Zyxel Firewall NAT – jak nakonfigurovat překlad síťových adres (NAT) 1:1 na firewallu Zyxel řady USG Flex H

Vytvořeno - Aktualizováno
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Máte další otázky? Odeslat požadavek

Důležité upozornění:
Vážený zákazníku, upozorňujeme, že k poskytování článků ve vašem místním jazyce používáme strojový překlad. Ne všechny texty mohou být přeloženy přesně. Máte-li dotazy nebo zjistíte nesrovnalosti ohledně přesnosti informací v přeložené verzi, přečtěte si prosím původní článek zde:Původní verze

Tento průvodce ukazuje, jak pomocí řady USG FLEX H nakonfigurovat bezpečný přístup k internímu serveru za zařízením USG FLEX H pomocí překladu síťových adres (NAT). Uživatelé internetu se k tomuto serveru mohou připojit přímo přes jeho veřejnou IP adresu a pravidlo mapování NAT

1:1 NAT (Network Address Translation) je síťová technika, která přímo mapuje jednu externí veřejnou IP adresu na jednu interní soukromou IP adresu. Tato metoda zajišťuje kompatibilitu s určitými aplikacemi a implementuje přesnou kontrolu přístupu na základě IP adresy.

V tomto článku najdete podrobné vysvětlení toho, jak 1:1 NAT funguje, a jeho výhody. Příklady z praxe ilustrují jeho praktické využití, jako je hostování webových serverů, umožnění služeb vzdálené plochy, nastavení připojení VPN a podpora herních serverů. Každý příklad ukazuje, jak může 1:1 NAT zjednodušit správu sítě a zvýšit bezpečnost tím, že umožňuje přímý přístup k interním zdrojům. Ať už jste IT profesionál nebo správce sítě, tento článek vám poskytne cenné informace o efektivním využití 1:1 NAT v různých scénářích.

Klíčové vlastnosti 1:1 NAT:

  • Přímé mapování: Propojuje veřejnou IP adresu s privátní IP adresou.
  • Konkrétní příklady použití: Ideální pro situace, kdy je potřeba přímé propojení mezi externí a interní IP adresou.
  • Překlad zdrojových síťových adres (SNAT): Změní zdrojovou IP adresu odchozího provozu na veřejnou IP adresu.

Kdy použít 1:1 NAT s příklady z praxe:

  1.  

    Hostingové servery:

     

    • Webový server: Pokud má vaše organizace webový server s privátní IP adresou 192.168.1.10, můžete jej namapovat na veřejnou IP adresu, například 203.0.113.10. Externí uživatelé mohou přistupovat k vašemu webu pomocí veřejné IP adresy, zatímco server zůstává v privátní síti.
    • Poštovní server: Poštovní server s privátní IP adresou 192.168.1.20 lze namapovat na veřejnou IP adresu 203.0.113.20. To umožňuje uživatelům odesílat a přijímat e-maily pomocí veřejné IP adresy.
    • FTP server: K FTP serveru s privátní IP adresou 192.168.1.30 lze přistupovat přes veřejnou IP adresu 203.0.113.30, což umožňuje externím uživatelům nahrávat a stahovat soubory.

     

  2.  

    Kompatibilita aplikací:

     

    • Systém VoIP: Některé systémy VoIP vyžadují statické veřejné IP adresy pro spolehlivou komunikaci. Například server VoIP s privátní IP adresou 192.168.1.40 lze namapovat na veřejnou IP adresu 203.0.113.40, aby byla zajištěna plynulá hlasová komunikace.
    • Server pro online hry: Serveru pro online hry s privátní IP adresou 192.168.1.50 lze přiřadit veřejnou IP adresu 203.0.113.50, aby se hráči z celého světa mohli připojovat pomocí konzistentní IP adresy.

     

  3.  

    Řízení přístupu na základě IP adresy:

     

    • Bezpečnostní kamery: Organizace může použít 1:1 NAT k umožnění vzdáleného přístupu k bezpečnostním kamerám. Kamerový systém s privátní IP adresou 192.168.1.60 lze namapovat na veřejnou IP adresu 203.0.113.60, což umožňuje vzdálené monitorování při současném uplatnění specifických pravidel přístupu.
    • Systémy přístupu do budov: U systémů řídících přístup do budov, jako jsou čtečky karet, lze zařízení s privátní IP adresou 192.168.1.70 namapovat na veřejnou IP adresu 203.0.113.70. To umožňuje správcům spravovat přístup na dálku při zachování zásad bezpečného přístupu.

