Zyxel Firewall Network Address Translation [NAT] - Konfigurer 1:1 NAT og mange 1:1 NAT på Zyxel Firewall USGFLEX/ATP/VPN

Oprettet - Opdateret
Serhii Boiarynov
Print Friendly and PDF
Har du flere spørgsmål? Indsend en anmodning

Vigtig meddelelse:
Kære kunde, vær opmærksom på, at vi bruger maskinoversættelse til at levere artikler på dit lokale sprog. Det er ikke sikkert, at al tekst er oversat korrekt. Hvis der er spørgsmål eller uoverensstemmelser med hensyn til nøjagtigheden af oplysningerne i den oversatte version, bedes du læse den originale artikel her:Original version

NAT (Network Address Translation) er en grundlæggende teknologi inden for netværk, der gør det muligt at mappe private IP-adresser til offentlige IP-adresser. En specifik type NAT er 1:1 NAT, også kendt som statisk NAT. Denne metode mapper en enkelt privat IP-adresse til en enkelt offentlig IP-adresse og sikrer, at hver privat adresse har en unik, konsekvent offentlig modpart. Her er nogle scenarier fra det virkelige liv, hvor 1:1 NAT er særlig nyttig:

Forståelse af 1:1 NAT: Anvendelser i det virkelige liv

1:1 NAT, eller statisk NAT, mapper en enkelt privat IP-adresse til en enkelt offentlig IP-adresse. Her er nogle anvendelser fra det virkelige liv:

  1. Hosting af servere: Web- og e-mailservere i private netværk har brug for offentlig adgang. 1:1 NAT mapper private IP'er til offentlige IP'er og sikrer problemfri adgang.
  2. Fjernadgang: Medarbejdere kan få adgang til interne ressourcer som fjernskrivebord og VPN-servere via offentlige IP'er, der er kortlagt til deres private modstykker.
  3. DMZ-konfiguration: Eksternt orienterede tjenester i DMZ'er bruger 1:1 NAT til offentlig adgang og beskytter samtidig interne netværk.
  4. Netværksmigrationer: Under skift af IP-ordning opretholder 1:1 NAT serviceadgang.
  5. Enhedssikkerhed: Kritiske enheder bruger 1:1 NAT til sikker administrationsadgang uden at eksponere private IP'er.

Konfigurer NAT 1:1

Virtuel server er mest almindeligt anvendt og bruges, når du vil gøre den interne server tilgængelig for et offentligt netværk uden for Zyxel-enheden. I videoen på linket kan du se, hvordan konfigurationen udføres på den tidligere version af firewallen. Grænsefladen er anderledes, men konfigurationsprocessen har ikke ændret sig meget.

Opret NAT 1 til 1 regel
  • Log ind på enhedens WebGui
  • Naviger til
Configuration > Network > NAT
  • Opret en ny regel ved at klikke på knappen "Tilføj"
  • Angiv navnet på reglen
  • Vælg portmapping-typen til "NAT 1:1"

Mapping-regel for 1:1 NAT

Indgående grænseflade - den grænseflade, som trafikken kommer fra

Kilde-IP - hvorfra brugerne opretter forbindelse (f.eks. betroede IP'er) Ekstern IP - IP-adressen på din WAN/udgående grænseflade på din firewall Intern IP - IP-adressen på den server, du vil videresende portene til

  • Vælg din indgående grænseflade til "wan"
  • Kilde-IP til "enhver"

Det er muligt at angive de eksterne og interne IP-adresser manuelt. Vi anbefaler dog på det kraftigste at bruge objekter til dette formål. Desuden vil denne tilgang være nødvendig, når der oprettes yderligere sikkerhedspolitikker. Oprettelse af objekter til NAT-regler forenkler administrationen, forbedrer læsbarheden, reducerer kompleksiteten, forbedrer håndhævelsen af politikker, tillader genbrug og skalerbarhed, forenkler backups og rollbacks og minimerer fejl.

For at oprette et objekt til den eksterne og interne grænseflade skal du vælge indstillingen "Opret nyt objekt" i øverste venstre hjørne af den samme formular.

Opret to "Address"-objekter af typen"Interface IP" og "Host", giv objektet et klart navn, og angiv i det ene objekt adressen på din eksterne grænseflade og i den anden regel den lokale adresse på din webserver.

