Zyxel Firewall NAT – как да настроите NAT 1 към 1 (преобразуване на мрежови адреси) на защитната стена Zyxel USG Flex H Series

Създаден - Обновено
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Имате още въпроси? Подаване на заявка

Важно съобщение:
Уважаеми клиенти, моля, имайте предвид, че използваме машинен превод, за да ви предоставим статии на вашия местен език. Не целият текст може да бъде преведен точно. Ако имате въпроси или забележите неточности в преведената версия, моля, прегледайте оригиналната статия тук:Оригинална версия

Това ръководство показва как да използвате серията USG FLEX H, за да конфигурирате сигурен достъп до вътрешен сървър зад USG FLEX H, като използвате преобразуване на мрежови адреси (NAT). Интернет потребителите могат да достигнат този сървър директно чрез неговия публичен IP адрес и правило за NAT мапиране

1:1 NAT (преобразуване на мрежови адреси) е мрежова техника, която директно съпоставя един външен публичен IP адрес с един вътрешен частен IP адрес. Този метод осигурява съвместимост с определени приложения и реализира прецизен контрол на достъпа на базата на IP адреси.

В тази статия ще намерите подробни обяснения за това как работи 1:1 NAT и какви са ползите от него. Примери от реалния свят илюстрират практическото му приложение, като хостинг на уеб сървъри, активиране на услуги за отдалечен работен плот, настройка на VPN връзки и поддръжка на сървъри за игри. Всеки пример демонстрира как 1:1 NAT може да опрости управлението на мрежата и да подобри сигурността, като позволява директен достъп до вътрешни ресурси. Независимо дали сте ИТ специалист или мрежов администратор, тази статия ще ви предостави ценна информация за ефективното използване на 1:1 NAT в различни сценарии.

Ключови характеристики на 1:1 NAT:

  • Директно съпоставяне: Свързва публичен IP адрес с частен IP адрес.
  • Конкретни случаи на употреба: Идеален за ситуации, в които е необходима пряка връзка между външен и вътрешен IP адрес.
  • Преобразуване на изходния мрежов адрес (SNAT): Променя изходния IP адрес на изходящия трафик към публичния IP адрес.

Кога да използвате 1:1 NAT с примери от реалния свят:

  1.  

    Хостинг сървъри:

     

    • Уеб сървър: Ако вашата организация разполага с уеб сървър с частен IP адрес 192.168.1.10, можете да го пренасочите към публичен IP адрес, например 203.0.113.10. Външни потребители могат да имат достъп до вашия уебсайт, използвайки публичния IP адрес, докато сървърът остава в частната мрежа.
    • Пощенски сървър: Пощенски сървър с частен IP адрес 192.168.1.20 може да бъде пренасочен към публичен IP адрес 203.0.113.20. Това позволява на потребителите да изпращат и получават имейли, използвайки публичния IP адрес.
    • FTP сървър: Достъп до FTP сървър с частен IP адрес 192.168.1.30 може да се осъществи чрез публичен IP адрес 203.0.113.30, което позволява на външни потребители да качват и изтеглят файлове.

     

  2.  

    Съвместимост на приложенията:

     

    • VoIP система: Някои VoIP системи изискват статични, публични IP адреси за надеждна комуникация. Например, VoIP сървър с частен IP адрес 192.168.1.40 може да бъде пренасочен към публичен IP адрес 203.0.113.40, за да се осигури безпроблемна гласова комуникация.
    • Сървър за онлайн игри: На сървър за онлайн игри с частен IP адрес 192.168.1.50 може да бъде присвоен публичен IP адрес 203.0.113.50, за да се позволи на геймъри от цял свят да се свързват, използвайки един и същ IP адрес.

     

  3.  

