آموزش Destination NAT در میکروتیک

شرکت میکروتیک طراح سیستم عامل میکروتیک و نیز تولید کننده محصولات سخت‌افزاری با نام روتربرد (Routerboard) و محصولاتی مانند: کنترل کننده پهنای باند است. یکی از دستورهای کاربردی در روترهای میکروتیک، Destination NAT است که از آن برای تغییر آدرس IP ورودی عمومی به آدرس IP داخلی خصوصی استفاده می‌شود. در این مطلب فناوری NAT، مفهوم Destination NAT و آموزش destination nat در میکروتیک آشنا می‌شویم.

فناوری NAT چیست؟

فناوری NAT مخفف عبارت انگلیسی Network address translation به‌معنای “ترجمه آدرس شبکه” است. NAT یک روش در مسیریابی اطلاعات در فضای اینترنت است. در این روش، چندین آدرس خصوصی محلی، قبل از انتقال اطلاعات به یک آدرس عمومی ترجمه می‌شوند. سازمان‌هایی که می‌خواهند در محیط داخلی خود، چندین دستگاه از یک آدرس IP استفاده کنند، از NAT استفاده می‌کنند. کار روترهای خانگی نیز دقیقا بر اساس این فناوری انجام می‌شود. فناوری NAT یکی از فناوری‌های مهم در شبکه‌های رایانه‌ای است.

NAT چگونه کار می‌کند؟

فرض کنید یک لپ‌تاپ به یک روتر خانگی متصل است. شخصی از لپ‌تاپ برای جستجوی مسیرهای منتهی به رستوران مورد علاقه خود استفاده می‌کند. لپ‌تاپ این درخواست را در یک بسته اطلاعاتی به روتر ارسال می‌کند تا روتر، آن را به وب منتقل کند. اما روتر پیش از ارسال اطلاعات، ابتدا آدرس IP خروجی را از یک آدرس محلی خصوصی به یک آدرس عمومی تغییر می‌دهد.

اگر بسته اطلاعات مورد نظر، با همان آدرس IP خصوصی خود ارسال می‌شد، سرور دریافت کننده نمی‌فهمید که اطلاعات را باید به کجا ارسال کند. این مساله به ارسال نامه‌های فیزیکی و درخواست خدمات بازگشت نامه یا پاسخ نامه شباهت دارد. اگر آدرس IP خصوصی به سرور دریافت کننده ارسال شود، درست مانند این است که جای آدرس خودمان بر روی نامه، آدرسی ناشناس ارائه دهیم یا جای آدرس را خالی بگذاریم. با استفاده از NAT، اطلاعات با استفاده از آدرس عمومی روتر، و نه آدرس خصوصی لپ‌تاپ، دوباره به لپ‌تاپ فرد ارسال کننده برمی‌گردند.

تفاوت Source NAT و Destination NAT

فناوری مسیریابی NAT در سومین لایه از مدل OSI یا لایه Network کارایی دارد؛ به‌همین دلیل است که NAT با آدرس‌های IP کار می‌کند. همانطور که پیش از این گفته شد، کار اساسی NAT تبدیل IP خصوصی محلی به IP عمومی و برعکس است. همین مسیر و رفت و برگشتی، دو نوع عملیات NAT را ایجاد می‌کند. حالت اول زمانی است که IP خصوصی به IP عمومی تبدیل می‌شود که به آن عملیات Source NAT گفته می‌شود. حالت دوم زمانی است که IP عمومی، به IP خصوصی تبدیل یا ترجمه می‌شوند که به این عملیات، Destination NAT گفته می‌شود.

عملیات و فناوری Destination NAT آدرس مقصد بسته‌های عبوری از روتر را تغییر می‌دهد. این روش همچنین راهکاری برای انجام ترجمه پورت در هدرهای TCP/UDP ارائه می‌دهد. از Destination NAT معمولا برای هدایت بسته‌های ورودی با آدرس خارجی یا مقصد پورت به آدرس IP داخلی یا پورت داخل شبکه استفاده می‌شود.