Type af porttilknytning

any -altrafik på vil blive videresendt

Service - Vælg et service-objekt (en protokol) Service-Group - Vælg et service-gruppe-objekt (en gruppe af protokoller) Port - Vælg en port, der skal videresendes

Ports - Vælg et portinterval, der skal videresendes

  • Ekstern og intern IP, vælg de tidligere oprettede objekter

  • Port mapping Type angiver "Port"

  • Protokol Typ til "enhver"

  • Eksterne og interne porte i vores eksempel er de samme

Vær opmærksom på:

  • Den eksterne port er den port, som den eksterne bruger bruger til at komme til firewallen på WAN.
  • Den interne port er den port, der videresendes internt på LAN.
  • Dette kan både være en 1:1-oversættelse (port 80 til 80) eller port 80 til 8080 for eksempel.

NAT-loopback

NAT-loopback bruges inde i netværket til at nå den interne server ved hjælp af den offentlige IP. Tjek, om NAT-loopback er aktiveret, og klik på OK (giver brugere, der er forbundet til en hvilken som helst grænseflade, mulighed for også at bruge NAT-reglen).

Tilføj en firewall-regel for at tillade NAT 1 til 1

  • Naviger til
Configuration > Security Policy > Policy Control

  • Opret en ny regel ved at klikke på knappen "Tilføj"

  • Angiv navnet på reglen

  • I feltet "From" skal du angive"WAN"

  • I feltet "Til" skal du angive "LAN"

  • I feltet "Destination" skal du vælge et tidligere oprettet "WebServer" -objekt

  • Vælg din foretrukne service eller servicegruppe. I dette tilfælde er HTTP_8080 valgt.
  • Indstil "Handling" til at tillade.
  • Klik på knappen OK.

Konfigurer mange 1:1 NAT

Funktionen Many 1:1 NAT bruges til at videresende al trafik fra flere eksterne IP-adresser (offentlige IP'er) til flere interne IP-adresser (private IP'er) inden for et bestemt område. Det er vigtigt at bemærke, at denne funktion videresender alle porte; portvalg er ikke tilgængeligt i konfigurationen af Many 1:1 NAT.

Vær opmærksom! De private og offentlige områder skal have det samme antal IP-adresser.

Opret mange 1:1 NAT-regler

  • Log ind på enhedens WebGui
  • Naviger til
Configuration > Network > NAT
  • Opret en ny regel ved at klikke på knappen "Tilføj"
  • Angiv reglens navn
  • Vælg portmapping-typen til "NAT 1:1"

Mapping-regel for mange 1:1 NAT

  • Indgående grænseflade - den grænseflade, som trafikken kommer fra (normalt wan1 (eller wan1_PPPoE))
  • Kilde-IP - hvorfra brugerne opretter forbindelse (f.eks. betroede IP'er)
  • Eksternt IP-subnet/interval - intervallet af IP-adresser på din WAN/udgående grænseflade på din firewall (kun intervaller og subnet er tilladt - ikke værtsobjekter)
  • Internt IP-subnet/interval - IP-adresserne på den server, du vil videresende de offentlige IP-adresser til
  • Type af porttilknytning
  • any - al trafik på vil blive videresendt (bemærk, at mange 1:1 NAT-funktioner kun videresender "AL trafik")
  • NAT Loopback - NAT loopback gør det muligt for brugere at oprette forbindelse til de offentlige IP-adresser, når de befinder sig bag firewallen.

Opret regel for politikkontrol

Som det sidste trin skal vi oprette en Policy Control-regel for at tillade trafik at passere igennem til serveren.

Følg disse trin:

Go to the Configuration > Security Policy > Policy Control
  • Tryk på knappen"Tilføj" for at indsætte en ny regel.
  • Giv et navn til Policy Control-reglen.
  • Indstil Fra "WAN" til"LAN".
  • Indsæt din servers IP-adresseobjekt som "Destination".
  • Vælg din foretrukne"service" eller"servicegruppe". I dette tilfælde skal du vælge"HTTP_8080".
  • Sæt"Action" til"allow".
  • Klik på knappen"OK" for at gemme reglen.

Artikler i denne sektion

Se mere
Var denne artikel en hjælp?
15 ud af 30 fandt dette nyttigt
Del