مهدی امیری متین
مهدی امیری متین
خواندن ۵ دقیقه·۱ ماه پیش

NAT در میکروتیک

مقدمه

مفهوم NAT (Network Address Translation) ، یکی از قابلیت‌های مهم در تجهیزات شبکه نظیر روترها است که به وسیله آن می‌توان ترافیک شبکه را به صورت هوشمندانه مدیریت کرد. این قابلیت به ویژه برای ارتباط شبکه‌های داخلی (LAN) با شبکه‌های خارجی (WAN) مانند اینترنت بسیار کاربردی است. در روترهای میکروتیک، NAT به شکل گسترده‌ای استفاده می‌شود تا آدرس‌های IP خصوصی شبکه‌های داخلی را به یک یا چند آدرس IP عمومی ترجمه کرده و بالعکس.



انواع NAT

در شبکه NAT انواع مختلفی دارد که ما به چند نوع از آن اشاره میکنیم.

1. Source NAT یا همان ( SRC-NAT)

در این نوع NAT، آدرس مبدا ترافیک تغییر می‌کند. این کاربرد معمولاً برای ترجمه آدرس‌های داخلی به آدرس عمومی در زمان دسترسی به اینترنت استفاده می‌شود. به عبارت دیگر کاربرد اصلی آن برای ماسک کردن آدرس‌های داخلی شبکه است تا دستگاه‌ها بتوانند با اینترنت یا دیگر بخش‌های شبکه ارتباط برقرار کنند. که معمولا به دو نوع زیر تقسیم می شود:

Masquerade

Masquerade یکی از انواع Source NAT است که برای پنهان‌سازی آدرس‌های مبدا شبکه داخلی استفاده می‌شود. معمولاً زمانی که شبکه داخلی از طریق یک IP دینامیک (Dynamic IP) به اینترنت متصل است، استفاده می‌شود. این عمل به طور خودکار آدرس IP خروجی روتر را به عنوان آدرس مبدا تنظیم می‌کند.

به عنوان مثال:

/ip firewall nat add chain=srcnat action=masquerade out-interface=pppoe-out1

Static Source NAT (SNAT)

در SNAT ایستا، آدرس مبدا به یک آدرس IP خاص تغییر پیدا می‌کند. این حالت برای مواردی مناسب است که IP ثابت به دستگاه‌ها اختصاص داده می‌شود.

به عنوان مثال:

/ip firewall nat add chain=srcnat action=src-nat to-addresses=192.168.100.1 src-address=192.168.0.10

2. Destination NAT یا همان DST-NAT

DNAT برای تغییر آدرس مقصد در بسته‌های داده استفاده می‌شود. این نوع NAT معمولاً برای دسترسی به سرویس‌های داخلی از طریق یک IP عمومی (Public IP) یا دسترسی به سرورهای داخلی از اینترنت استفاده می‌شود.

Port Forwarding (DNAT)

Port Forwarding یکی از کاربردهای DNAT است که در آن درخواست‌هایی که به یک آدرس IP عمومی ارسال می‌شوند به یک سرور خاص در شبکه داخلی هدایت می‌شوند. به این روش، کاربران خارجی می‌توانند به سرویس‌های داخلی دسترسی پیدا کنند.

در این مثال، ترافیک ورودی از پورت 8080 روی IP عمومی به پورت 80 سرور داخلی با آدرس 192.168.0.100 هدایت می‌شود.

/ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.0.100 to-ports=80 protocol=tcp dst-port=8080

Static Destination NAT (DNAT)

در این نوع DNAT، آدرس مقصد به یک آدرس IP ثابت در شبکه داخلی تغییر پیدا می‌کند.

در این مثال، هرگونه ترافیک به آدرس عمومی 203.0.113.5 به سرور داخلی با آدرس 192.168.0.50 ارسال می‌شود.

/ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.0.50 dst-address=203.0.113.5

3. Bidirectional NAT (NAT دوطرفه)

در NAT دوطرفه، آدرس‌های مبدا و مقصد به صورت همزمان ترجمه می‌شوند. این تکنیک به منظور ارتباط متقابل میان دو شبکه با استفاده از ترجمه دو طرفه IP مورد استفاده قرار می‌گیرد.

در این مثال، ترافیک از آدرس 192.168.1.1 به آدرس 10.0.0.1 ترجمه می‌شود و بالعکس.