کاربردهای مختلف Destination NAT

هنگامی که Destination NAT انجام می‌شود، آدرس IP مقصد مطابق با قوانین NAT مقصد پیکربندی و ترجمه می‌شوند و سپس سیاست‌های امنیتی اعمال می‌شود. Destination NAT معمولا برای انجام اقدامات زیر استفاده می‌شود:

• یک آدرس IP واحد را به آدرس دیگری ترجمه کنید: مثلا برای این‌که به دستگاهی در اینترنت اجازه دهید به یک میزبان در یک شبکه خصوصی متصل شود
• یک بلوک پیوسته از آدرس‌های IP را به بلوک دیگری از آدرس‌های هم‌اندازه ترجمه کنید: مثلا برای اجازه دسترسی به گروهی از سرورها
• آدرس و پورت IP مقصد را به آدرس IP مقصد و درگاه دیگری ترجمه کنید: مثلا برای اجازه دسترسی به چندین سرویس با استفاده از آدرس IP یکسان اما پورت‌های مختلف

تعریف استخر آدرس Destination NAT

یک استخر (NAT Pool) مجموعه‌ای از آدرس‌های IP تعریف شده توسط کاربر است که برای ترجمه استفاده می‌شود. برخلاف NAT استاتیک، که در آن تعیین مسیر و ترجمه IP یک به یک وجود دارد در این‌جا امکان ترجمه IP گروه به گروه وجود دارد. در ضمن، در این حالت، آدرس IP مقصد اصلی به یک آدرس IP از یک استخر تعریف شده توسط کاربر ترجمه می‌شود. بنابراین اگر محدوده آدرس IP مقصد اصلی بزرگ‌تر از محدوده آدرس در مجموعه آدرس تعریف شده توسط کاربر یا همان استخر آدرس باشد، هر بسته ترجمه نشده، حذف می‌شود. این ویژگی یکی از کاربردهای Destination NAT است.

شما می‌توانید یک NAT Pool را به گونه‌ای پیکربندی کنید که در نمونه مسیریابی پیش‌فرض وجود داشته باشد. گزینه پیکربندی برای تعیین این‌که یک استخر NAT در نمونه مسیریابی پیش‌فرض وجود دارد در دسترس است. در نتیجه، استخر NAT از مناطق در نمونه مسیریابی پیش‌فرض و از مناطق در سایر نمونه‌های مسیریابی، قابل تشخیص و دسترسی است.

معرفی شرکت میکروتیک

شرکت میکروتیک (MikroTik) یک شرکت تولید کننده تجهیزات شبکه است. این شرکت متعلق به کشور لتونی در اروپا است. میکروتیک روترهای شبکه سیمی و بی‌سیم، سوئیچ‌های شبکه و سیستم عامل‌ها و نرم‌افزارهای کمکی را برای محصولات خود توسعه داده و می‌فروشد.

شرکت میکروتیک در سال ۱۹۹۶ میلادی با تمرکز بر فروش تجهیزات شبکه در بازارهای نوظهور تاسیس شد. تا ماه اوت سال ۲۰۱۹، وب‌سایت این شرکت تعداد کارمندان خود را در حدود ۲۸۰ کارمند گزارش کرده است. در سال ۲۰۱۵، میکروتیک با درآمد ۲۰۲ میلیون یورو، بیستمین شرکت بزرگ در لتونی بود. میکروتیک در ابتدا یک شرکت نرم‌افزار رایانه شخصی بود. در سال ۲۰۰۲، این شرکت شروع به تولید سخت‌افزار خود کرد.

سیستم عامل روتر میکروتیک چیست؟

سیستم عامل روتر میکروتیک با عنوان MikroTik RouterOS سیستم عامل لینوکس مستقلی است که در تجهیزات شبکه MikroTik استفاده می‌شود. البته این چیزی بیش از یک سیستم عامل برای روترها است. در واقع این نرم‌افزار حتی می‌تواند بر روی رایانه‌های شخصی معمولی نصب شود تا آن‌ها را به روترهای اختصاصی تبدیل کند.

سیستم عامل میکروتیک باعث افزایش کارایی تجهیزات شبکه ساخت شرکت میکروتیک می‌شود. این سیستم عامل همچنین از انعطاف‌پذیری بالایی برای نصب برروی رایانه‌ها و تبدیل آن‌ها به روتر برخوردار است. سیستم عامل میکروتیک دارای امکاناتی چون: مسیریابی، فایروال، مدیریت پهنای باند، ایجاد نقطه دسترسی بی‌سیم، لینک backhaul، پورت‌های اسپات و سرور VPN است.

سیستم عامل RouterOs به دو صورت در شبکه‌ها قابل استفاده است: در حالت اول این سیستم عامل را می‌توان روی یک رایانه شخصی یا ماشین مجازی نصب کرد؛ حالت دوم زمانی است که این سیستم عامل بر روی سخت‌افزار روتربرد (RouterBoard) در تجهیزات فیزیکی شرکت میکروتیک نصب می‌شود. در هر دو حالت، ما یک روتر میکروتیک ایجاد کرده‌ایم. روتربوردها سخت‌افزار اختصاصی میکروتیک و سیستم عامل RouterOs هستند که دارای تعدادی پورت شبکه می‌باشند.

مزایای استفاده از سیستم عامل روتر میکروتیک

شرکت‌ها می‌توانند از سیستم عامل میکروتیک به‌عنوان راه حلی آزمایشی در طول فرآیند تحقیق و توسعه استفاده کنند. نتایج عملی نشان داده است که مرحله تحقیق و توسعه با استفاده از این سیستم عامل، عموما موفقیت‌آمیز بوده است و بسیاری از شرکت‌ها آن را به‌عنوان بخشی از راه‌حل توسعه خود به طور گسترده برای خدمت‌رسانی به مشتریان خود پیاده‌سازی کرده‌اند. امروزه، این سیسام عامل را می‌توان به یک مجموعه مدیریت ابری تبدیل کرد، به‌ویژه که بهبودها و عملکردهای زیادی را اضافه می‌کند. برخی از مزایای استفاده از این سیستم عامل را با هم مرور می‌کنیم:

• مقرون به صرفه است
• استقرار آن آسان است
• قدرتمند و کاربردی است
• در مقایسه با سایر برندها با همان قیمت، ویژگی‌های بیشتری دارد
• به طور گسترده در دسترس است
• امروزه به‌راحتی می‌توان آن را تهیه کرد
• بسیار قابل تنظیم و منعطف است
• می‌توانید با استفاده از آن یک اسکریپت قدرتمند برای بهبود عملکرد بنویسید
• می‌توانید بر اساس نیاز خود یک رویکرد پیکربندی متفاوت را ایجاد کنید

آموزش Destination NAT در میکروتیک برای ایمنی بیشتر

ترجمه آدرس شبکه در روش Destination NAT با تغییر اطلاعات آدرس شبکه در هدر IP بسته‌ها ممکن می‌شود. بیایید نگاهی به یک تنظیمات رایج بیندازیم که در آن مدیر شبکه می‌خواهد از اینترنت به سرور اداری دسترسی پیدا کند. ما می‌خواهیم اتصال‌‌ها از اینترنت به سرور اداری که IP محلی آن ۱۰٫۰٫۰٫۳ است را مجاز کنیم. در این مورد، ما باید یک قانون ترجمه آدرس مقصد را در روتر دروازه اداری به این شکل پیکربندی کنیم:

/ip firewall nat add chain=dstnat action=dst-nat dst-address=172.16.16.1 dst-port=22 to-addresses=10.0.0.3 protocol=tcp

قانون بالا این‌گونه ترجمه می‌شود: هنگامی که یک اتصال ورودی، پورت TCP 22 با آدرس مقصد ۱۷۲٫۱۶٫۱۶٫۱ را درخواست می‌کند، از عملکرد Destination NAT یا dst-nat استفاده کنید و بسته‌ها را به دستگاه با آدرس IP محلی ۱۰٫۰٫۰٫۳ و پورت ۲۲ منتقل کنید.

نکته: برای ایجاد اجازه دسترسی، البته فقط از رایانه شخصی در خانه، می‌توانیم قانون dst-nat خود را با “src-address=192.168.88.1” که یک آدرس IP عمومی رایانه شخصی خانگی است برای ایمنی بیشتر بهبود بخشیم. برای آشنایی کامل با موضوعات مرتبط با امنیت شبکه می‌توانید این دوره آموزشی را انتخاب و در آن شرکت کنید:

آموزش destination nat در میکروتیک برای عملیات port forwarding

همانطور که در اوایل مطلب توضیح دادیم، از Destination NAT نه‌تنها برای تغییر آدرس IP بلکه برای تغییر پورت نیز استفاده می‌شود. port forwarding یکی از نیازهای روز کاربران اینترنت و نیز مدیران وب‌سایت‌ها و مدیریت سرورها و هاست‌ها است. در ادامه با این مفهوم و کاربرد Destination NAT در آن و شیوه راه‌اندازی آن در میکروتیک آشنا می‌شویم.

پورت فورواردینگ چیست؟

ارسال پورت (port forwarding) فرآیند رهگیری و مسیریابی ترافیک داده‌ای است که به سمت ترکیب IP/پورت رایانه هدایت می‌شود و آن را به یک IP و یا پورت دیگر هدایت می‌کند. این فرآیند را می‌توان به‌راحتی با استفاده از روتر MikroTik یا هر سیستمی که سیستم عامل RouterOS دارد، انجام داد. این فرآیند همچنین باعث ایجاد تجربه کاربری بهتر و مدیریت بهینه کاربران در زمان استفاده از روتر میکروتیک می‌شود.

کاربرد و نحوه پیکربندی port forwarding در میکروتیک

برای درک ضرورت و کاربرد فرآیند port forwarding فرض کنید شما یک مدیر فناوری اطلاعات هستید. شما یک شبکه بزرگ ایجاد کرده‌اید و شخصی می‌خواهد از راه دور به سرور VPS یا سرور اختصاصی شما متصل شود تا از راه دور کار کند. به دلایل امنیتی نمی‌توانید IP سرور را با آن شخص به اشتراک بگذارید. چه کاری باید انجام دهید؟

در این شرایط باید از port forwarding در روتر میکروتیک برای رسیدگی به تمامی درخواست‌ها استفاده کنید و این عملیات بر اساس ویژگی Destination NAT انجام می‌شود. برای پیکربندی port forwarding در میکروتیک ابتدا باید مطمئن شوید که آخرین نسخه MikroTik RouterOS را نصب کرده‌اید و پس از آن، این موارد را مرحله به مرحله انجام دهید:

• مرحله ۱: با امتیازات مدیریت وارد سرور MikroTik خود شوید
• مرحله ۲: از پنل سمت چپ روی IP کلیک کنید
• مرحله ۳: در منوی فرعی که باز شده، روی فایروال کلیک کنید
• مرحله ۴: به تب NAT در پنجره فایروال بروید
• مرحله ۵: برای ایجاد یک قانون جدید روی دکمه + کلیک کنید؛ توجه داشته باشید که در این سناریو، فرض بر این است که روتر به IP (10.10.10.10) متصل است و ما می‌خواهیم تمام درخواست‌ها را از (۱۰٫۱۰٫۱۰٫۱۰:۵۸۴۷) به (۲۰٫۲۰٫۲۰٫۲۰:۴۳۲۴) فوروارد کنیم
• مرحله ۶: روی تب General کلیک کنید و dstnat را از لیست کشویی انتخاب کنید
• مرحله ۷: در فیلد Dst. Address، آی‌پی را که می‌خواهید همه درخواست‌ها را از آن فوروارد کنید تایپ کنید
• مرحله ۸: از لیست پروتکل، پروتکل اتصال مانند TCP را انتخاب کنید
• مرحله ۹: در فیلد Dst. Port، پورتی را که می‌خواهید درخواست‌ها را از آن فوروارد کنید تایپ کنید
• مرحله ۱۰: حالا به تب Action بروید
• مرحله ۱۱: از لیست کشویی Action، dst-nat را انتخاب کنید
• مرحله ۱۲: در قسمت To Addresses، IP مورد نظر برای ارسال همه درخواست‌ها را تایپ کنید
• مرحله ۱۳: در قسمت To Ports، کد پورتی را که می‌خواهید درخواست‌ها را به آن فوروارد کنید تایپ کنید
• مرحله ۱۴: روی Apply و سپس OK کلیک کنید تا قانون جدید ذخیره و اضافه شود

