Cómo configurar SNAT con grupo de IP

Descripción
Este artículo describe cómo usar el grupo de direcciones IP y su tipo según la necesidad de la red.

Solución
SNAT dinámica.

SNAT dinámico asigna las direcciones IP privadas a la primera dirección pública disponible de un conjunto de direcciones.
En el firewall de FortiGate, esto se puede hacer usando grupos de IP.
Los grupos de IP son un mecanismo que permite que las sesiones que salen de FortiGate usen NAT.
Un conjunto de direcciones IP define una sola dirección IP o un rango de direcciones IP que se utilizará como la dirección de origen durante la duración de la sesión.
Estas direcciones asignadas se utilizan en lugar de la dirección IP asignada a esa interfaz de FortiGate.

Tipos de grupos de IP.

FortiGate utiliza cuatro tipos de grupos de direcciones IP IPv4.
Esta receta se centra en algunas de las diferencias entre ellos.

Sobrecarga.

Este tipo de grupo de direcciones IP es similar al modo SNAT estático.
Es necesario definir un rango de IP externo que contenga una o más direcciones IP.
Cuando solo hay una dirección IP, es casi lo mismo que SNAT estático, se usa la dirección de la interfaz saliente.
Cuando contiene varias direcciones IP, es equivalente a un modo extendido de SNAT estático.

Por ejemplo, si se define un grupo de IP de tipo sobrecarga con dos direcciones IP externas (172.16.200.1—172.16.200.2), dado que hay 60 416 números de puerto disponibles por IP, este grupo de IP puede manejar 60 416*2 direcciones IP internas.




La dirección IP asignada se puede calcular a partir de la dirección IP de origen.
El número de índice de la dirección en el grupo es el resto de la dirección IP de origen, en decimal, dividido por el número de direcciones en el grupo.

Para calcular el valor decimal de la dirección IP de origen, utilice una calculadora en línea o utilice la siguiente ecuación:

abcd = a * (256)3 + b * (256)2 + c * (256) + d

Por ejemplo.

192.168.0.1 = 192 * (256)3 + 168 * (256)2 + 0 * (256) + 1 = 3232235521

Si hay un grupo de IP, donde:
– P1 = la primera dirección en el grupo de IP.
– R1 = el número de direcciones IP en el grupo de IP.
– X = la dirección IP de origen como un número decimal.
– Y = la dirección IP asignada.


Entonces la ecuación para determinar la dirección mapeada es:

Y = P1 + X módulo R1

Por ejemplo.




1) Convierta la dirección IP de origen a un número decimal.

192 * (256)3 + 168 * (256)2 + 1 * (256) + 200 = 3232235976

2) Determine la cantidad de direcciones IP en el grupo.

172.26.73.90 – 172.26.73.20 = 71

3) Encuentre el resto de la dirección IP de origen dividida por la cantidad de direcciones en el grupo.

3232235976 módulo 71 = 26

4) Agregue el resto a la primera dirección IP del grupo.

172.26.73.20 + 26 = 172.26.73.46

Entonces, la dirección IP asignada es 172.26.73.46 .


Si hay varios grupos de direcciones IP, el cálculo es similar a cuando solo hay un grupo.

Si hay dos grupos de IP, donde:
– P1 = la primera dirección en el primer grupo de IP.
– P2 = la primera dirección en el segundo grupo de IP.
– R1 = el número de direcciones IP en el primer grupo de IP.
– R2 = el número de direcciones IP en el segundo grupo de IP.
– X = la dirección IP de origen como un número decimal.
– Y = la dirección IP asignada.

Entonces las ecuaciones para determinar la dirección mapeada son:

Si X mod (R1 + R2) >= P1, entonces Y = P2 + X mod R2
Si X mod (R1 + R2) < P1, entonces Y = P1 + X mod R1

Por ejemplo.


1) Convierta la dirección IP de origen a un número decimal.

192 * (256)3 + 168 * (256)2 + 1 * (256) + 200 = 3232235976

2) Determinar el número total de direcciones IP en los grupos.

(172.26.73.90 – 172.26.73.20) + (172.26.75.50 – 172.26.75.150) = 71 + 101 = 172

3) Encuentre el resto de la dirección IP de origen dividida por la cantidad de direcciones en los grupos.

3232235976 módulo 172 = 108

4) El resto es mayor que la cantidad de direcciones en pool01, por lo que la dirección se selecciona de pool02 y el resto se vuelve a calcular basándose solo en pool02.

3232235976 módulo 101 = 40

5) Agregue el nuevo resto a la primera dirección IP en pool02.

172.26.75.50 + 40 = 172.26.75.90

Entonces, la dirección IP asignada es 172.26.75.90 .

