Zyxel Firewall [NAT] - hvordan man konfigurerer NAT 1 til 1 (Network Address Translation) på Zyxel USG Flex H-seriens firewall

Oprettet - Opdateret
Serhii Boiarynov
Print Friendly and PDF
Har du flere spørgsmål? Indsend en anmodning

Vigtig meddelelse:
Kære kunde, vær opmærksom på, at vi bruger maskinoversættelse til at levere artikler på dit lokale sprog. Det er ikke sikkert, at al tekst er oversat korrekt. Hvis der er spørgsmål eller uoverensstemmelser med hensyn til nøjagtigheden af oplysningerne i den oversatte version, bedes du læse den originale artikel her:Original version

Denne vejledning viser, hvordan man bruger USG FLEX H-serien til at konfigurere sikker adgang til en intern server bag USG FLEX H ved hjælp af NAT (Network Address Translation). Internetbrugere kan nå denne server direkte via dens offentlige IP-adresse og en NAT-kortlægningsregel

1:1 NAT (Network Address Translation) er en netværksteknik, der direkte mapper en ekstern offentlig IP-adresse til en intern privat IP-adresse. Denne metode sikrer kompatibilitet med visse programmer og implementerer præcis IP-baseret adgangskontrol.

I denne artikel finder du detaljerede forklaringer på, hvordan 1:1 NAT fungerer, og hvilke fordele det giver. Eksempler fra den virkelige verden illustrerer de praktiske anvendelser, f.eks. hosting af webservere, aktivering af fjernskrivebordstjenester, opsætning af VPN-forbindelser og understøttelse af spilservere. Hvert eksempel viser, hvordan 1:1 NAT kan forenkle netværksadministrationen og forbedre sikkerheden ved at give direkte adgang til interne ressourcer. Uanset om du er IT-professionel eller netværksadministrator, vil denne artikel give dig værdifuld indsigt i, hvordan du effektivt kan bruge 1:1 NAT i forskellige scenarier.

Nøglefunktioner i 1:1 NAT:

  • Direkte mapping: Forbinder en offentlig IP med en privat IP.
  • Specifikke brugssager: Ideel til situationer, hvor der er brug for et direkte link mellem en ekstern og en intern IP.
  • Oversættelse af kildenetværksadresse (SNAT): Ændrer kilde-IP'en for udgående trafik til den offentlige IP.

Hvornår skal man bruge 1:1 NAT med eksempler fra den virkelige verden:

  1. Hosting-servere:

    • Webserver: Hvis din organisation har en webserver med en privat IP på 192.168.1.10, kan du mappe den til en offentlig IP som 203.0.113.10. Eksterne brugere kan få adgang til din hjemmeside ved hjælp af den offentlige IP, mens serveren forbliver på det private netværk.
    • Mailserver: En mailserver med en privat IP på 192.168.1.20 kan mappes til en offentlig IP på 203.0.113.20. Dette giver brugerne mulighed for at sende og modtage e-mails ved hjælp af den offentlige IP-adresse.
    • FTP-server: En FTP-server med en privat IP på 192.168.1.30 kan tilgås via en offentlig IP på 203.0.113.30, hvilket gør det muligt for eksterne brugere at uploade og downloade filer.

  2. Kompatibilitet med applikationer:

    • VoIP-system: Nogle VoIP-systemer kræver statiske, offentlige IP-adresser for at kunne kommunikere pålideligt. For eksempel kan en VoIP-server med en privat IP på 192.168.1.40 mappes til en offentlig IP på 203.0.113.40 for at sikre problemfri stemmekommunikation.
    • Server til onlinespil: En onlinespilserver med en privat IP på 192.168.1.50 kan få en offentlig IP på 203.0.113.50, så spillere over hele verden kan oprette forbindelse ved hjælp af en ensartet IP-adresse.