با این شیوه، شما با موفقیت اولین قانون ارسال پورت خود را در MikroTik پیکربندی کرده‌اید. به‌منظور اضافه کردن قوانین جدید ارسال پورت، به‌سادگی مراحل مربوط به پورت‌ها یا IP های جدید را مشابه روندهای گفته شده، انجام دهید.

آموزش Source NAT در میکروتیک

اگر می‌خواهید دستگاه‌های محلی خود را پشت آدرس IP عمومی دریافتی از شرکت ارائه کننده خدمات اینترنتی که با نام مخفف ISP شناخته می‌شود، مخفی کنید، باید ویژگی ترجمه آدرس شبکه مبدا (source network address translation) یا ماسکرادینگِ روتر میکروتیک را پیکربندی کنید. فرض کنید می‌خواهید کامپیوتر اداری و سرور را پشت IP عمومی ۱۷۲٫۱۶٫۱۶٫۱ مخفی کنید، قانون مورد نیاز برای این کار در سیستم عامل، به شکل زیر خواهد بود:

/ip firewall nat add chain=srcnat src-address=10.0.0.0/24 action=src-nat to-addresses=172.16.16.1 out-interface=WAN

با وضع این قانون، ISP شما تمام درخواست‌هایی که با آی‌پیِ ۱۷۲٫۱۶٫۱۶٫۱ ارسال می‌شود را می‌بیند و آدرس‌های IP شبکه LAN شما را نمی‌بیند.

روترهای میکروتیک با قابلیت پشتیبانی از destination nat

روترها و سوئیچ‌های MikroTik محصولات ارزان‌قیمت و قابل اعتمادی هستند. به دلیل هزینه کم، آن‌ها برای مشاغل کوچک و مشاغل متوسط ​​بسیار مناسب هستند. در برخی موارد حتی شرکت‌های بزرگ نیز از این محصولات استفاده می‌کنند زیرا ویژگی‌های زیادی را با هزینه بسیار کم ارائه می‌دهند. با این حال، آن‌ها برای پشتیبانی از حجم زیادی از ترافیک داده مانند سطح اصلی ISP مناسب نیستند. در صورت علاقمندی به آشنایی با سیستم روتینگ میکروتیک، دوره زیر بهترین گزینه است:

مدیران یکی از شرکت‌هایی که از روترها و سوئیچ‌های MikroTik در فرآیند توسعه خود، به‌ویژه از دو مدل CCR-1036 و CCR-1072 استفاده کرده است، درباره تجربه این کاربرد گفته است: “آن‌چه ما دوست داریم سهولت استفاده و همچنین نحوه عملکرد آن‌ها برای پردازش داده‌ها است. به همین ترتیب، ما دستگاه‌های RB را به‌عنوان CPE مشتری به کار گرفته‌ایم و نتایج رضایت‌بخش بوده است.” برخی از قابلیت‌های روترهای میکروتیک را با هم مرور می‌کنیم:

• پشتیبانی از destination nat برای دسترسی به سرورهای داخل شبکه از بیرون
• پشتیبانی از پروتکل‌های مسیریابی MPLS، BGP و OSPF
• امکان راه‌اندازی هات‌اسپات
• امکان اکانتینگ شبکه
• پشتیبانی از آدرس IP ورژن ۶
• سرعت بوت بالا در روتر
• پشتیبانی از سیستم مسیریابی بر اساس PBR و یا Policy-Based Routing
• امکان ریموت به شبکه از راه دور از طریق پروتکل‌های مختلف VPN
• پشتیبانی از VRF
• پشتیبانی از چندین روتر مجازی
• امکان انجام عملیات کنترل ترافیک شبکه
• اعمال محدودیت سرعت برای کاربران
• امکان اتصال به چندین شرکت ارائه خدمات اینترنت
• امکان توزیع ترافیک اینترنت کاربران روی چندین لینک اینترنت
• امکان راه‌اندازی DHCP در شبکه برای پیکربندی کلاینت‌های شبکه
• امکان پیاده‌سازی quality of service روی پکت‌های شبکه
• قابلیت استفاده از مک آدرس برای کانفیگ اولیه دستگاه و بدون نیاز به آدرس IP در ابتد

دسته‌بندی روتر میکروتیک و برخی از انواع پرکاربرد آن

روترهای میکروتیک را می‌توان به چهار گروه اساسی تقسیم کرد. این دسته‌بندی بر اساس عوامل متعددی صورت می‌گیرد که از جمله آن‌ها می‌توان به فناوری‌های اتصال، تعداد پورت‌ها، سایز و زمینه‌ کاری دستگاه‌ها اشاره کرد. چهار گروه این روترها عبارتند از:

• روترهای ۳DIGIT
• روترهای ۴DIGIT
• روترهای Naming
• روترهای Cloud Core

برخی از مدل‌های معروف این روترها نیز عبارتند از:

• RB133C: روتر ساده میکروتیک برای سرویس‌دهی بی‌سیم در سمت مشترک
• RB450: از سری Router Banel با پردازنده ۳۰۰MHZ، حافظه ۳۲MB و ۵ پورت اترنت
• RB411: کاربرد این روتر در لینک‌هایی با پهنای باند متوسط و فواصل بالا است
• RB493: برای روتینگ و سرویس‌دهی بی‌سیم ادارات و مراکز متصل به چند Sowre مناسب است
• RB433: مناسب لینک‌های وایرلس با پهنای باند بالا و فواصل طولانی
• ۴۳۳AH: روتربردی بسیار قدرتمند با امکانات بسیار
• RB600A: دارای قدرت پردازش بالا و مشابه روتر ۴۳۳AH است
• RB1000: دارای پردازنده قوی ۱۳۳۳۳MHZ و حافظه ۵۱۲MB است

برای آشنایی کامل با روتربردهای شرکت میکروتیک و کاربرد و ویژگی‌های آن‌ها شرکت در این دوره را به تمامی علاقمندان پیشنهاد می‌کنیم:

یادگیری و آموزش destination nat در میکروتیک؛ عاملی برای توسعه شرکت‌ها

شرکت میکروتیک یکی از برترین شرکت‌های تولیدکننده تجهیزات شبکه و نرم‌افزارهای مورد نیاز برای آن است. از مهم‌ترین محصولات این شرکت می‌توان به روترهای میکروتیک و نیز سیستم عامل اختصاصی این شرکت و سخت‌افزارهای آن با عنوان RouterOS نام برد. یکی از دستورهای کاربردی در این سیستم عامل، آموزش destination nat است که بر اساس روش ترجمه آدرس شبکه کار می‌کند.

این دستور و دستورهای کاربردی دیگر در این سیستم عامل باعث می‌شوند بتوانید کارایی تجهیزات خود را به‌صورت اختصاصی و بر مبنای نیازهای فردی یا شرکتی افزایش دهید. بنابراین یادگیری مهارت‌های کار با سیستم عامل میکروتیک و موارد مرتبط با امنیت شبکه را به تمامی افرادی قصد دارند مدیریت بهینه و کاربردی شبکه، سرور و تجهیزات مرتبط را بیاموزند و یا کار با آن‌ها را به دیگران یاد بدهند، پیشنهاد می‌کنیم.