Artículos relacionados  Cómo poner en cuarentena/prohibir una IP de origen para antivirus

Doce y cincuenta y nueve de la noche.

Este tipo de grupo de IP significa que la dirección IP interna y la dirección IP externa (traducida) coinciden uno a uno.

La traducción de direcciones de puerto (PAT) está deshabilitada cuando se usa este tipo de grupo de direcciones IP.
Por ejemplo, si se define un grupo de IP de tipo uno a uno con dos direcciones IP externas (172.16.200.1 – 172.16.200.2), este grupo de IP solo puede manejar dos direcciones IP internas.

Rango de puerto fijo.

Para los tipos de grupo de IP de sobrecarga y uno a uno, esto no es necesario para definir el rango de IP interno.

Para el tipo de grupo de IP de rango de puerto fijo, se pueden definir tanto el rango de IP interno como el rango de IP externo.
Dado que cada dirección IP externa y la cantidad de números de puerto disponibles es un número específico, si también se determina la cantidad de direcciones IP internas, es posible calcular el rango de puertos para cada combinación de traducción de direcciones.
Así que este tipo de rango de puertos fijos se llama.
Este tipo de grupo de IP es un tipo de traducción de dirección de puerto (PAT).
Por ejemplo, si definimos una dirección IP externa (172.16.200.1) y diez direcciones IP internas (10.1.100.1-10.1.100.10), hay una combinación de IP+Puerto como la siguiente tabla.



Asignación de bloque de puertos.

Este tipo de grupo de IP también es un tipo de traducción de dirección de puerto (PAT).
Brinda a los usuarios una forma más flexible de controlar la forma en que se asignan las direcciones IP y los puertos externos.
Los usuarios deben definir el Tamaño del bloque/Bloque por usuario y el rango de IP externo.
Tamaño de bloque significa cuántos puertos contiene cada bloque. Bloque por usuario significa cuántos bloques puede usar cada usuario (IP interna).

El siguiente es un ejemplo simple:
– Rango de IP externo: 172.16.200.1—172.16.200.1.
– Tamaño del bloque: 128.
– Bloque por usuario: 8.

Resultado.

Artículos relacionados  FSSO - Habilitación de la comunicación segura entre el Agente Colector y el Agente DC

– Total-PBAs: 472 (60416/128).
– Se pueden usar puertos máximos por Usuario (Dirección IP interna): 1024 (128*8).
– Cuantas IP Internas se pueden manejar: 59 (60416/1024 o 472/8).

Ejemplo de configuración.

Para configurar el grupo de IP de sobrecarga desde la GUI.


1) En Política y objetos -> Grupos de IP y seleccione ‘Crear nuevo’.
2) Seleccione Grupo IPv4 y luego seleccione Sobrecarga.

Para configurar el grupo de IP de sobrecarga desde la CLI.

# config firewall ippool
    edit «Sobrecarga-ippool»
        set startip 172.16.200.1
        set endip 172.16.200.1
    next
end

Para configurar un grupo de direcciones IP uno a uno usando la GUI.

1) En Política y objetos -> Grupos de IP y seleccione ‘Crear nuevo’.
2) Seleccione Grupo IPv4 y luego seleccione ‘Uno a uno’.




Para configurar un grupo de direcciones IP uno a uno desde la CLI.

# config firewall ippool
    edit «One-to-One-ippool»
        set type one-to-one
        set startip 172.16.200.1
        set endip 172.16.200.2
    next
end

Para configurar el grupo de IP de rango de puerto fijo desde la GUI.


1) En Política y objetos -> Grupos de IP y seleccione ‘Crear nuevo’.
2) Seleccione Grupo IPv4 y luego seleccione Rango de puerto fijo.
Para configurar el grupo de IP de rango de puerto fijo desde CLI.

# config firewall ippool
    edit «FPR-ippool»
        set type fixed-port-range
        set startip 172.16.200.1
        set endip 172.16.200.1
        set source-startip 10.1.100.1
        set source-endip 10.1.100.10
   next
end

Para configurar el grupo de direcciones IP de asignación de bloques de puertos desde la GUI.

Artículos relacionados  Explicación del mensaje de conflicto de sesión

1) En Política y objetos > Grupos de IP y seleccione ‘Crear nuevo’.
2) Seleccione Grupo IPv4 y luego seleccione Asignación de bloques de puertos.




Para configurar el conjunto de direcciones IP de asignación de bloques de puertos desde la CLI.

# config firewall ippool
    edit PBA-ippool
        set type port-block-allocation
        set startip 172.16.200.1
        set endip 172.16.200.1
        set block-size 128
        set num-blocks-per-user 8
    next
end

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *