Aula 7 - FGT 7.2 - Network Address Translation - Teoria e Pratica (Parte 2)

fala pessoal sejam bem-vindos de volta ao meu canal eu sou o Vinícius fiorotto e no vídeo de hoje nós vamos dar continuidade à nossa aula sobre Network que é A2 translator tá vamos ir para a parte prática como que eu configuro Network ads translate no formato de Police base dentro do nosso Ford sei que estou em falta aí com algumas aulas né Já tem um tempo que a gente não posta aula do canal mas foi por uma boa causa né nesse momento eu tava estudando para certificação da verem amor né então pcpdcv e eu consegui passar na prova tirei uma pontuação legal então por esse motivo por conta do meu estudo para prova de certificação eu não tava conseguindo postar vídeo aqui nas nossas aulas do fortcate Mas a partir de agora estamos de volta e vamos com tudo pra nossa aula de hoje tá antes da gente começar a nossa aula não se esqueça de escrever no canal e isso vai me motivar bastante a continuar gravando vídeo para vocês a continuar fazendo esse conteúdo de qualidade aqui dentro do nosso canal Tá bom então não esqueça de mandar compartilhar com seu amigo também tá estudando como que funciona o português ou para certificação no dia a dia de trabalho tá então compartilha com um colega de vocês esse vídeo habilita as notificações para sempre saber quando vai lançar um vídeo novo aqui no canal Espero muito que vocês estejam gostando do conteúdo e vamos lá para nossa aula de hoje podem ver que agora que abriu meu Fire ele está me informando aqui ó que esse forte Gate está utilizando ali um uma versão que tem ali uma vulnerabilidade com civilidade crítica né isso eu fiz um post lá no meu LinkedIn Então se vocês quiserem fiquem à vontade e ir no meu LinkedIn e fazer a conexão comigo lá fazer um Network nesse nosso cenário aqui ó que nós temos a versão 724 ela estava vulnerável e ela tem uma vulnerabilidade crítica em cima da sslvpn onde um atacante consegue acessar mesmo sem ter a senha e também mesmo que tenha duplo fator de autenticação habilitado nessa VPN ele vai conseguir esse acesso Se esse for o cenário de vocês Atualiza eu vou deixar o link na descrição sobre a vulnerabilidade e qual é a que corrige essa vulnerabilidade tá aqui eu não vou mexer agora só porque é o nosso ambiente de laboratório então eu não tô correndo risco porque é só o nosso Lab tá então onde que eu coloco aqui habilito a minha o meu Nat do meu Ford Gate né dentro da política de Fire o padrão é ver a política de Fire eu simplesmente certo se eu quero Nat ou não no meu file e vejam que eu tenho dois métodos de usar o meu Nat né usando a interface de saída né então ele vai colocar o Nat aqui pelo IP que tá na nossa porta um que é o 10. 2001 ou eu posso usar também um dynami que aipim né então vou mostrar para vocês como que funciona a parte de dynami que é IP para fazer esse formato de dynami que aí Peace eu tenho que criar aqui um aipim né e dentro desse Apple eu posso dar um Create New E aí eu tenho alguns tipos de aipim que eu consigo criar overlow out One fixa e também pode bloquear eu vou de cada um deles para vocês o formato de overload que é o principal formato aqui utilizado pelo nosso forte Gate é um formato que eu consigo pegar um Range de IP nosso cenário nós temos ali nessa rede aqui do isp110/24 isso quer dizer que eu tenho a possibilidade de 254 IPS mas imagine por exemplo um cenário de vocês que é operadora pode ter entregado ali um barra 29 que me dá 6 IPS né públicos é um barra 30 só me dá dois né um do lado da operadora e um do lado do cliente se eu tiver um barra 29 já me dá a possibilidade de seis e PES um do lado da operadores e cinco para mim cliente né então eu poderia fazer aqui um Range aipim colocando desse Range que é o operadora te entregou né no nosso caso ali o 10. 200 um ponto um e eu vou colocar aqui ó até o 10.

200 1. 5 então fazendo isso vou colocar aqui a IP ou então quando eu faço isso meu ai people com Range né E aí eu tenho que colocar o Range ali da minha interface de saída veja que eu vou maximizar a quantidade de saídas de IP que eu tenho então lá na minha filepolis eu posso vir aqui ó e use dynamique aí people e selecionar esse Apple que eu criei que vai do ip101. 1 até o 10 2001 5 que é o Range igual tá na minha parte 1 lembre-se sempre que quando foi esse formato de sars Nat né uma saída para internet você utilize o Range que tá ali da sua operadora tá então aqui ó eu colocando o meu aí pipo aqui dentro Eu tenho a possibilidade de usar o ip10 2001 um dois ou três ou quatro e o cinco né E aí o que que acontece veja que a gente tinha uma limitação de portas né a gente falou que a limitação era 64.

512 portas só que como eu tô utilizando cinco IP isso aqui eu vou fazer vezes cinco Então na verdade eu tenho ali quantidade de 322. 560 portas a partir desse momento e como que vai fazer isso as comunicações internas vão passar a utilizar esses cinco Ipês que eu tenho então uma comunicação pode sair por IP a outra por outro IP é a outra por outro IP a outra por outra IP e ele vai fazendo essa rotação de utilizando todos os IPS que tem dentro ali daquele range e com isso é o maximiza a quantidade de Ipês tá então isso é um método bem eficaz para quando eu tenho aí um problema de exaustão de Nati né então eu tô consumindo muitas portas eu posso maximizar claro que eu dependo de ter um Range maior de bem público tá agora se eu vim aqui no meu IPO e utilizar o formato de One o nosso forte Gate ele vai atribuir o endereço de IP a um roxo interno por ordem de chegada então o que que é isso eu vou ter meu update e eu voltei ali meu IP público ou um Range de ipú público né Vamos fazer o nosso cenário que nós estamos utilizando cinco ali quando eu vi uma máquina interna e ela for sair para internet e ela sair pelo esse primeiro Ipê Público aqui o nosso ponto 1 ela vai vincular todo esse P para essa máquina Então vamos supor que aqui a nossa máquina 001. 10 tá saindo ali pelo nosso IP 10200 1.

1 nenhuma outra máquina do meu ambiente vai utilizar mais esse IP esse IP fica vinculado dessa máquina a próxima máquina A10 01. 11 saiu pelo hiper. 2 ela vai ficar vinculada esse P então nenhuma outra máquina vai sair com esse outro IP Então nesse formato eu sempre vou vincular um Ipê interno para um IP publico então quando esse pentear aqui parar de utilizar a internet aquele P volta para o Range aí se o tripé do meio ambiente 10 1.

