Управление протоколом NAT.

Для управления параметрами протокола NAT необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, в ней выбрать ветвь IP-маршрутизация, а в ней выбрать ветвь NAT/Простой брандмауэр. Все интерфейсы, настроенные на использование протокола NAT, отображаются в списке справа.



В списке отображаются интерфейсы, участвующие в трансляции адресов, а также статистика трансляции IP-пакетов.

Свойства протокола NAT.

Для настройки параметров трансляции адресов необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, в ней выбрать ветвь IP-маршрутизация, а в ней выбрать ветвь NAT/Простой брандмауэр. Нажмите правую кнопку мыши на этой ветви и выберите из контекстного меню пункт Свойства.

На вкладке Общие вы можете настроить параметры ведения журнала протокола NAT.



Вы можете выбрать один из следующих вариантов:

• вести только журнал ошибок – в журнале будут фиксироваться только различные ошибки, возникающие при трансляции адресов;
  
• вести журнал ошибок и предупреждений – в журнале будут фиксироваться не только ошибки, но и предупреждения;
  
• вести журнал всех событий – в журнале будут фиксироваться все события, происходящие при трансляции адресов;
  
• отключить журнал событий – не вести журнал.

На вкладке Преобразование вы можете настроить основные параметры преобразования IP-адресов, связанные с ведением таблицы трансляции.



В полях Удалить TCP-сопоставление через и Удалить UDP-сопоставление через указывается интервал в минутах, по истечении которого записи удаляются из таблицы трансляции NAT. Щелкнув кнопку Восстановить умолчания вы вернете значения этих параметров по умолчанию.

На вкладке Назначение адресов вы можете управлять параметрами упрощенной службы DHCP-сервера, которую вы можете использовать совместно с протоколом NAT.



Установив флажок Назначать IP-адреса с помощью DHCP-распределителя вы включаете службу упрощенного DHCP-сервера на маршрутизаторе Windows Server 2003. В полях IP-адрес и Маска вы должны задать адрес и маску сети, адреса которой будут выделяться клиентским компьютерам. При настройке клиентов им будут передаваться следующие параметры:

• IP-адрес из указанной сети;
  
• Маска, указанная в поле Маска;
  
• IP-адрес маршрутизатора в качестве шлюза по умолчанию;
  
• Адреса DNS-серверов определяются настройками на вкладке Разрешение имен в адреса: если маршрутизатор выполняет функции DNS-прокси, то клиенту будет передаваться IP-адрес маршрутизатора в качестве адреса DNS-сервера. Если маршрутизатор не выполняет функций DNS-прокси, то клиентам будут передаваться адреса DNS-серверов, настроенные для соответствующего интерфейса маршрутизатора.

DHCP-сервер обслуживает только клиентов, подключенных к маршрутизатору через интерфейс частной сети (см. ниже). Ретрансляция DHCP-запросов не осуществляется.

При помощи кнопки Исключить вы можете настроить диапазоны IP -адресов, которые не будут выделяться DHCP-клиентам.

На вкладке Разрешение имен в адреса вы можете настроить параметры DNS-прокси, являющегося частью протокола NAT.



Установив флажок для клиентов, использующих службу DNS, вы включите DNS-прокси. В этом случае маршрутизатор будет являться DNS-сервером для клиентских компьютеров. Все приходящие запросы он будет разрешать используя локальный кэш имен, либо осуществляя DNS-запросы на сервера имен в Интернете. Если для этого требуется подключение к Интернет, то вы должны установить флажок Подключаться при этом к публичной сети и указать интерфейс вызова по требованию, который будет использоваться для подключения к удаленному маршрутизатору с целью разрешения имен. В этом случае, если запрашиваемое имя не будет найдено в локальном кэше DNS-прокси, маршрутизатор осуществит подключение с использованием указанного интерфейса вызова по требованию и передаст запрос на разрешение имени дальше.

Использование DNS-прокси позволяет не открывать на брандмауэре 53 порт, запрещая тем самым прямые обращения к DNS-серверам, расположенным в Интернете. Если при этом маршрутизатор использует DNS-сервера локальной сети, у вас появляется возможность контролировать разрешение различных имен клиентскими компьютерами.

Для настройки параметров брандмауэра выберите в правой части окна консоли интерфейс, который необходимо настроить и щелкните правой кнопкой мышки. В контекстном меню выберите Свойства.

На вкладке NAT и простой брандмауэр вы можете настроить параметры брандмауэра.



Выполните одно из следующих действий:

• если этот интерфейс подключен к Интернету, выберите переключатель Общий интерфейс подключен к Интернету и установите флажок Включить NAT на данном интерфейсе. Если необходимо, чтобы общий интерфейс был защищен динамическими фильтрами пакетов, установите флажок Включить основной брандмауэр для этого интерфейса;
  
• если интерфейс подключен к локальной сети, выберите переключатель Частный интерфейс подключен к частной сети.
  
• Можно включить основной брандмауэр без использования NAT для общего интерфейса, выбрав Только простой брандмауэр.

Можно разрешить или запретить определенные типы сетевого трафика из сети с помощью настройки дополнительных фильтров статических пакетов. Для этого нажмите кнопку Фильтры входа или Фильтры выхода, в зависимости от того, какой трафик вы хотите ограничить.



Что бы добавить новый фильтр нажмите кнопку Создать, для изменения параметров имеющихся фильтров, выберите нужный фильтр из списка и нажмите кнопку Изменить. Чтобы удалить фильтр, нажмите кнопку Удалить.



Для добавления нового фильтра и изменения параметров существующего фильтра используется одно и то же окно. В этом окне вы можете указать параметры источника пакета и кому он адресован. Так же можно выбрать из списка используемый протокол и указать порт. После нажатия кнопки OK фильтр будет занесен в список фильтров брандмауэра.



