Ip address add address = 10.5.8.200/32 interface = Public
Tambahkan aturan yang memungkinkan akses ke server internal dari jaringan eksternal:
/ Firewall nat ip add chain = dstnat dst-address = 10.5.8.200 action = dst-nat \
ke-alamat = 192.168.0.109
Tambahkan aturan yang memungkinkan server internal untuk berbicara dengan jaringan luar yang memiliki alamat sumber yang diterjemahkan ke 10.5.8.200:
/ Firewall nat ip add chain = • srcnat src-address = 192.168.0.109 action = src-nat \
ke-alamat = 10.5.8.200
Contoh 1:1 pemetaan
Jika Anda ingin menghubungkan subnet IP Public 11.11.11.0/24 untuk lokal satu 2.2.2.0/24, Anda harus menggunakan terjemahan alamat tujuan dan fitur alamat sumber terjemahan dengan tindakan = netmap.
/ Ip firewall nat add chain = dstnat dst-address = 11.11.11.1-11.11.11.254 \
action = netmap ke-alamat = 2.2.2.1-2.2.2.254
/ Ip firewall nat add chain = • srcnat src-address = 2.2.2.1-2.2.2.254 \
action = netmap ke-alamat = 11.11.11.1-11.11.11.254
Cukup sampai disini dulu ya penjelasan / Pengertian NAT pada MIKROTIK nya ,
Kalo ada yang mau di tanyakan Koment aja di kotak koment yang udh di sediakan, Komentar yang tidak ada sangkut paut nya dengan pembahasan tidak akan saya jawab,, :)
Buat Sobat Bloger yang ingin tukar link Bisa Kunjungi
-1.jpg/251px-Microsoft-Office-logo-(2010-version)-1.jpg "Auto Save Microsoft Office 2010"){kind=logo}