  3. IP-baseret adgangskontrol:

    • Sikkerhedskameraer: En organisation kan bruge 1:1 NAT til at give fjernadgang til sikkerhedskameraer. Et kamerasystem med en privat IP på 192.168.1.60 kan mappes til en offentlig IP på 203.0.113.60, hvilket muliggør fjernovervågning, samtidig med at der anvendes specifikke adgangsregler.
    • Adgangssystemer til bygninger: For systemer, der kontrollerer adgang til bygninger, f.eks. kortlæsere, kan en enhed med en privat IP på 192.168.1.70 mappes til en offentlig IP på 203.0.113.70. Det gør det muligt for administratorer at fjernstyre adgangen og samtidig opretholde sikre adgangspolitikker.

Kort sagt er 1:1 NAT nyttigt til direkte at mappe eksterne offentlige IP'er til interne private IP'er, sikre kompatibilitet for visse applikationer og implementere IP-baseret adgangskontrol. Disse eksempler fra den virkelige verden viser, hvordan forskellige servere og systemer kan drage fordel af 1:1 NAT.

I dette eksempel vil vi konfigurere adgang til Mail Server fra WAN ved hjælp af Public IP

Opsæt NAT på USG FLEX H 
 Configuration > Network > NAT and create a new rule by clicking on the "Add" button

Derefter kan du udfylde alle obligatoriske felter.

  • Aktivér NAT-regel
  • Giv et navn, der indfanger essensen af reglen
  • Vælg porttilknytningstypen til "1:1 NAT"
  • Indgående grænseflade til WAN
  • Kilde-IP til enhver
  • Ekstern IP - brug din eksterne IP
  • Intern IP - angiv den IP-adresse, der skal være adgang til
  • Port Mapping Type - det afhænger af, hvad du laver (Any - al trafik vil blive videresendt ,Service - vælg et serviceobjekt (en protokol) ,Service-Group - vælg et servicegruppeobjekt (en gruppe af protokoller ), Port - vælg en port, der skalvideresendes , Ports - vælg etportinterval , der skal videresendes).
  • Aktivér NAT-loopback
  • Anvend alle ændringer

NAT-loopback bruges i netværket til at nå den interne server ved hjælp af den offentlige IP. Tjek, om NAT-loopback er aktiveret, og klik på OK (giver brugere, der er forbundet til en hvilken som helst grænseflade, mulighed for også at bruge NAT-reglen).

Opsætning af sikkerhedspolitikken på USG FLEX H

I dette eksempel vil vi konfigurere adgang til vores webserver fra WAN'et

Security Policy > Policy Control and create a new rule by clicking on the "Add" button

Derefter kan du udfylde alle nødvendige felter.

  • Aktiver politik
  • Giv et navn, der indfanger essensen af reglen
  • Fra - WAN
  • Til - LAN
  • Kilde - hvilken som helst
  • Destination - LAN-undernet, hvor din server er (LAN_SUBNET_GE3 i dette eksempel), eller vælgdet objekt, der blev oprettet i det foregående trin
  • Tjeneste - HTTPS
  • Bruger - Enhver
  • Handling - Tillad
  • Anvend alle ændringer

Fejlfinding af 1:1 NAT-konfiguration

  • Bekræft NAT-regler: Dobbelttjek, at 1:1 NAT-reglerne er korrekt konfigureret, og sørg for, at den interne IP-adresse på din mailserver er korrekt mappet til den korrekte offentlige IP-adresse.

  • Firewall-regler: Sørg for, at firewall-reglerne er indstillet til at tillade trafik på de nødvendige porte (f.eks. port 443 til HTTPS).

  • Logs og diagnostik: Overvåg regelmæssigt firewallens logfiler, og brug diagnosticeringsværktøjer til at kontrollere trafikstrømmen. Det kan hjælpe med at identificere og løse problemer hurtigt.

  • Sørg for, at alle offentlige IP-adresser er dirigeret korrekt. For at bekræfte dette skal du tildele hver offentlig IP-adresse til USG FLEX H-seriens WAN-port individuelt.

  • Test internetadgang ved hjælp af hver offentlig IP-adresse for at bekræfte, at den fungerer korrekt.

  • Kontakt din internetudbyder for at sikre, at routing for dine offentlige IP-adresser er korrekt konfigureret og aktiv.

Artikler i denne sektion

Se mere
Var denne artikel en hjælp?
0 ud af 0 fandt dette nyttigt
Del