Затем следует установить действие фильтров, выбрав одно из положений переключателя Действие фильтра. По окончании настройки нажмите кнопку OK.

На вкладке Пул адресов можно настроить диапазоны IP-адресов интерфейса.



Что бы добавить новый диапазон нажмите кнопку Добавить, для изменения имеющихся IP-адресов, выберите диапазон адресов из списка и нажмите кнопку Изменить. Чтобы удалить диапазон, нажмите кнопку Удалить.



Если используется диапазон IP-адресов, который можно задать IP-адресом и маской подсети, введите в поле Начальный адрес начальный IP-адрес, а в поле Маска — маску подсети. Если используется диапазон IP-адресов, который нельзя задать IP-адресом и маской подсети, введите в поле Начальный адрес начальный IP-адрес, а в поле Конечный адрес — конечный IP-адрес диапазона. Если используется несколько диапазонов адресов, с помощью кнопки Добавить можно отдельно добавить каждый из них.

Вкладка Службы и порты дает возможность создать список приложений, которым разрешен доступ к ресурсам Интернета. Если список пуст, доступ разрешен всем приложениям к любым ресурсам Интернета. Добавление хотя бы одного приложения в список автоматически запрещает доступ к ресурсам Интернета всем остальным приложениям.



При определении списка приложений и ресурсов, к которым они имеют доступ, имейте в виду следующее.

• Большинство приложений при обращении к ресурсам Интернета открывает на компьютере порты с номерами более 1024 для приема данных. Блокирование доступа к этим портам может привести к неработоспособности этих приложений.
  
• При использовании клиентами локальной сети DNS-серверов, расположенных в Интернете, разрешайте доступ к порту 53 TCP/UDP, который используется службой DNS-сервера.
  
• Некоторые приложения могут открывать или использовать дополнительные порты, не указанные в документации. При неработоспособности таких приложений свяжитесь с их разработчиками для определения правильных параметров брандмауэра.

Чтобы добавить новое приложение в список разрешений, щелкните кнопку Добавить.



В появившемся окне в поле Описание службы введите имя, которое позволит идентифицировать это приложение в списке разрешений. Используйте не только обобщенное название приложения (например, Web-браузер), но и протокол, по которому осуществляется соединение (например, HTTP), т. к. многие приложения используют несколько протоколов и требуют различных параметров настройки для различных протоколов. Например, для Web-серверов используйте имя Web-браузер (HTTP).

Укажите протокол и порт, который использует данная служба. Установив переключатель TCP/UDP, укажите, какой из этих двух протоколов используется для исходящий соединений.

В поле Входящий порт укажите номер порта, который может использоваться для приема данных от сервера по указанному протоколу.

В поле Адрес в частной сети укажите IP-адрес компьютера, на котором установлена данная служба.
В поле Исходящий порт укажите порт, используемый сервером вашей сети, работающими по соответствующему протоколу.

В большинстве случаев можно указывать все разрешенные порты, вводя значение 1024-65535. Набор портов можно задать отдельно для протоколов TCP и UDP.

Щелкните кнопку ОК, чтобы добавить службу в список разрешений.

Добавляйте приложения в список по одному. После добавления сохраняйте все изменения и проверяйте работоспособность приложения с одного из клиентских компьютеров.

На вкладке ICMP вы можете разрешить или запретить сообщения ICMP.



При настройке поля Использовать следующие возможности возможен один из следующих вариантов:

• Чтобы разрешить типу сообщения ICMP доступ к сети, установите соответствующий флажок.
  
• Чтобы запретить типу сообщения ICMP доступ к сети, снимите соответствующий флажок.

После этого щелкните кнопку ОК во всех окнах свойств для сохранения изменений.

Добавление нового интерфейса.

Для добавления нового интерфейса трансляции адресов необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, в ней выбрать ветвь IP-маршрутизация, а в ней выбрать ветвь NAT/Простой брандмауэр. Нажмите правую кнопку мыши на этой ветви и выберите из контекстного меню пункт Новый интерфейс.

В появившемся окне выберите интерфейс, который должен обслуживаться протоколом NAT и щелкните кнопку ОК. Будет отображено окно настройки интерфейса.



В списке отображаются только те интерфейсы, которые установлены и настроены на маршрутизаторе, а также установлены как интерфейсы IP-маршрутизации. Внутренние интерфейсы маршрутизатора не могут обслуживаться протоколом NAT.

Страница
1 : Общие сведения о маршрутизации.
2 : Общие сведения об одноадресной маршрутизации.
3 : Общие сведения о многоадресной маршрутизации.
4 : Общий доступ для подключения к Интернету и преобразование сетевых адресов.
5 : Маршрутизация вызова по требованию
6 : Обновление маршрутов при маршрутизации вызова по требованию.
7 : Односторонне-инициируемые подключения по требованию
8 : Общие сведения об удаленном доступе.
9 : Компоненты Windows Server 2003 для подключений удаленного доступа к сети.
10 : Протоколы удаленного доступа.
11 : Безопасность удаленного доступа.
12 : Планирование маршрутизации.
13 : Подключение Офисной сети среднего размера
14 : Установка службы маршрутизации и удаленного доступа.
15 : Администрирование сервера маршрутизации и удаленного доступа.
16 : Управление интерфейсами маршрутизации
17 : Управление портами сервера удаленного доступа
18 : Управление IP-маршрутизацией
19 : Управление статическими маршрутами
20 > : Управление протоколом NAT
21 : Свойства интерфейса трансляции адресов
22 : Управление политикой удаленного доступа.
23 : Управление журналами удаленного доступа
24 : Управление IP-фильтрами.