Zyxel Firewall Port Forwarding [NAT] - Конфигуриране на виртуален сървър (Port Forwarding) на USG /USG FLEX/ATP/VPN

Създаден - Обновено
Serhii Boiarynov
Print Friendly and PDF
Имате още въпроси? Подаване на заявка

Важно известие:
Уважаеми клиенти, моля, имайте предвид, че използваме машинен превод, за да предоставяме статии на вашия местен език. Възможно е не всички текстове да бъдат преведени точно. Ако има въпроси или несъответствия относно точността на информацията в преведената версия, моля, прегледайте оригиналната статия тук: Оригинална версия

Пренасочването на портове, известно също като пренасочване на портове на виртуални сървъри, е мрежов метод, който насочва външния интернет трафик към определени устройства или услуги в рамките на локалната мрежа. Тази техника позволява на външни устройства да взаимодействат с определено устройство или услуга в частна мрежа чрез свързване на външен порт с вътрешен IP адрес и порт.

Виртуален сървър (пренасочване на портове)

Характеристики на виртуалния сървър:

  • Съпоставя определени външни портове с определени вътрешни портове.
  • Полезен за достъп до различни услуги (като уеб, електронна поща, FTP) на един и същ публичен IP адрес.
  • Не променя IP адреса на източника на входящия трафик (няма SNAT).

Конфигуриране на виртуален сървър (пренасочване на портове)

Виртуалният сървър се използва най-често и се използва, когато искате да направите вътрешния сървър достъпен за публична мрежа извън устройството Zyxel. На видеоклипа в линка можете да видите как се извършва конфигурирането в предишната версия на защитната стена. Интерфейсът е различен, но процесът на конфигуриране не се е променил много.
Нека създадем правилото за виртуален сървър (пренасочване на портове)
  • Влезте в WebGui на устройството
  • Навигирайте до 
Configuration > Network > NAT
  • Създайте ново правило, като щракнете върху бутона " Add" (Добавяне)
  • Посочете името на правилото
  • Изберете типа на съпоставяне на портовете на "Виртуален сървър"

Правило за картографиране за виртуален сървър (обяснение)

Входящ интерфейс - интерфейсът, от който идва трафикът
IP адрес на източника - откъдето се свързват потребителите (напр. доверени IP адреси)
Външен IP - IP адресът на WAN интерфейса
Вътрешен IP - IP адресът на сървъра, към който искате да препратите портовете
  • Изберете входящия интерфейс "wan".
  • Изберете IP адрес на източника за "any".

Възможно е ръчно да зададете външните и вътрешните IP адреси. Въпреки това силно препоръчваме да използвате обекти за тази цел. Освен това при създаването на допълнителни политики за сигурност този подход ще бъде необходим. Създаването на обекти за NAT правилата опростява управлението, подобрява четимостта, намалява сложността, подобрява прилагането на политиката, позволява повторна употреба и мащабируемост, опростява архивирането и връщането назад и свежда до минимум грешките.

За да създадете обект за външния и вътрешния интерфейс, изберете опцията "Create new object" (Създаване на нов обект), разположена в горния ляв ъгъл на същия формуляр.

Създайте два обекта "Address" (Адрес)с тип "Interface IP" (Интерфейс IP) и "Host" (Домакин), дайте ясно име на обекта и посочете в единия обект адреса на външния си интерфейс, а във второто правило - локалния адрес на вашето устройство NSA.

Тип на картографиране на портове (обяснение)

any -всичкияттрафик ще бъде препратен

Service (Услуга) - Изберете обект на услуга (протокол).

Service-Group (Група услуги) - Изберете обект от група услуги (група протоколи)

Port - Изберете порт, който трябва да бъде препратен

Портове - Изберете диапазон от портове, които трябва да бъдат препратени

  • Външни и вътрешни IP адреси - изберете предварително създадените обекти

  • Тип на картографиране на портове посочете "Port" (Порт)

  • Протокол Тип на "any"

  • Външните и вътрешните портове в нашия пример са едни и същи

Забележка:

  • Външният порт е портът, който външният потребител използва, за да се свърже със защитната стена на WAN.
  • Вътрешният порт е портът, който се пренасочва вътрешно в LAN
  • Това може да бъде превод 1:1 (от порт 443 към 443) или от порт 4433 към 443, например

Връзка на NAT

NAT loopback се използва вътре в мрежата за достигане до вътрешния сървър чрез публичния IP адрес. Проверете дали е активирана обратната връзка на NAT и щракнете върху OK (позволява на потребителите, свързани към който и да е интерфейс, също да използват правилото за NAT).

Добавете правило за защитна стена, за да разрешите NAT (пренасочване на портове)

Забележка! Трябва да разрешите вътрешния порт, а не външния порт. Защото именно вътрешният порт се препраща към LAN интерфейса на защитната стена и трябва да бъде разрешен.

  • Навигирайте до 
Конфигурация > Политика за сигурност > Контрол на политиката

  • Създайте ново правило, като щракнете върху бутона " Добавяне ".

  • Посочете името на правилото

  • В полето " От" задайте "WAN".

  • В полето "Към" задайте " LAN".

  • В полето "Дестинация " изберете предварително създаден обект "NAS_IP"

  • Услуга

Трябва да създадем обект за услуга за порт 50000. В прозореца за създаване на политика за сигурност щракнете върху "Create a new object" (Създаване на нов обект ) в горния десен ъгъл.

Забележка: Обектът може да бъде създаден и извън формата.Зада намерите раздела, съдържащ всички обекти, отидете в
Configuration > Object > Service
  • В полето " Action" (Действие) задайте " "allow" (Разреши)
  • Натиснете "Ok"

Отворете браузър и въведете WAN IP адреса на вашето USG и конфигурирания порт. Сега NAS се намира зад USG и е достъпен чрез пренасочване на портове.

Пример за нашия WAN IP https://[yourWAN-IP]:50000

Статии в този раздел

Вижте още
Беше ли полезна тази статия?
0 от 0 считат материала за полезен
Споделяне