12 Força aí ele pode pegar aquele pay para ele mas um equipamento vai sair por vez sempre tá nesse formato de one two one outro formato que nós temos é o formato de fixa de porte Range esse formato veja o que eu coloco uma quantidade de peso externo Mas eu também coloco uma quantidade de peso internos isso também nos ajuda a diminuir a exaustão de Nati porque quando eu uso esse formato de fixar de porte range eu posso melhorar minha limitação de Nati por exemplo como eu vou colocar a quantidade de peso internos que eu vou ter Imagine que eu tenho ali um IP publico apenas o fixado de porte ele vai pegar a quantidade do Range que eu criei internamente e ele vai fazer um cálculo para esse único IP publico e ele vai determinar quantas portas cada um pode utilizar Então imagina assim que eu tenho um IP publico no nosso formato lá de 64. 512 portas né e vem aqui dentro sem hosts se nesse Range fixo eu tenho 100hosts dentro dessa dessa Range fixado ele vai saber que ele vai ter que dar uma quantidade de 645 portas para cada um mais ou menos então todo mundo dentro do ambiente vai ter mais ou menos a mesma quantidade de portas para sair para internet então isso me ajuda também fazer o meu formato ali de recurso focado em CGN né então só para a gente colocar que essas partes de fixa de porte range e também que nós vamos ver de porte blog a location é muito utilizado por operadora para fazer um formato de CGN tá CGN é uma forma de eu conseguir utilizar o mesmo IP em várias residências ao mesmo tempo por exemplo né quando a gente fala de operadora ali ela geralmente entrega para as residências dois formato de IP e peixes compartilhados que é esse formato CGN que antigamente era muito e peixe dinâmicos né Cada vez na casa daquela pessoa tava com IP diferente e hoje eles usam esse formato de CGN compartilhado e também é eu uso formatos de IP fixo que geralmente são empresas que contratam né eu aqui na minha residência Eu tenho um IP fixo para não trocar esse P1 que eu pago um pouco mais caro para isso né então é assim que funciona quando a gente tem CGN e é muito utilizado esse recurso na operadora esse formato de fixado de porte Range tá outro método que eu tenho é o formato de port Block alocation portblocke location também é muito utilizado aí no formato de CGN por operadoras geralmente operadoras utilizam esses dois formatos né esse formato vai oferecer a nós administradores uma maneira mais flexível de controlar a locação de porta do usuário para o Nat né então ao contrário do ipau utilizando fixa que você define a faixa de endereço interno e externo nessa parte de colocação de bloco de porta a gente vai definir apenas a faixa de endereço e bem externo Então você também tem que indicar ali nesse formato o tamanho da porta de bloco né o número de blocos de que o fortgate é loca para aquele host né É aquele endereço IP de origem então isso eu consigo também fazer a limitação com essas informações do tamanho das blocos de portas que cada um vai utilizar E aí eu consigo limitar o número de blocos de portas e configurar ali o pude aipis evitando assim O esgotamento dessas portas causadas por poucos hosts tá então também é bem utilizado ali por operadora e eles conseguem fazer essas limitações para que esse P que vai ser utilizado por o mesmo IP por vários localidades consumam a quantidade de portas limitadas para essa conexão então vejam que é muito tranquilo trabalhar com Nati nesse formato de Police é simplesmente habilitar o Nat aqui ou não falasse o IP que ele vai fazer o Nacho é o IP diretamente que está na porta ali no nosso caso na porta um seria esse ponto um ou usar esses quatro formatos que eu falei para vocês já Pipo então eu adiciono aqui e ele vai usar um desses formatos que eu criei dentro de aipibu para essa comunicação acontecer tá quando eu falo do formato de Destination Nate né de denatti para fazer essa comunicação funcionar eu vou colocar mais um elemento aqui na nossa topologia então nós temos Nossa Máquina Linux aqui com o IP 1001. 10 aí nós temos o nosso forte Gate aqui no meio do caminho com o IP 1001.

254 internamente e nós fomos utilizar ali a nossa porte i e tem o IP 10200. 1. 1 depois disso nós vamos ter a nossa operadora aqui SP né a gente não vai ver que vocês não vão ver essa configuração tá pronta aqui no meu laboratório e essa operadora a gente tem ali uma outra rede falando com outro ambiente que é o 10.

200 3. 1 esse cara esse outro forte Gate vai ter a rede interna aqui aqui vai ter o IP 1002. 254 e ele vai ter uma outra máquina aqui que vai ser a 10 0 2.

10 que a nossa maquininha do outro lado então eu quero fazer a publicação de algo interno aqui para a internet e eu quero que a máquina nessa outra rede consiga acessar via Ipê Público aqui no nosso cenário isso aqui é o nosso Ipê público né então vamos lá para fazer essa configuração bom pessoal para criar o nosso Vip nós vamos vir aqui em virtual Ipês E aí depois nós vamos dar um Create New né O que que é o nosso Vip é o nosso denate né o nosso destinationante a nossa publicação para internet então vou colocar um nome para esse Nacho acontecer vou colocar aqui vip e sfw o que que é o isfw é um outro forte Gate que eu coloquei dentro do ambiente aqui tô chamando ele de forte gay de segmentação interna né interna ou segmento Fire E aí ele vai ser um IP que tá dentro da nossa rede 10- ali só para a gente fazer esse Vip acontecer só para a gente fazer essa publicação acontecer Então qual é o IP externo vai vindo 10. 200. 1.

