intoview.aiشبكات · أمن · سحابة · ذكاء اصطناعي
ترجمة العناوين NAT0%
ترجمة العناوين (NAT)خاص / Privateعام / Publicمضيف داخلي10.0.0.5FortiGateخادم203.0.113.50NATsrc 10.0.0.5src 203.0.113.1الـ NAT يبدّل عنوان المصدر الخاص بعنوان عام عند الخروج
فهم الـ NAT في FortiGate: SNAT و DNAT و IP Pools

الـ NAT شغلته إنه يعيد كتابة الـ IP أو الـ port على الباكت وهي ماشية. على الـ FortiGate بتفرّق بين Source NAT للترافيك الطالع لبرّه و Destination NAT للترافيك الجاي من برّه على سيرفر داخلي. الموضوع كله بيتعمل من الـ firewall policy أو من الـ Central NAT tables حسب الـ NAT mode اللي مفعّله.

  • 1الـ Source NAT (SNAT) للترافيك الطالع: لما تفعّل NAT على الـ firewall policy، الـ FortiGate افتراضياً بيترجم الـ source IP لـ IP الـ outgoing interface مع تغيير الـ port (ده اسمه overload أو PAT)، أو ممكن تختار IP Pool بدل عنوان الانترفيس.
  • 2الـ Destination NAT (DNAT) بيتعمل بالـ Virtual IP (VIP): الـ VIP بيـmap عنوان/port خارجي لسيرفر داخلي (port forwarding). الـ VIP بيتحط كـ destination في الـ firewall policy، والـ FortiGate بيعمل الترجمة العكسية أوتوماتيك من غير ما تكتبها.
  • 3في وضعين للـ NAT: الافتراضي هو Firewall-policy NAT يعني كل سياسة بتحمل إعداد الـ NAT بتاعها لوحدها (NAT enable و IP Pool و VIP كـ destination)؛ والتاني Central NAT بيفصل الموضوع في جداول مستقلة: Central SNAT policy table لترجمة المصدر و DNAT/VIP table للوجهة.
  • 4أنواع الـ IP Pool أربعة: overload (عدة عناوين داخلية بتتشارك عنوان واحد بالـ PAT)، one-to-one (ترجمة عنوان مقابل عنوان بدون port translation)، fixed-port-range (يحافظ على نطاق ports ثابت ويربطه بمدى داخلي)، و port-block-allocation (PBA يخصص بلوك ports لكل عميل داخلي مفيد للـ logging والـ CGN).
  • 5في الـ one-to-one الـ source ports ما بتتغيّرش لأن كل عنوان داخلي بياخد عنوان خارجي مخصص له؛ لكن انتبه إن الـ IP Pool لوحده بيعمل SNAT بس، الترافيك الجاي من برّه لسيرفر داخلي لازم له VIP عشان يشتغل DNAT.
🖥️محاكاة واجهة FortiGate (تفاعلية)
واجهة تعليمية مستوحاة من شكل FortiOS — جرّب الأزرار والحقول.
HQ-FGT
+ Add Widget🔍admin ▾
📊Dashboard
🌐Network
🛡️Policy & Objects
🔒Security Profiles
🔑VPN
👥User & Auth
📈Log & Report
⚙️System
IPv4 Policy
NameFromToServiceActionNAT
LAN-to-WANport2port1ALL✓ ACCEPT🟢
Block-Telnetport2port1TELNET⊘ DENY
Implicit DenyanyanyALL⊘ DENY
السياسات تُطابَق من أعلى لأسفل — جرّب «Create New» وأضف سياسة.

SNAT مقابل DNAT

SNAT (المصدر)
  • اتجاه صادر
  • يعدّل source IP
  • يستخدم IP Pool
  • إخفاء الشبكة الداخلية
DNAT / VIP (الوجهة)
  • اتجاه وارد
  • يعدّل destination IP
  • يُعرَّف عبر VIP
  • نشر خادم داخلي
🔎تفاصيل أعمق
  • أنواع الـ IP Pool تشمل overload (PAT لعدة مستخدمين خلف IP واحد) و one-to-one (تعيين ثابت 1:1 بدون مشاركة port).
  • الـ Central NAT يفصل قواعد الـ NAT عن قواعد الـ firewall في جدول مستقل، بينما policy NAT يدمج الـ NAT داخل كل firewall policy.
  • الـ VIP يُستخدم كـ destination داخل الـ firewall policy لعمل DNAT، ويُطبَّق قبل تقييم الـ routing لذا تُكتب الوجهة بالـ external IP.
⌨️معمل CLI تفاعلي
اختر مهمة، اكتب الأوامر بنفسك وشاهد النتيجة — أو اضغط «نفّذ التالي».
📖 شرح المهمة والأوامر
اربط الـ VIP كـ dstaddr في سياسة جدار الحماية لتفعيله.
  • config firewall vipالدخول إلى قسم الإعداد
  • edit "web-vip"إنشاء/تعديل كائن
  • set extip 203.0.113.10ضبط قيمة إعداد
  • set mappedip 10.0.1.20ضبط قيمة إعداد
  • set extintf "port1"ضبط قيمة إعداد
  • set portforward enableضبط قيمة إعداد
  • set protocol tcpضبط قيمة إعداد
  • set extport 443ضبط قيمة إعداد
  • set mappedport 443ضبط قيمة إعداد
  • nextحفظ الكائن والعودة
  • endحفظ والخروج من القسم
FGT-LAB-01 — FortiOS CLI
# المهمة: Virtual IP لإعادة توجيه المنفذ (DNAT)
FGT-LAB-01 #
0/11
أوامر تحقّق من التشغيل (اضغط للتشغيل فورًا):
اربط الـ VIP كـ dstaddr في سياسة جدار الحماية لتفعيله.

مسار SNAT الصادر

💻
مضيف LAN
🛡️
FortiGate
🔁
تبديل source IP
🌐
الإنترنت
💡 نصيحة مقابلة: 💡 سؤال شائع في الانترفيو: "إزاي تعمل publish لسيرفر داخلي على عنوان عام؟" الإجابة الصح: تعمل VIP يربط الـ external IP/port بالـ internal IP/port وتستخدمه كـ destination في الـ firewall policy — مش IP Pool، لأن الـ IP Pool للـ SNAT بس.