Wichtiger Hinweis: |
Portweiterleitung, auch bekannt als Virtual Server Port Forwarding, ist eine Netzwerkmethode, die externen Internetverkehr an bestimmte Geräte oder Dienste innerhalb eines lokalen Netzwerks weiterleitet. Diese Technik ermöglicht es externen Geräten, mit einem bestimmten Gerät oder Dienst innerhalb eines privaten Netzwerks zu interagieren, indem ein externer Port mit einer internen IP-Adresse und einem internen Port verknüpft wird.
Virtueller Server (Portweiterleitung)
Merkmale eines virtuellen Servers:
- Verknüpft bestimmte externe Ports mit bestimmten internen Ports.
- Nützlich für den Zugriff auf verschiedene Dienste (wie Web, E-Mail, FTP) über dieselbe öffentliche IP-Adresse.
- Ändert nicht die Quell-IP-Adresse des eingehenden Datenverkehrs (kein SNAT).
Virtuellen Serverkonfigurieren (Portweiterleitung)
Der virtuelle Server wird am häufigsten verwendet und kommt zum Einsatz, wenn Sie den internen Server für ein öffentliches Netzwerk außerhalb des Zyxel Device verfügbar machen möchten. Auf dem Video unter dem Link können Sie sehen, wie die Konfiguration auf der vorherigen Version der Firewall durchgeführt wird. Die Schnittstelle ist anders, aber der Konfigurationsprozess hat sich nicht wesentlich geändert.- Melden Sie sich bei der WebGui des Geräts an.
- Navigieren Sie zu
Configuration > Network > NAT - Erstellen Sie eine neue Regel, indem Sie auf die Schaltfläche "Hinzufügen" klicken.
- Geben Sie den Namen der Regel an
- Wählen Sie als Portzuordnungstyp "Virtueller Server".
Mapping-Regel für Virtual Server (Erläuterung)
Eingehende Schnittstelle - die Schnittstelle, von der der Datenverkehr kommt- Wählen Sie für die eingehende Schnittstelle "wan".
- Quell-IP auf "any"
Es ist möglich, die externen und internen IP-Adressen manuell anzugeben. Wir empfehlen jedoch dringend, zu diesem Zweck Objekte zu verwenden. Außerdem wird dieser Ansatz bei der Erstellung zusätzlicher Sicherheitsrichtlinien erforderlich sein. Die Erstellung von Objekten für NAT-Regeln vereinfacht die Verwaltung, verbessert die Lesbarkeit, reduziert die Komplexität, verbessert die Durchsetzung von Richtlinien, ermöglicht Wiederverwendung und Skalierbarkeit, vereinfacht Backups und Rollbacks und minimiert Fehler.
Um ein Objekt für die externe und interne Schnittstelle zu erstellen, wählen Sie bitte die Option "Neues Objekt erstellen", die sich in der oberen linken Ecke des gleichen Formulars befindet.
Erstellen Sie zwei "Adress"-Objekte vom Typ "Interface IP" und "Host", geben Sie dem Objekt einen eindeutigen Namen und geben Sie in einem Objekt die Adresse Ihrer externen Schnittstelle und in der zweiten Regel die lokale Adresse Ihres NSA-Geräts an.
Port Mapping Typ (Erläuterung)
any - der gesamteDatenverkehr wird weitergeleitet
Service - Wählen Sie ein Service-Objekt (ein Protokoll)
Service-Group - Wählen Sie ein Service-Group-Objekt (eine Gruppe von Protokollen)
Port - Wählen Sie einen Port, der weitergeleitet werden muss.
Ports - Wählen Sie einen Portbereich aus, der weitergeleitet werden soll.
-
Externe und Interne IP, wählen Sie die zuvor erstellten Objekte
-
Portzuordnung - Typ auf "Port" festlegen
-
Protokoll Typ auf "beliebig"
-
Externe und interne Ports sind in unserem Beispiel gleich
Anmerkung:
- Der externe Port ist der Port, den der externe Benutzer verwendet, um die Firewall im WAN zu erreichen.
- Der interne Port ist der Port, der intern im LAN weitergeleitet wird.
- Dies kann sowohl eine 1:1-Übersetzung sein (Port 443 zu 443) als auch Port 4433 zu 443, zum Beispiel
NAT-Loopback
NAT-Loopback wird innerhalb des Netzwerks verwendet, um den internen Server über die öffentliche IP zu erreichen. Prüfen Sie, ob NAT-Loopback aktiviert ist, und klicken Sie auf OK (damit können Benutzer, die mit einer beliebigen Schnittstelle verbunden sind, die NAT-Regel ebenfalls verwenden)
Fügen Sie eine Firewall-Regel hinzu, um NAT zu erlauben (Port Forwarding)
Hinweis! Sie müssen den internen Port und nicht den externen Port zulassen. Denn es ist der interne Port, der an die LAN-Schnittstelle Ihrer Firewall weitergeleitet wird und zugelassen werden muss.
- Navigieren Sie zu
Konfiguration > Sicherheitsrichtlinie > Richtlinienkontrolle -
Erstellen Sie eine neue Regel, indem Sie auf die Schaltfläche "Hinzufügen" klicken.
-
Geben Sie den Namen der Regel an.
-
Legen Sie im Feld "Von" den Wert "WAN" fest.
-
Legen Sie im Feld "Nach" den Wert " LAN" fest.
-
Wählen Sie im Feld "Ziel" ein zuvor erstelltes "NAS_IP"-Objekt aus.
- Dienst
Wir müssen ein Dienstobjekt für Port 50000 erstellen. Klicken Sie im Fenster zur Erstellung der Sicherheitsrichtlinie in der oberen rechten Ecke auf "Neues Objekt erstellen".
Configuration > Object > Service
- Setzen Sie im Feld "Aktion" denWert " "zulassen"
- Drücken Sie "Ok".
Öffnen Sie einen Browser und geben Sie die WAN-IP Ihrer USG und den konfigurierten Port ein. Jetzt ist der NAS hinter dem USG und über Portweiterleitung erreichbar.
Beispiel für unsere WAN-IP https://[IhreWAN-IP]:50000