Reenvío de puertos NAT del firewall de Zyxel: configuración del reenvío de puertos del servidor virtual en USG / USG FLEX / ATP / VPN

Creación - Actualización
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
¿Tiene más preguntas? Enviar una solicitud

Aviso importante:
Estimado cliente, tenga en cuenta que utilizamos traducción automática para ofrecer artículos en su idioma local. Es posible que no todo el texto se haya traducido con precisión. Si tiene alguna pregunta o observa discrepancias en la exactitud de la información de la versión traducida, consulte el artículo original aquí:Versión original

El reenvío de puertos, también conocido como reenvío de puertos de servidor virtual, es un método de red que redirige el tráfico de Internet externo a dispositivos o servicios designados dentro de una red local. Esta técnica permite que los dispositivos externos interactúen con un dispositivo o servicio concreto dentro de una red privada mediante la vinculación de un puerto externo a una dirección IP y un puerto internos.

Servidor virtual (redireccionamiento de puertos)

Características del servidor virtual:

  • Asigna puertos externos específicos a puertos internos específicos.
  • Útil para acceder a diferentes servicios (como web, correo electrónico, FTP) en la misma IP pública.
  • No altera la dirección IP de origen del tráfico entrante (sin SNAT).

Configuración del servidor virtual (redireccionamiento de puertos)

El servidor virtual es el más utilizado y se emplea cuando se desea que el servidor interno esté disponible para una red pública externa al dispositivo Zyxel. En el vídeo del enlace se puede ver cómo se realiza la configuración en la versión anterior del firewall. La interfaz es diferente, pero el proceso de configuración no ha cambiado mucho.
Creemos la regla de servidor virtual (redireccionamiento de puertos)
  • Inicie sesión en la interfaz web del dispositivo
  • Vaya a 
Configuración > Red > NAT
  • Crea una nueva regla haciendo clic en el botón «Añadir»
  • Especifique el nombre de la regla
  • Seleccione el tipo de asignación de puertos «Servidor virtual»

Regla de asignación para servidor virtual (Explicación)

Interfaz de entrada: la interfaz desde la que proviene el tráfico
IP de origen: desdedonde se conectan los usuarios (por ejemplo, IP de confianza)
IP externa: ladirección IP de la interfaz WAN
IP interna: ladirección IP del servidor al que desea reenviar los puertos
  • Seleccione «wan» como interfaz de entrada
  • IP de origen: «cualquiera»

Es posible especificar manualmente las direcciones IP externa e interna. Sin embargo, recomendamos encarecidamente utilizar objetos para este fin. Además, este enfoque será necesario a la hora de crear políticas de seguridad adicionales. La creación de objetos para las reglas NAT simplifica la gestión, mejora la legibilidad, reduce la complejidad, mejora la aplicación de las políticas, permite la reutilización y la escalabilidad, simplifica las copias de seguridad y las reversiones, y minimiza los errores.

Para crear un objeto para la interfaz externa e interna, seleccione la opción «Crear nuevo objeto» situada en la esquina superior izquierda del mismo formulario.

Cree dos objetos«Dirección»con el tipo«IP de interfaz» y«Host», asigne un nombre claro al objeto y especifique en un objeto la dirección de su interfaz externa y en la segunda regla la dirección local de su dispositivo NSA.

Tipo de asignación de puertos (Explicación)

cualquiera: se reenviarátodoel tráfico

Servicio: seleccioneun objeto de servicio (un protocolo)

Grupo de servicios: seleccioneun objeto de grupo de servicios (un grupo de protocolos)

Puerto: seleccione un puerto que deba reenviarse

Puertos: seleccione un rango de puertos que deba reenviarse

  • IP externa e interna: seleccione los objetos creados anteriormente

  • Tipo de asignación de puertos: especifique «Puerto»

  • Tipo de protocolo: «cualquiera»

  • En nuestro ejemplo, los puertos externos e internos son los mismos

 

Nota:

  • El puerto externo es el puerto que utiliza el usuario externo para acceder al cortafuegos en la WAN
  • El puerto interno es el puerto que se reenvía internamente en la LAN
  • Esto puede ser tanto una traducción 1:1 (puerto 443 a 443) como, por ejemplo, del puerto 4433 al 443

Bucle de retorno NAT

El bucle de retorno NAT se utiliza dentro de la red para acceder al servidor interno utilizando la IP pública. Compruebe si el bucle de retorno NAT está habilitado y haga clic en Aceptar (permite a los usuarios conectados a cualquier interfaz utilizar también la regla NAT)

Añada una regla de cortafuegos para permitir el NAT (reenvío de puertos)

¡Atención! Debe permitir el puerto interno y no el puerto externo. Esto se debe a que es el puerto interno el que se reenvía a la interfaz LAN de su cortafuegos y el que debe permitirse. 

  • Vaya a 
Configuración > Política de seguridad > Control de políticas

  • Cree una nueva regla haciendo clic en el botón «Añadir»

  • Especifique el nombre de la regla

  • En el campo «De», seleccione «WAN»

  • En el campo «Para», establezca «LAN»

  • En el campo «Destino», seleccione un objeto «NAS_IP» creado previamente

  • Servicio

Tenemos que crear un objeto de servicio para el puerto 50000. En la ventana de creación de políticas de seguridad, haz clic en «Crear un nuevo objeto» en la esquina superior derecha.

Nota: También se puede crear un objeto fuera de un formulario. Para encontrar la sección que contiene todos los objetos, vaya a 
Configuración > Objeto > Servicio
  • En el campo «Acción», establezca «Permitir»
  • Pulse «Aceptar»

Abra un navegador y escriba la IP WAN de su USG y el puerto configurado. Ahora el NAS está detrás del USG y es accesible a través del reenvío de puertos.

Ejemplo para nuestra IP WAN https://[tuIPWAN]:50000

 

 

Artículos en esta sección

Más información
¿Fue útil este artículo?
Usuarios a los que les pareció útil: 1 de 1
Compartir

Comentarios

0 comentarios

Inicie sesión para dejar un comentario.