Zyxel Firewall NAT – Sådan konfigureres 1-til-1-netværksadresseoversættelse (NAT) på Zyxel USG Flex H-serie-firewallen

Oprettet - Opdateret
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Har du flere spørgsmål? Indsend en anmodning

Vigtig meddelelse:
Kære kunde, vær opmærksom på, at vi bruger maskinoversættelse til at levere artikler på dit lokale sprog. Det er ikke sikkert, at al tekst er oversat korrekt. Hvis der er spørgsmål eller uoverensstemmelser vedrørende nøjagtigheden af oplysningerne i den oversatte version, bedes du læse den originale artikel her:Originalversion

Denne vejledning viser, hvordan du bruger USG FLEX H-serien til at konfigurere sikker adgang til en intern server bag USG FLEX H ved hjælp af Network Address Translation (NAT). Internetbrugere kan nå denne server direkte via dens offentlige IP-adresse, og en NAT-mappingsregel

1:1 NAT (Network Address Translation) er en netværksteknik, der direkte knytter en ekstern offentlig IP-adresse til en intern privat IP-adresse. Denne metode sikrer kompatibilitet med visse applikationer og implementerer præcis IP-baseret adgangskontrol.

I denne artikel finder du detaljerede forklaringer på, hvordan 1:1 NAT fungerer, og hvilke fordele det har. Eksempler fra virkeligheden illustrerer de praktiske anvendelser, såsom hosting af webservere, aktivering af fjernskrivebordstjenester, opsætning af VPN-forbindelser og understøttelse af spilservere. Hvert eksempel viser, hvordan 1:1 NAT kan forenkle netværksadministrationen og forbedre sikkerheden ved at give direkte adgang til interne ressourcer. Uanset om du er IT-professionel eller netværksadministrator, vil denne artikel give værdifuld indsigt i, hvordan du effektivt kan udnytte 1:1 NAT i forskellige scenarier.

Nøglefunktioner i 1:1 NAT:

  • Direkte kortlægning: Forbinder en offentlig IP-adresse med en privat IP-adresse.
  • Specifikke anvendelsestilfælde: Ideel til situationer, hvor der er behov for en direkte forbindelse mellem en ekstern og en intern IP-adresse.
  • Source Network Address Translation (SNAT): Ændrer kilde-IP'en for udgående trafik til den offentlige IP.

Hvornår skal man bruge 1:1 NAT med eksempler fra virkeligheden:

  1.  

    Hostingservere:

     

    • Webserver: Hvis din organisation har en webserver med en privat IP-adresse på 192.168.1.10, kan du kortlægge den til en offentlig IP-adresse som f.eks. 203.0.113.10. Eksterne brugere kan få adgang til din hjemmeside ved hjælp af den offentlige IP-adresse, mens serveren forbliver på det private netværk.
    • Mailserver: En mailserver med en privat IP-adresse på 192.168.1.20 kan kortlægges til en offentlig IP-adresse på 203.0.113.20. Dette giver brugerne mulighed for at sende og modtage e-mails ved hjælp af den offentlige IP-adresse.
    • FTP-server: En FTP-server med en privat IP-adresse på 192.168.1.30 kan tilgås via en offentlig IP-adresse på 203.0.113.30, hvilket gør det muligt for eksterne brugere at uploade og downloade filer.

     

  2.  

    Programkompatibilitet:

     

    • VoIP-system: Nogle VoIP-systemer kræver statiske, offentlige IP-adresser for pålidelig kommunikation. For eksempel kan en VoIP-server med en privat IP-adresse på 192.168.1.40 tilknyttes en offentlig IP-adresse på 203.0.113.40 for at sikre problemfri talekommunikation.
    • Online spilserver: En online spilserver med en privat IP-adresse på 192.168.1.50 kan tildeles en offentlig IP-adresse på 203.0.113.50, så spillere over hele verden kan oprette forbindelse ved hjælp af en fast IP-adresse.

     

  3.  