     

Stručně řečeno, 1:1 NAT je užitečné pro přímé mapování externích veřejných IP adres na interní soukromé IP adresy, zajištění kompatibility určitých aplikací a implementaci řízení přístupu na základě IP adres. Tyto příklady z praxe ukazují, jak mohou různé servery a systémy těžit z 1:1 NAT.

V tomto příkladu nakonfigurujeme přístup k poštovnímu serveru z WAN pomocí veřejné IP adresy

Nastavte NAT na USG FLEX H 
 Konfigurace > Síť > NAT a vytvořte nové pravidlo kliknutím na tlačítko „Přidat“

Poté můžete vyplnit všechna povinná pole.

  • Povolte pravidlo NAT
  • Zadejte název, který vystihuje podstatu pravidla
  • Jako typ mapování portů vyberte „1:1 NAT
  • Příchozí rozhraní na WAN
  • Zdrojová IP adresa: libovolná
  • Externí IP – použijte svou externí IP
  • Interní IP – zadejte IP adresu, ke které je vyžadován přístup
  • Typ mapování portů – záleží na tom, co děláte (Libovolná – veškerý provoz bude přesměrován, Služba – vyberte objekt služby (protokol), Skupina služeb – vyberte objekt skupiny služeb (skupinu protokolů), Port – vyberte port, který je třeba přesměrovat, Porty – vyberte rozsah portů, které je třeba přesměrovat) 
  • Povolit NAT loopback
  • Použít všechny změny

NAT loopback se používá uvnitř sítě k dosažení interního serveru pomocí veřejné IP adresy. Zkontrolujte, zda je NAT loopback povolen, a klikněte na OK (umožňuje uživatelům připojeným k jakémukoli rozhraní používat také pravidlo NAT)

Nastavení bezpečnostní politiky na USG FLEX H

V tomto příkladu nakonfigurujeme přístup k našemu webovému serveru z WAN

Zásady zabezpečení > Řízení zásad a vytvořte nové pravidlo kliknutím na tlačítko „Přidat“

Poté můžete vyplnit všechna povinná pole.

  • Povolit zásadu
  • Zadejte název, který vystihuje podstatu pravidla
  • Od – WAN
  • Do – LAN
  • Zdroj – Libovolný
  • Cíl – podsít LAN, ve které se nachází váš server (v tomto příkladu LAN_SUBNET_GE3), nebovyberte objekt vytvořený v předchozím kroku
  • Služba – HTTPS
  • Uživatel – libovolný
  • Akce – povolit
  • Použít všechny změny

 

Řešení problémů s konfigurací NAT 1:1

  • Ověřte pravidla NAT: Zkontrolujte, zda jsou pravidla 1:1 NAT správně nakonfigurována, a ujistěte se, že interní IP adresa vašeho poštovního serveru je správně namapována na správnou veřejnou IP adresu.

  • Pravidla brány firewall: Ujistěte se, že jsou pravidla brány firewall nastavena tak, aby povolovala provoz na potřebných portech (např. port 443 pro HTTPS).

  • Protokoly a diagnostika: Pravidelně sledujte protokoly brány firewall a pomocí diagnostických nástrojů kontrolujte tok provozu. To může pomoci rychle identifikovat a vyřešit problémy.

  • Ujistěte se, že jsou všechny veřejné IP adresy správně směrovány. Chcete-li to ověřit, přiřaďte každou veřejnou IP adresu jednotlivě k portu WAN řady USG FLEX H.

  • Otestujte přístup k internetu pomocí každé veřejné IP adresy, abyste se ujistili, že funguje správně.

  • Obraťte se na svého poskytovatele internetových služeb a ujistěte se, že směrování vašich veřejných IP adres je správně nakonfigurováno a aktivní.

Články v tomto oddílu

Byl pro vás tento článek užitečný?
Počet uživatelů, kteří toto označili za užitečné: 0 z 0
Sdílet

Komentáře

0 komentářů

Prosím přihlaste se, abyste mohli napsat komentář.