    Контрол на достъпа въз основа на IP:

     

    • Охранителни камери: Дадена организация може да използва 1:1 NAT, за да позволи отдалечен достъп до охранителни камери. Система от камери с частен IP адрес 192.168.1.60 може да бъде пренасочена към публичен IP адрес 203.0.113.60, което позволява отдалечено наблюдение при прилагане на конкретни правила за достъп.
    • Системи за достъп до сгради: За системи, контролиращи достъпа до сгради, като четци на карти, устройство с частен IP адрес 192.168.1.70 може да бъде пренасочено към публичен IP адрес 203.0.113.70. Това позволява на администраторите да управляват достъпа от разстояние, като същевременно поддържат политики за сигурен достъп.

     

В обобщение, 1:1 NAT е полезен за директно преобразуване на външни публични IP адреси към вътрешни частни IP адреси, осигуряване на съвместимост за определени приложения и внедряване на IP-базиран контрол на достъпа. Тези примери от реалния живот демонстрират как различни сървъри и системи могат да се възползват от 1:1 NAT.

В този пример ще конфигурираме достъпа до пощенския сървър от WAN, използвайки публичен IP

Настройте NAT на USG FLEX H 
 Конфигурация > Мрежа > NAT и създайте ново правило, като кликнете върху бутона „Добави“

След това можете да попълните всички задължителни полета.

  • Активирайте NAT правилото
  • Дайте име, което отразява същността на правилото
  • Изберете типа на портното съответствие „1:1 NAT
  • Входящ интерфейс към WAN
  • Изходен IP към Any
  • Външен IP - използвайте вашия външен IP
  • Вътрешен IP - посочете IP адреса, към който се изисква достъп
  • Тип на портното пренасочване – зависи от това, какво правите (Any – целият трафик ще бъде пренасочен, Service – изберете обект-услуга (протокол), Service-Group – изберете обект-група услуги (група протоколи), Port – изберете порт, който трябва да бъде пренасочен, Ports – изберете диапазон от портове, които трябва да бъдат пренасочени) 
  • Активиране на NAT loopback
  • Приложете всички промени

NAT loopback се използва вътре в мрежата, за да се достигне до вътрешния сървър чрез публичния IP. Проверете дали NAT loopback е активиран и кликнете OK (позволява на потребителите, свързани към всеки интерфейс, да използват и NAT правилото)

Настройте политиката за сигурност на USG FLEX H

В този пример ще конфигурираме достъпа до нашия уеб сървър от WAN

Политика за сигурност > Контрол на политиката и създайте ново правило, като кликнете върху бутона „Добави“

След това можете да попълните всички задължителни полета.

  • Активирайте политиката
  • Дайте име, което отразява същността на правилото
  • От - WAN
  • Към - LAN
  • Източник - Всякакъв
  • Дестинация - LAN подмрежата, в която се намира вашият сървър (LAN_SUBNET_GE3 в този пример) илиизберете обекта, създаден в предишната стъпка
  • Услуга - HTTPS
  • Потребител - Всеки
  • Действие - разреши
  • Приложи всички промени

 

Отстраняване на проблеми с конфигурацията на 1:1 NAT

  • Проверете правилата за NAT: Уверете се, че правилата за 1:1 NAT са конфигурирани правилно, като се уверите, че вътрешният IP адрес на вашия пощенски сървър е правилно свързан с правилния публичен IP адрес.

  • Правила на защитната стена: Уверете се, че правилата на защитната стена са настроени да позволяват трафик на необходимите портове (например порт 443 за HTTPS).

  • Логи и диагностика: Редовно следете логовете на защитната стена и използвайте диагностични инструменти, за да проверявате потока на трафика. Това може да ви помогне да идентифицирате и разрешите проблемите бързо.

  • Уверете се, че всички публични IP адреси са правилно маршрутизирани. За да проверите това, присвойте всеки публичен IP адрес индивидуално на WAN порта на USG FLEX H Series.

  • Тествайте достъпа до интернет, като използвате всеки публичен IP адрес, за да потвърдите, че функционира правилно.

  • Свържете се с вашия интернет доставчик, за да се уверите, че маршрутизацията за вашите публични IP адреси е правилно конфигурирана и активна.

Статии в този раздел

Беше ли полезна тази статия?
0 от 0 считат материала за полезен
Споделяне

Коментари

0 коментара

Влезте в услугата, за да оставите коментар.