Установка и администрирование служб маршрутизации и удаленного доступа. [Занятие 14]
Развертывание и администрирование сети с выделенным сервером на базе Windows Server 2003 на Thursday 23 November 2006 от в Сетевые Операционные Системы ОС > ОС Windows
Управление протоколом NAT.
Для управления параметрами протокола NAT необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, в ней выбрать ветвь IP-маршрутизация, а в ней выбрать ветвь NAT/Простой брандмауэр. Все интерфейсы, настроенные на использование протокола NAT, отображаются в списке справа.
В списке отображаются интерфейсы, участвующие в трансляции адресов, а также статистика трансляции IP-пакетов.
Свойства протокола NAT.
Для настройки параметров трансляции адресов необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, в ней выбрать ветвь IP-маршрутизация, а в ней выбрать ветвь NAT/Простой брандмауэр. Нажмите правую кнопку мыши на этой ветви и выберите из контекстного меню пункт Свойства.
На вкладке Общие вы можете настроить параметры ведения журнала протокола NAT.
Вы можете выбрать один из следующих вариантов:
вести только журнал ошибок – в журнале будут фиксироваться только различные ошибки, возникающие при трансляции адресов;
вести журнал ошибок и предупреждений – в журнале будут фиксироваться не только ошибки, но и предупреждения;
вести журнал всех событий – в журнале будут фиксироваться все события, происходящие при трансляции адресов;
отключить журнал событий – не вести журнал.
На вкладке Преобразование вы можете настроить основные параметры преобразования IP-адресов, связанные с ведением таблицы трансляции.
В полях Удалить TCP-сопоставление через и Удалить UDP-сопоставление через указывается интервал в минутах, по истечении которого записи удаляются из таблицы трансляции NAT. Щелкнув кнопку Восстановить умолчания вы вернете значения этих параметров по умолчанию.
На вкладке Назначение адресов вы можете управлять параметрами упрощенной службы DHCP-сервера, которую вы можете использовать совместно с протоколом NAT.
Установив флажок Назначать IP-адреса с помощью DHCP-распределителя вы включаете службу упрощенного DHCP-сервера на маршрутизаторе Windows Server 2003. В полях IP-адрес и Маска вы должны задать адрес и маску сети, адреса которой будут выделяться клиентским компьютерам. При настройке клиентов им будут передаваться следующие параметры:
IP-адрес из указанной сети;
Маска, указанная в поле Маска;
IP-адрес маршрутизатора в качестве шлюза по умолчанию;
Адреса DNS-серверов определяются настройками на вкладке Разрешение имен в адреса: если маршрутизатор выполняет функции DNS-прокси, то клиенту будет передаваться IP-адрес маршрутизатора в качестве адреса DNS-сервера. Если маршрутизатор не выполняет функций DNS-прокси, то клиентам будут передаваться адреса DNS-серверов, настроенные для соответствующего интерфейса маршрутизатора.
DHCP-сервер обслуживает только клиентов, подключенных к маршрутизатору через интерфейс частной сети (см. ниже). Ретрансляция DHCP-запросов не осуществляется.
При помощи кнопки Исключить вы можете настроить диапазоны IP -адресов, которые не будут выделяться DHCP-клиентам.
На вкладке Разрешение имен в адреса вы можете настроить параметры DNS-прокси, являющегося частью протокола NAT.
Установив флажок для клиентов, использующих службу DNS, вы включите DNS-прокси. В этом случае маршрутизатор будет являться DNS-сервером для клиентских компьютеров. Все приходящие запросы он будет разрешать используя локальный кэш имен, либо осуществляя DNS-запросы на сервера имен в Интернете. Если для этого требуется подключение к Интернет, то вы должны установить флажок Подключаться при этом к публичной сети и указать интерфейс вызова по требованию, который будет использоваться для подключения к удаленному маршрутизатору с целью разрешения имен. В этом случае, если запрашиваемое имя не будет найдено в локальном кэше DNS-прокси, маршрутизатор осуществит подключение с использованием указанного интерфейса вызова по требованию и передаст запрос на разрешение имени дальше.
Использование DNS-прокси позволяет не открывать на брандмауэре 53 порт, запрещая тем самым прямые обращения к DNS-серверам, расположенным в Интернете. Если при этом маршрутизатор использует DNS-сервера локальной сети, у вас появляется возможность контролировать разрешение различных имен клиентскими компьютерами.
Для настройки параметров брандмауэра выберите в правой части окна консоли интерфейс, который необходимо настроить и щелкните правой кнопкой мышки. В контекстном меню выберите Свойства.
На вкладке NAT и простой брандмауэр вы можете настроить параметры брандмауэра.
Выполните одно из следующих действий:
если этот интерфейс подключен к Интернету, выберите переключатель Общий интерфейс подключен к Интернету и установите флажок Включить NAT на данном интерфейсе. Если необходимо, чтобы общий интерфейс был защищен динамическими фильтрами пакетов, установите флажок Включить основной брандмауэр для этого интерфейса;
если интерфейс подключен к локальной сети, выберите переключатель Частный интерфейс подключен к частной сети.
Можно включить основной брандмауэр без использования NAT для общего интерфейса, выбрав Только простой брандмауэр.
