Curso CCSA - Aula 05 - v1.1

Preparatório para a certificação
Checkpoint CCSA - Aula 05
NAT (Network Address Translation)
Cícero Campelo | cicero@cloudcampus.com.br

OBJETIVO DE AULA
• Conceitos de NAT
– NAT Rule Base
• Formas de NAT
– Static NAT
– Hide NAT
– Port Mapping
• Tipos de NAT
– Automatic NAT
– Manual NAT
• Monitoramento do NAT e Troubleshooting
• Lab 08 - Hide NAT
• Lab 09 - Static NAT
• Lab 10 - Port Mapping
www.CloudCampus.com.br 2
Conceito de NAT
• Tradução de endereço de rede

– Endereço IP 1 <NAT> Endereço IP 2
• Utilidade
– Economia de endereços de Internet
– Compartilhar o acesso à Internet
– Acesso à Internet a partir de endereços IP reservados para
redes privadas
• 10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16
– Publicação de serviços na Internet
– Conectividade entre redes onde não existe roteamento
Conceito de NAT
NAT para conectividade
entre redes sem rota reversa
NAT Rule Base
Regras de NAT
Formas de NAT
• Static NAT
– Publicação de serviços na Internet
– NAT do tipo 1 para 1
• Um endereço IP interno (não válido) para IP Externo (válido)
– Necessidade de entrada e saída de tráfego
• Hide NAT
– Acesso à Internet a partir de endereços privados
(host ou rede)
– 1 para 1 e 1 para N
– Necessidade de apenas saída de tráfego
Static NAT
10.10.0.26
INTERNET
192.0.2.5
Static NAT
Contexto Endereço de Porta de Endereço de Porta de
Origem Origem Destino Destino
Host Internet -> 200.101.70.20 7050 192.0.2.5 80
Firewall (ida)
Firewall -> 200.101.70.20 7050 10.10.0.26 80
Host Interno (ida)
Host Interno -> 10.10.0.26 80 200.101.70.20 7050
Firewall (volta)
Firewall -> 192.0.2.5 80 200.101.70.20 7050
Host Internet (volta)
10.10.0.26
Servidor Web
200.101.70.20
Cliente Web
192.0.2.5
Configurando o Static NAT
Exemplo de Static NAT
Regra 1
Regra 2
Regra 1
Regra 2
Hide NAT
10.10.0.26
INTERNET
192.0.2.1
Hide NAT
Contexto Endereço de Porta de Endereço de Porta de
Origem Origem Destino Destino
Host Interno -> 10.10.0.26 8005 200.101.70.20 80
Firewall (ida)
Firewall -> 192.0.2.5 9115 200.101.70.20 80
Host Internet (ida)
Host Internet -> 200.101.70.20 80 192.0.2.5 9115
Firewall (volta)
Firewall -> 200.101.70.20 80 10.10.0.26 8005
Host Interno (volta)
10.10.0.26
Cliente Web
200.101.70.20
Servidor Web
192.0.2.5
Configurando o Hide NAT
Exemplo de Hide NAT
Regra 1
Regra 1
Proxy ARP
Port Mapping
• NAT 1:N baseado na porta de rede

• Exemplo de publicação de 2 servidores
utilizando apenas 1 endereço IP de NAT:
– Acesso no 201.80.70.11 na porta 80 -> Servidor_Web
– Acesso no 201.80.70.11 na porta 21 -> Servidor_FTP
Port Mapping
Considerações
• Definir uma entrada manual no Proxy ARP para

o endereço IP utilizando no NAT
• Ativar o "Merge manual proxy ARP
configuration" da configuração de NAT do
Global Properties
• A regra de Firewall deve utilizar o objeto do
endereço IP de NAT
Tipos de NAT
• Automatic NAT
– Regras de criadas automaticamente a partir
da configuração de NAT do objeto (host ou
rede)
• Manual NAT
– Regras criadas manualmente na tabela de
NAT
Automatic NAT
Manual NAT
• Necessidade de não fazer NAT

– Exemplo: Rede DMZ que tem Static NAT para
a Internet mas deverá ser acessada a partir
da rede interna pelo endereço privado
• Publicações apenas de porta
Ordem do NAT Rule Base
1. Pre manual rules

2. Automatic rules
3. Post manual rules
Monitoramento do NAT
SmartView Tracker
Troubleshooting – Proxy ARP
• Proxy ARP
– Firewall responde o ARP para os endereços IP de NAT
• Comando fw ctl arp

– Mostra a tabela de Proxy ARP
Troubleshooting - Proxy ARP
• Definição manual de Proxy ARP

– Arquivo $FWDIR/conf/local.arp
• Configuração a partir da linha de comando
– Exemplo para um NAT do IP 200.94.30.53
# echo “200.94.30.53 AA:BB:CC:DD:EE" >> $FWDIR/conf/local.arp
Obs1: AA:BB:CC:DD:EE é o endereço MAC da interface do firewall

que irá responder o ARP para o endereço IP 200.94.30.53
Obs2: Fazer o Policy Install para efetivar as alteração
• Comando add arp proxy

– HostName> add arp proxy ipv4-address <IP_ADDRESS_NAT>
interface <NAME_OF_INTERFACE> real-ipv4-address
<REAL_IP_ADDRESS_OF_INTERFACE>
– HostName> save config
• Exemplo:
HostName> add arp proxy ipv4-address 200.94.30.53 interface
eth0 real-ipv4-address 200.94.30.254
Lab 08 – Hide NAT
Lab 09 – Static NAT
Lab 10 - Port Mapping
Dúvidas?
www.CloudCampus.cc
info@cloudcampus.cc
+55-11-3662-3832

Curso CCSA - Aula 05 - v1.1

Enviado por

Dados do documento

Descrição original:

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Curso CCSA - Aula 05 - v1.1

Enviado por

Direitos autorais:

Formatos disponíveis

Preparatório para a certificação

Checkpoint CCSA - Aula 05

NAT (Network Address Translation)

Cícero Campelo | cicero@cloudcampus.com.br

• Tradução de endereço de rede

• NAT 1:N baseado na porta de rede

• Definir uma entrada manual no Proxy ARP para

• Necessidade de não fazer NAT

1. Pre manual rules

• Comando fw ctl arp

• Definição manual de Proxy ARP

Obs1: AA:BB:CC:DD:EE é o endereço MAC da interface do firewall

Obs2: Fazer o Policy Install para efetivar as alteração

• Comando add arp proxy

Você também pode gostar