NAT e Proxy [Guide Windows

pc-facile.com

http://www.pc-facile.com/guide/nat_proxy/117.htm

Network/P2P: Dylan666 20 Dicembre 04 @ 00:01 am

11. Configurazione della NAT

Prima di attivare la NAT, è necessario stabilire gli indirizzi IP sulle due interfacce che si pensa di utilizzare per il gateway NAT. È necessario assegnare all'interfaccia esterna un indirizzo IP appartenente all'intervallo di indirizzi IP pubblici assegnati dall'ISP. L'interfaccia interna può utilizzare qualunque indirizzo IP nell'intervallo di indirizzi scelti per la propria LAN interna. Tuttavia, per convenzione gli intervalli di indirizzi specifici sono già stati stabiliti per lo spazio di indirizzi privati e vanno da 10.0.0.0 a 10.255.255.255 e da 192.168.0.0 a 192.168.255.255. Utilizzando queste assegnazioni di indirizzi privati già definite sulla LAN interna si evitano situazioni nelle quali il proprio spazio di indirizzi privato è uguale allo spazio indirizzi di qualche sito remoto pubblico. Quando si verificano simili collisioni, non è possibile accedere agli host del sito remoto in quanto il gateway pensa che si trovino sulla LAN locale.

Dopo aver configurato gli indirizzi IP per l'interfaccia interna e quella esterna, è necessario verificare di poter instradare il traffico tra le due sottoreti eseguendo la utility PING. Non è ancora possibile accedere a Internet dal proprio spazio degli indirizzi privato in quanto per definizione gli indirizzi privati sono bloccati da tutti i router dorsali Internet. È indispensabile attivare la rete prima che la LAN privata possa avere accesso ad Internet.

Una volta stabiliti gli indirizzi IP per l'interfaccia interna e quella esterna, è possibile abilitare la NAT dalla videata IP Packet Security. Prima di abilitare la NAT bisogna creare un nuovo file di regole. Il file di regole contiene tutte le regole di filtro IP per un particolare host, quindi si deve dare al file un nome che indichi l'appartenenza ad un particolare AS/400. Sul disco del PC locale al file verrà automaticamente data un'estensione .I3P.

Per creare un nuovo file di regole, si deve cliccare con il pulsante destro del mouse sull'intestazione IP Packet Security in OpNav e selezionare Configure (Configurazione). Quindi si deve scegliere New File (Nuovo file) dal menu File. Inizialmente si devono elencare l'indirizzo IP che si sta utilizzando per l'interfaccia esterna e l'intervallo di indirizzi IP dell'interfaccia esterna. Si clicca con il pulsante destro del mouse su Defined Addresses (Indirizzi definiti) e si seleziona New Defined Address (Nuovo indirizzo definito) per inserire l'indirizzo per l'interfaccia esterna che chiameremo "ExtEthernet". Si ripete questo passaggio per inserire l'intervallo di indirizzi per l'interfaccia interna che chiameremo "IntEthernet". I nomi rappresentano solo dei comodi riferimenti per incorporare queste definizioni di indirizzi in altre regole. Si possono scegliere i nomi che si desidera, ma devono corrispondere alla specifica dell'indirizzo che verrà definito successivamente per l'occultamento degli indirizzi.

Per specificare gli indirizzi nascosti, che è il passaggio che abilita la NAT, si deve espandere l'Address Translation (Conversione indirizzi) in OpNav, quindi si deve cliccare con il pulsante destro del mouse su Hidden Addresses (Indirizzi nascosti) e completare i campi della dialog box visualizzata (figura 3). In questa dialog box si devono inserire i nomi degli intervalli di indirizzi precedentemente specificati e non gli indirizzi IP. È possibile lasciare a blank il numero della porta (viene utilizzato solamente quando si proiettano i servizi su un indirizzo interno, cosa che costituisce una pratica negativa per la sicurezza). Se si utilizza anche il filtro dei pacchetti IP per controllare i servizi ai quali gli utenti interni possono accedere, è necessario configurare le relative regole nello stesso file.
Per salvare il file di regole e attivare la NAT, si deve caricare il file sull'AS/400 cliccando su File dal menu File e scegliendo Save (Salva). Il file salvato sostituisce qualunque regola di filtro precedentemente esistente, quindi bisogna accertarsi che il nuovo file di regole non cancelli inavvertitamente delle politiche di sicurezza attuate utilizzando un precedente file di regole. Infine, si verifica che la NAT funzioni utilizzando un browser Web o un altro client TCP/IP da un host interno per accedere ad un server remoto.