1 que é o meu IP publico esse nosso Fire interno tá com Ipê 1001 200 e aqui vejam que eu posso ter um opcional de portas né então posso filtrar por um IP de origem específico então que vai vir ali da internet eu posso filtrar por um serviço específico também eu quero usar só a porta 80 Pode só conectar nessa comunicação na porta 80 né mas eu também tenho uma opção que chama porta forwarding que nós vamos utilizá-la porque o meu ip10 2001 ele já está publicado pra internet o meu fortgate é uma pessoa pode acessar o da internet uma coisa que eu não recomendo tá no ambiente de produção para acessar o forte Gate acessa VPN E aí você acessa via Ipê Privado não deixa seu update de produção publicado pra internet é um risco gravíssimo para o ambiente Tá bom então publicação do nunca publica a gerência dele porque qualquer atacante pode chegar nas no seu ambiente se ele tiver ali publicado para internet tá então o nosso ambiente ele está publicado pelo acessar ele de fora tá mas aí eu quero acessar esse outro forte Gate aqui internamente Só que essa porta já está utilizando a 443 para essa função então vou fazer um portfó Word o que que eu vou fazer aqui ó se vindo IP 102 2001 na porta 10443 eu quero que mande para o IP 10 0 1 200 na porta 443 na minha porta de https OK depois disso eu vou criar minha firew Police Então vou vir firew Police kraine vou falar que vai ser o meu vip e essa fw que é a porta de origem é a parte 1 com a porta de destino a minha parte três que é a origem qualquer IP porque vai vir da internet eu não sei quem é que tá vindo né mas eu poderia limitar para um IP específico essa publicação é um parceiro de negócio é um terceiro que serviço eu poderia publicar só para o IP público daquele parceiro né mas é que eu vou falar que pode vir de qualquer lugar da internet o destino é o meu Vip aqui eu vou colocar o serviço poderia limitar também pelas duas portas que eu estou conversando a 10443 e a443 mas vou por algo aqui só para não ter que criar serviço a gente já viu como que cria né e o Nat aqui desabilitado porque desabilitado porque o Destination está acontecendo aqui em cima ó quando vindo 10. 2001 é para mandar por na porta 10443 é para mandar para o 10 0 1 200 na porta 443 tá então vou dar um OK pra gente ver essa comunicação acontecendo eu vou ter que adicionar novos elementos a nossa topologia Então eu quero que ele saia por esse IP público passe pela operadora e venha para esse outro hiper Público aqui e consiga chegar em um novo Fire que nós adicionamos aqui dentro chamado e sfw e ele tem o IP 1001 200 Então essa vai ser a comunicação Vou acessar essa máquina ali no Quiz aqui e vou tentar acessar esse file aqui dentro da rede através desse IP publico vamos lá bom tô na minha outra máquina vou dar aqui um Ipa para a gente ver o IP que tem nela ou 1002. 10 né então ele tá nessa rede 1002 na rede diferente daquela nossa 10 01 né e eu vou colocar aqui https://10 1.

1 na porta 10443 quando eu faço isso ó veja que eu tô abrindo aqui um dispositivo e eu vou colocar aqui o usuário e senha do meu dispositivo e veja que eu tô acessando um outro forte Gate no ambiente que esse outro forte Gate vamos vir na nossa networking interface a gente já tá vendo o nome dele aqui em cima e sfw ele tem o IP 1001 200 então ele tá lá naquela 1001 200 e a gente consegue acessar ele pela internet né no nosso cenário ali a gente tá numa outra rede diferente temos a nossa Internet service provar dele no meio e consegue chegar aqui através daquele IP público né Então veja que seu digitar aqui https://10. 200 1. 1 eu vou chegar apenas no meu fortgate local ali né No fortgate que a gente já estava utilizando para aquela configuração então aqui tá o meu fortgate local Police Fire Police veja que eu tenho ali a minha publicação do meu isfw né E aí quando eu coloco esse mesmo IP na porta 10443 como ele está utilizando aqui o nosso Vip ele manda dar 10.

200 1.