    IP-baseret adgangskontrol:

     

    • Overvågningskameraer: En organisation kan bruge 1:1 NAT til at give fjernadgang til overvågningskameraer. Et kamerasystem med en privat IP-adresse på 192.168.1.60 kan kortlægges til en offentlig IP-adresse på 203.0.113.60, hvilket muliggør fjernovervågning, samtidig med at der anvendes specifikke adgangsregler.
    • Adgangssystemer til bygninger: For systemer, der styrer adgangen til bygninger, såsom kortlæsere, kan en enhed med en privat IP-adresse på 192.168.1.70 kortlægges til en offentlig IP-adresse på 203.0.113.70. Dette giver administratorer mulighed for at administrere adgangen eksternt, samtidig med at sikre adgangsregler opretholdes.

     

Sammenfattende er 1:1 NAT nyttigt til direkte kortlægning af eksterne offentlige IP-adresser til interne private IP-adresser, hvilket sikrer kompatibilitet for visse applikationer og implementering af IP-baseret adgangskontrol. Disse eksempler fra den virkelige verden demonstrerer, hvordan forskellige servere og systemer kan drage fordel af 1:1 NAT.

I dette eksempel konfigurerer vi adgang til Mail Server fra WAN ved hjælp af offentlig IP

Konfigurer NAT på USG FLEX H- 
 Konfiguration > Netværk > NAT og opret en ny regel ved at klikke på knappen "Tilføj"

Derefter kan du udfylde alle obligatoriske felter.

  • Aktivér NAT-regel
  • Giv reglen et navn, der beskriver dens indhold
  • Vælg portmapping-typen "1:1 NAT"
  • Indgående grænseflade til WAN
  • Kilde-IP til Enhver
  • Ekstern IP – brug din eksterne IP
  • Intern IP - angiv den IP-adresse, der skal være adgang til
  • Portmappingstype – det afhænger af, hvad du laver (Any – al trafik videresendes, Service – vælg et serviceobjekt (et protokol), Service-Group – vælg et service-group-objekt (en gruppe af protokoller), Port – vælg en port, der skal videresendes, Ports – vælg et portinterval, der skal videresendes) 
  • Aktivér NAT-loopback
  • Anvend alle ændringer

NAT-loopback bruges internt i netværket til at nå den interne server ved hjælp af den offentlige IP. Kontroller, om NAT-loopback er aktiveret, og klik på OK (giver brugere, der er forbundet til en hvilken som helst grænseflade, mulighed for også at bruge NAT-reglen)

Konfigurer sikkerhedspolitikken på USG FLEX H

I dette eksempel konfigurerer vi adgang til vores webserver fra WAN

Sikkerhedspolitik > Politikstyring og opret en ny regel ved at klikke på knappen "Tilføj"

Derefter kan du udfylde alle obligatoriske felter.

  • Aktivér politik
  • Giv reglen et navn, der beskriver dens indhold
  • Fra - WAN
  • Til - LAN
  • Kilde - Enhver
  • Destination - LAN-undernet, hvor din server befinder sig (LAN_SUBNET_GE3 i dette eksempel), ellervælg det objekt, der blev oprettet i det foregående trin
  • Tjeneste - HTTPS
  • Bruger - Enhver
  • Handling - tillad
  • Anvend alle ændringer

 

Fejlfinding af 1:1 NAT-konfiguration

  • Kontroller NAT-regler: Kontroller, at 1:1 NAT-reglerne er konfigureret korrekt, og sørg for, at den interne IP-adresse på din mailserver er korrekt knyttet til den rigtige offentlige IP-adresse.

  • Firewall-regler: Sørg for, at firewall-reglerne er indstillet til at tillade trafik på de nødvendige porte (f.eks. port 443 for HTTPS).

  • Logfiler og diagnostik: Overvåg regelmæssigt firewall-logfilerne, og brug diagnostiske værktøjer til at kontrollere trafikflowet. Dette kan hjælpe med at identificere og løse problemer hurtigt.

  • Sørg for, at alle offentlige IP-adresser er korrekt routet. For at kontrollere dette skal du tildele hver offentlig IP-adresse til USG FLEX H-seriens WAN-port individuelt.

  • Test internetadgangen ved hjælp af hver offentlig IP-adresse for at bekræfte, at den fungerer korrekt.

  • Kontakt din internetudbyder for at sikre, at routingen for dine offentlige IP-adresser er korrekt konfigureret og aktiv.

Artikler i denne sektion

Var denne artikel en hjælp?
0 ud af 0 fandt dette nyttigt
Del

Kommentarer

0 kommentarer

Log ind for at kommentere.