Zyxel Firewall: Пренасочване на портове и NAT – Конфигуриране на пренасочването на портове на виртуален сървър на USG / USG FLEX / ATP / VPN

Създаден - Обновено
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Имате още въпроси? Подаване на заявка

Важно съобщение:
Уважаеми клиенти, моля, имайте предвид, че използваме машинен превод, за да ви предоставим статии на вашия местен език. Не целият текст може да бъде преведен точно. Ако имате въпроси или забележите неточности в преведената версия, моля, прегледайте оригиналната статия тук:Оригинална версия

Пренасочването на портове, известно още като пренасочване на портове на виртуален сървър, е мрежова техника, която пренасочва външен интернет трафик към определени устройства или услуги в рамките на локална мрежа. Тази техника позволява на външни устройства да взаимодействат с конкретно устройство или услуга в частна мрежа, като свързва външен порт с вътрешен IP адрес и порт.

Виртуален сървър (пренасочване на портове)

Характеристики на виртуалния сървър:

  • Свързва конкретни външни портове с конкретни вътрешни портове.
  • Полезен за достъп до различни услуги (като уеб, имейл, FTP) на един и същ публичен IP адрес.
  • Не променя изходния IP адрес на входящия трафик (без SNAT).

Конфигуриране на виртуален сървър (пренасочване на портове)

Виртуалният сървър се използва най-често, когато искате да направите вътрешния сървър достъпен за публична мрежа извън устройството Zyxel. На видеото по линка можете да видите как се извършва конфигурацията на предишната версия на защитната стена. Интерфейсът е различен, но процесът на конфигуриране не се е променил много.
Нека създадем правило за виртуален сървър (пренасочване на портове)
  • Влезте в уеб интерфейса на устройството
  • Отидете в 
Конфигурация > Мрежа > NAT
  • Създайте ново правило, като кликнете върху бутона „Добави“
  • Посочете име на правилото
  • Изберете типа на портното съответствие „Виртуален сървър“

Правило за пренасочване за виртуален сървър (обяснение)

Входящ интерфейс – интерфейсът, от който идва трафикът
Изходен IP – откъдесе свързват потребителите (например, доверен IP)
Външен IP –IP адресътна WAN интерфейса
Вътрешен IP –IP адресътна сървъра, към който искате да пренасочите портовете
  • Изберете входящия интерфейс „wan“
  • Източник IP на „any“

Възможно е ръчно да зададете външния и вътрешния IP адрес. Въпреки това, силно препоръчваме да използвате обекти за тази цел. Освен това, при създаването на допълнителни политики за сигурност, този подход ще бъде необходим. Създаването на обекти за NAT правила опростява управлението, подобрява четимостта, намалява сложността, подобрява прилагането на политиките, позволява повторна употреба и мащабируемост, опростява архивирането и възстановяването и минимизира грешките.

За да създадете обект за външния и вътрешния интерфейс, моля изберете опцията „Създаване на нов обект“, намираща се в горния ляв ъгъл на същия формуляр.

Създайте два обекта„Адрес“с тип„IP на интерфейс“ и„Хост“, дайте ясно име на обекта и посочете в единия обект адреса на външния ви интерфейс, а във втория – локалния адрес на вашето NSA устройство.

Тип на пренасочване на портове (обяснение)

any - целияттрафик ще бъде препратен

Услуга - Изберетеобект на услуга (протокол)

Група услуги - Изберетеобект от типа „група услуги“ (група протоколи)

Порт - Изберете порт, който трябва да бъде пренасочен

Портове - Изберете диапазон от портове, които трябва да бъдат пренасочени

  • Външен и вътрешен IP адрес – изберете предварително създадените обекти

  • Тип на пренасочване на портове - посочете „Порт“

  • Тип протокол - „any“

  • Външните и вътрешните портове в нашия пример са еднакви

 

Забележка:

  • Външният порт е портът, който външният потребител използва, за да достигне до защитната стена в WAN
  • Вътрешният порт е портът, който се препраща вътрешно в LAN
  • Това може да бъде както преобразуване 1:1 (порт 443 към 443), така и например порт 4433 към 443

NAT loopback

NAT loopback се използва вътре в мрежата, за да се достигне до вътрешния сървър чрез публичния IP адрес. Проверете дали NAT loopback е активиран и кликнете OK (позволява на потребителите, свързани към всеки интерфейс, да използват и NAT правилото)

Добавете правило за защитна стена, за да разрешите NAT (пренасочване на портове)

Забележка! Трябва да разрешите вътрешния порт, а не външния. Тъй като именно вътрешният порт се препраща към LAN интерфейса на вашата защитна стена и трябва да бъде разрешен. 

  • Отидете в 
Конфигурация > Политика за сигурност > Контрол на политиката

  • Създайте ново правило, като кликнете върху бутона „Добави“

  • Посочете име на правилото

  • В полето „От“ задайте„WAN“

  • В полето „Към“ задайте „LAN“

  • В полето „Дестинация“ изберете предварително създаден обект „NAS_IP“

  • Услуга

Трябва да създадем обект „Услуга“ за порт 50000. В прозореца за създаване на политика за сигурност кликнете върху „Създаване на нов обект“ в горния десен ъгъл.

Забележка: Обект може да бъде създаден и извън формуляр. За да намерите раздела, съдържащ всички обекти, отидете в 
Конфигурация > Обект > Услуга
  • В полето „Действие“ задайте „разреши“
  • Натиснете „ОК“

Отворете браузър и въведете WAN IP адреса на вашия USG и конфигурирания порт. Сега NAS се намира зад USG и е достъпен чрез пренасочване на портове.

Пример за нашия WAN IP https://[yourWAN-IP]:50000

 

 

Статии в този раздел

Вижте още
Беше ли полезна тази статия?
1 от 1 считат материала за полезен
Споделяне

Коментари

0 коментара

Влезте в услугата, за да оставите коментар.