/ip firewall nat add chain=srcnat action=src-nat to-addresses=10.0.0.1 src-address=192.168.1.1
/ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.1.1 dst-address=10.0.0.1

4. NAT و VPN

NAT می‌تواند با VPN‌ها ترکیب شود تا ارتباطات امن بین شبکه‌ها فراهم شود. معمولاً در شبکه‌هایی که از VPN برای دسترسی به شبکه‌های دیگر استفاده می‌کنند، NAT به کار می‌رود تا آدرس‌های خصوصی به آدرس‌های معتبر تبدیل شوند.

پیکربندی NAT در میکروتیک

برای تنظیم NAT در روتر میکروتیک، ابتدا باید به Winbox یا CLI دسترسی پیدا کنید. مراحل زیر برای پیکربندی NAT در میکروتیک از طریق Winbox بیان می‌شوند.

پیکربندی Source NAT

همان طور که اشاره شدSource NAT برای دسترسی شبکه داخلی به اینترنت از طریق یک IP عمومی استفاده می‌شود. برای تنظیم آن مراحل زیر را انجام دهید:

  1. در Winbox وارد شوید و از منوی اصلی، به بخش IP و سپس Firewall بروید.
  2. در تب NAT، روی دکمه + کلیک کنید تا یک رول جدید اضافه کنید.
  3. در بخش General، Chain را روی srcnat تنظیم کنید.
  4. در بخش Out Interface، اینترفیس WAN (اینترفیسی که اینترنت به آن متصل است) را انتخاب کنید.
  5. به تب Action بروید و Action را روی masquerade تنظیم کنید.
  6. بر روی Apply و سپس OK کلیک کنید.

این پیکربندی باعث می‌شود که تمام ترافیک خروجی از شبکه داخلی با IP WAN ترجمه شود.

پیکربندی Destination NAT

برای انجام Destination NAT یا به اصطلاح Port Forwarding، که درخواست‌های ورودی به IP عمومی را به یک IP داخلی خاص هدایت کند (مثلاً سرور داخلی):

  1. وارد Winbox شوید و از منوی اصلی به IP > Firewall بروید.
  2. در تب NAT روی + کلیک کنید.
  3. در بخش General، Chain را روی dstnat تنظیم کنید.
  4. در بخش Dst. Address، آدرس IP عمومی روتر را وارد کنید.
  5. در بخش Protocol، پروتکل مورد نظر (TCP/UDP) را انتخاب کنید.
  6. در بخش Dst. Port، شماره پورت مورد نظر را وارد کنید.
  7. به تب Action بروید و Action را روی dst-nat تنظیم کنید.
  8. در بخش To Addresses، IP داخلی دستگاه مقصد را وارد کنید.
  9. در بخش To Ports، پورت داخلی را وارد کنید (در صورت نیاز).
  10. روی Apply و سپس OK کلیک کنید.

این پیکربندی باعث می‌شود که تمام درخواست‌های ورودی به IP عمومی روتر روی پورت مشخص شده به IP داخلی سرور مورد نظر هدایت شود.

بررسی رول‌های NAT

برای مشاهده و مدیریت رول‌های NAT که در روتر میکروتیک پیکربندی شده‌اند، می‌توانید به مسیر IP > Firewall > NAT بروید. در این بخش تمامی رول‌های فعال NAT را مشاهده می‌کنید و می‌توانید هر کدام را ویرایش یا حذف کنید.


نکات مهم

  • استفاده نادرست از رول‌های NAT می‌تواند باعث مشکلاتی در دسترسی به شبکه‌ها شود. لذا مطمئن شوید که پیکربندی‌ها با دقت انجام می‌شود.
  • اگر از Masquerade استفاده می‌کنید و دارای چندین اینترفیس WAN هستید، باید از سیاست‌های مناسب برای تعیین اینترفیس خروجی استفاده کنید.
  • برای ارتباط بهتر و بدون مشکل با شبکه‌های خارجی، تنظیمات DNS و Route به درستی باید انجام شوند.

سخن پایانی

قابلیت NAT در میکروتیک به شما این امکان را می‌دهد که با پنهان‌سازی آدرس‌های IP داخلی و هدایت ترافیک به شبکه‌های خارجی، امنیت و کارایی شبکه خود را بهبود دهید. پیکربندی صحیح و استفاده از انواع NAT متناسب با نیاز شبکه، دسترسی به سرویس‌های خارجی را آسان و مدیریت شبکه را ساده‌تر می‌کند.

NATnat میکروتیکشبکهmikrotik
مهدی امیری متین
مهدی امیری متین
برنامه نویس وب و اندروید
شاید از این پست‌ها خوشتان بیاید