Можно разрешить или запретить определенные типы сетевого трафика из сети с помощью настройки дополнительных фильтров статических пакетов. Для этого нажмите кнопку Фильтры входа или Фильтры выхода, в зависимости от того, какой трафик вы хотите ограничить.
Что бы добавить новый фильтр нажмите кнопку Создать, для изменения параметров имеющихся фильтров, выберите нужный фильтр из списка и нажмите кнопку Изменить. Чтобы удалить фильтр, нажмите кнопку Удалить.
Для добавления нового фильтра и изменения параметров существующего фильтра используется одно и то же окно. В этом окне вы можете указать параметры источника пакета и кому он адресован. Так же можно выбрать из списка используемый протокол и указать порт. После нажатия кнопки OK фильтр будет занесен в список фильтров брандмауэра.
Затем следует установить действие фильтров, выбрав одно из положений переключателя Действие фильтра. По окончании настройки нажмите кнопку OK.
На вкладке Пул адресов можно настроить диапазоны IP-адресов интерфейса.
Что бы добавить новый диапазон нажмите кнопку Добавить, для изменения имеющихся IP-адресов, выберите диапазон адресов из списка и нажмите кнопку Изменить. Чтобы удалить диапазон, нажмите кнопку Удалить.
Если используется диапазон IP-адресов, который можно задать IP-адресом и маской подсети, введите в поле Начальный адрес начальный IP-адрес, а в поле Маска — маску подсети. Если используется диапазон IP-адресов, который нельзя задать IP-адресом и маской подсети, введите в поле Начальный адрес начальный IP-адрес, а в поле Конечный адрес — конечный IP-адрес диапазона. Если используется несколько диапазонов адресов, с помощью кнопки Добавить можно отдельно добавить каждый из них.
Вкладка Службы и порты дает возможность создать список приложений, которым разрешен доступ к ресурсам Интернета. Если список пуст, доступ разрешен всем приложениям к любым ресурсам Интернета. Добавление хотя бы одного приложения в список автоматически запрещает доступ к ресурсам Интернета всем остальным приложениям.
При определении списка приложений и ресурсов, к которым они имеют доступ, имейте в виду следующее.
Большинство приложений при обращении к ресурсам Интернета открывает на компьютере порты с номерами более 1024 для приема данных. Блокирование доступа к этим портам может привести к неработоспособности этих приложений.
При использовании клиентами локальной сети DNS-серверов, расположенных в Интернете, разрешайте доступ к порту 53 TCP/UDP, который используется службой DNS-сервера.
Некоторые приложения могут открывать или использовать дополнительные порты, не указанные в документации. При неработоспособности таких приложений свяжитесь с их разработчиками для определения правильных параметров брандмауэра.
Чтобы добавить новое приложение в список разрешений, щелкните кнопку Добавить.
В появившемся окне в поле Описание службы введите имя, которое позволит идентифицировать это приложение в списке разрешений. Используйте не только обобщенное название приложения (например, Web-браузер), но и протокол, по которому осуществляется соединение (например, HTTP), т. к. многие приложения используют несколько протоколов и требуют различных параметров настройки для различных протоколов. Например, для Web-серверов используйте имя Web-браузер (HTTP).
Укажите протокол и порт, который использует данная служба. Установив переключатель TCP/UDP, укажите, какой из этих двух протоколов используется для исходящий соединений.
В поле Входящий порт укажите номер порта, который может использоваться для приема данных от сервера по указанному протоколу.
В поле Адрес в частной сети укажите IP-адрес компьютера, на котором установлена данная служба. В поле Исходящий порт укажите порт, используемый сервером вашей сети, работающими по соответствующему протоколу.
В большинстве случаев можно указывать все разрешенные порты, вводя значение 1024-65535. Набор портов можно задать отдельно для протоколов TCP и UDP.
Щелкните кнопку ОК, чтобы добавить службу в список разрешений.
Добавляйте приложения в список по одному. После добавления сохраняйте все изменения и проверяйте работоспособность приложения с одного из клиентских компьютеров.
На вкладке ICMP вы можете разрешить или запретить сообщения ICMP.
При настройке поля Использовать следующие возможности возможен один из следующих вариантов:
Чтобы разрешить типу сообщения ICMP доступ к сети, установите соответствующий флажок.
Чтобы запретить типу сообщения ICMP доступ к сети, снимите соответствующий флажок.
После этого щелкните кнопку ОК во всех окнах свойств для сохранения изменений.
Добавление нового интерфейса.
Для добавления нового интерфейса трансляции адресов необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, в ней выбрать ветвь IP-маршрутизация, а в ней выбрать ветвь NAT/Простой брандмауэр. Нажмите правую кнопку мыши на этой ветви и выберите из контекстного меню пункт Новый интерфейс.
В появившемся окне выберите интерфейс, который должен обслуживаться протоколом NAT и щелкните кнопку ОК. Будет отображено окно настройки интерфейса.
В списке отображаются только те интерфейсы, которые установлены и настроены на маршрутизаторе, а также установлены как интерфейсы IP-маршрутизации. Внутренние интерфейсы маршрутизатора не могут обслуживаться протоколом NAT.