Настройка фильтрации трафика в корпоративной сети — NAT vs FIREWALL, как лучше?

Question

[Владислав]

Собственно вопрос следующий, каким образом лучше фильтровать трафик из\в корпоративную локальную сеть?
Варианты:
1. firewall (настройка жестко по портам, протоколам и ip) + nat (проброс всего трафика на ip)
2. firewall (настроен только на трафик приходящий из WAN на сам маршрутизатор, трафик в локальную сеть не блокируется) + nat (жесткий проброс по портам, протоколам и ip)
3. firewall (настройка жестко по портам, протоколам и ip) + nat (жесткий проброс по портам, протоколам и ip)

Пример правил:
chain=forward in-interface=wan out-interface= lan action=accept protocol=tcp dst-address=192.168.0.15 dst-port=25 log=no log-prefix=""
chain=dstnat action=dst-nat to-addresses=192.168.0.15 protocol=tcp dst-address=1.1.1.1 in-interface=wan port=25 log=no
log-prefix=""

Собственно на каком уровне лучше фильтровать бОльшую часть траффика идущего в локальную сеть NAT или FIREWALL?

Answer 1

[Клёвый Админ]

Как подсказывает контекст - фильтровать нужно в фильтре, транслировать трафик нужно в трансляции. Точка.

Comments

[Владислав]

Просто непонятен тогда функционал, зачем его добавили в NAT тогда в Mirkotik.

[Клёвый Админ]

Владислав: дайте ссылку или пример таких финкций.

[Клёвый Админ]

Владислав: то что в вашем вопросе к фильтрации не относится. Точнее как, действие = разрешить - определяет то что, данную политику следует исключить из трансляции (например, трафик между двумя локальными сетями, трафик между которыми идёт через ipsec в туннельном режиме, нужно разрешить в NAT иначе будет маскировка и проблемы).

Answer 2

[Сергей]

0_о это ж сколько нужно было выпить чтоб задать такой вопрос. И с каких пор нат стал фильтровать трафик вообще?

NAT (от англ. Network Address Translation — «преобразование сетевых адресов») — это механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса транзитных пакетов.
---------------------------------------------------------------------------------------------------------------
Межсетево́й экра́н, сетево́й экра́н, файерво́л, брандма́уэр — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.
Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.
Некоторые сетевые экраны также позволяют осуществлять трансляцию адресов — динамическую замену внутрисетевых (серых) адресов или портов на внешние, используемые за пределами ЛВС.

Я надеюсь у вас не высшее образование? А то вашему преподу стоит повеситься от горя.

Comments

[Владислав]

имеется ввиду что посредством nat мы можем перенаправлять трафик из wan в lan.

[Сергей]

нат работает сам по себе. посредством его вы ничего никуда не пробрасываете. и ниичего не фильтруете.

[Сергей]

можно только с помощью фаэрвола ограничить протоколы и айпишники с которых его можно юзать.

[Сергей]

вы сейчас задали вопрос палец vs нос (не будем использовать более интимные части тела в этом файтинге). не совсем понятно чего они там vs. что они там не поделили. но видимо это серьезная схватка. и другие части тела возможно тоже пострадают.

[Владислав]

Вы не поняли совсем. В настройках правила для NAT можно указать с какого порта и ip на какой порт ip преобразовывать трафик. Если правила нет, то трафик не пойдет во локальную сеть. А дропнется на внешнем ip так так некому будет обработать этот трафик.

[Сергей]

хотя нос заведомо в худшем положении. он тупо фильтрует воздух. а вот палец может понаделать бед!

[Сергей]

нат работает глобально. для всех в сети. если вы решите завести для каждого айпишника отдельное правило. то ваш процессор офигеет от такой тупости. а уже исходя из глобального доступа к паутине все ограничиваются или получают свои ништяки.

[Владислав]

Вариант такой, DMZ и разные сервисы на которые всяко нужно настраивать отдельные правила. Имеется ввиду в первую очередь dst-nat

[Сергей]

кстати ... трафик при правиле ната и так не пойдет в сеть. он тупо дропнется. вы вообще знаете как работает нат?

[Владислав]

В пакете подменяется адрес назначения.

[Сергей]

да при чем тут dst-nat ? я вам щас про кругопольскую кразякублу расскажу. вы свалили на бедный нат совершенно разные технологии и ждете от него черте знает что. вы для начала почитайте что он вообще делает.

[Сергей]

правильно. меняется. только вот беда ... чтоб он поменялся должно быть открыто соединение с доверенной зоны.

[Сергей]

проброс портов выполняется через другие механизмы. и с натом они тупо знакомы. и не более того.

[Владислав]

Имеется ввиду что соединение разрешено уже.

[Сергей]

нат разрешается глобально!!!!! для данного конкретного интерфейса. с целью послать его .... в интернет! или для всех интерфейсов разом. а фаэрвол уже контролирует использование ната.

[Владислав]

Это все понятно, вопрос конкретно про Mikrotik. Там на правилах nat можно фильтровать трафик, то есть вы считаете это невозможно сделать так?

[Сергей]

скажите пожалуйста ... если мы напишем о вашем носе на 5 странице, а о пальце на 12. означает ли это что вы можете выполнять разные функции этими частями тела? я вас слезно прошу почитать не микротик, а основы сетей.

[Владислав]

Спасибо, я в курсе про основы сетей.

[Сергей]

не наблюдаю. были бы вы в курсе .. не задавали бы таких вопросов.