Zyxel-palomuurin NAT – kuinka määrittää 1:1-verkko-osoitteenmuunnos (NAT) Zyxel USG Flex H -sarjan palomuurissa

Luotu - Päivitetty
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Lisäkysymyksiä? Lähetä pyyntö

Tärkeä ilmoitus:
Hyvä asiakas, huomaa, että käytämme konekäännöstä tarjotaksemme artikkeleita paikallisella kielelläsi. Kaikkia tekstejä ei välttämättä ole käännetty tarkasti. Jos sinulla on kysymyksiä tai huomaat epätarkkuuksia käännetyn version tiedoissa, tarkista alkuperäinen artikkeli täältä:Alkuperäinen versio

Tässä oppaassa kerrotaan, miten USG FLEX H -sarjan laitteita käytetään turvallisen pääsyn määrittämiseen USG FLEX H:n takana olevaan sisäiseen palvelimeen Network Address Translation (NAT) -tekniikan avulla. Internetin käyttäjät voivat tavoittaa tämän palvelimen suoraan sen julkisen IP-osoitteen kautta, ja NAT-määrityssääntö

1:1 NAT (Network Address Translation) on verkkotekniikka, joka yhdistää yhden ulkoisen julkisen IP-osoitteen suoraan yhteen sisäiseen yksityiseen IP-osoitteeseen. Tämä menetelmä varmistaa yhteensopivuuden tiettyjen sovellusten kanssa ja mahdollistaa tarkan IP-pohjaisen pääsynhallinnan.

Tässä artikkelissa on yksityiskohtaisia selityksiä 1:1 NAT:n toiminnasta ja sen eduista. Käytännön esimerkit havainnollistavat sen käytännön sovelluksia, kuten web-palvelinten isännöintiä, etätyöpöytäpalveluiden mahdollistamista, VPN-yhteyksien määrittämistä ja pelipalvelinten tukemista. Jokainen esimerkki osoittaa, kuinka 1:1 NAT voi yksinkertaistaa verkon hallintaa ja parantaa tietoturvaa sallimalla suoran pääsyn sisäisiin resursseihin. Olitpa sitten IT-ammattilainen tai verkonvalvoja, tämä artikkeli tarjoaa arvokkaita näkemyksiä 1:1 NAT:n tehokkaasta hyödyntämisestä erilaisissa tilanteissa.

1:1 NAT:n tärkeimmät ominaisuudet:

  • Suora kartoitus: Yhdistää julkisen IP-osoitteen yksityiseen IP-osoitteeseen.
  • Erityiset käyttötapaukset: Ihanteellinen tilanteisiin, joissa tarvitaan suora yhteys ulkoisen ja sisäisen IP-osoitteen välillä.
  • Lähde-IP-osoitteen muuntaminen (SNAT): Muuttaa lähtevän liikenteen lähde-IP-osoitteen julkiseksi IP-osoitteeksi.

Milloin 1:1 NAT:ta tulisi käyttää – esimerkkejä käytännöstä:

  1.  

    Palvelinten isännöinti:

     

    • Verkkopalvelin: Jos organisaatiollasi on verkkopalvelin, jonka yksityinen IP-osoite on 192.168.1.10, voit määrittää sille julkisen IP-osoitteen, kuten 203.0.113.10. Ulkoiset käyttäjät voivat käyttää verkkosivustoasi julkisen IP-osoitteen kautta, kun taas palvelin pysyy yksityisessä verkossa.
    • Sähköpostipalvelin: Sähköpostipalvelin, jonka yksityinen IP-osoite on 192.168.1.20, voidaan liittää julkiseen IP-osoitteeseen 203.0.113.20. Tämä mahdollistaa käyttäjille sähköpostien lähettämisen ja vastaanottamisen julkisen IP-osoitteen kautta.
    • FTP-palvelin: FTP-palvelimeen, jonka yksityinen IP-osoite on 192.168.1.30, pääsee julkisen IP-osoitteen 203.0.113.30 kautta, jolloin ulkoiset käyttäjät voivat ladata ja lähettää tiedostoja.

     

  2.  

    Sovellusten yhteensopivuus:

     

    • VoIP-järjestelmä: Jotkin VoIP-järjestelmät vaativat staattisia, julkisia IP-osoitteita luotettavan viestinnän varmistamiseksi. Esimerkiksi VoIP-palvelimelle, jonka yksityinen IP-osoite on 192.168.1.40, voidaan määrittää julkinen IP-osoite 203.0.113.40 sujuvan ääniviestinnän varmistamiseksi.
    • Verkkopelipalvelin: Verkkopelipalvelimelle, jonka yksityinen IP-osoite on 192.168.1.50, voidaan antaa julkinen IP-osoite 203.0.113.50, jotta pelaajat ympäri maailmaa voivat muodostaa yhteyden käyttämällä yhtenäistä IP-osoitetta.

     

  3.  

    IP-pohjainen pääsynhallinta:

     

    • Turvakamerat: Organisaatio voi käyttää 1:1-NAT-tekniikkaa turvakameroiden etäkäytön mahdollistamiseksi. Kamerajärjestelmälle, jonka yksityinen IP-osoite on 192.168.1.60, voidaan määrittää julkinen IP-osoite 203.0.113.60, mikä mahdollistaa etävalvonnan tiettyjä pääsysääntöjä noudattaen.
    • Rakennusten kulunvalvontajärjestelmät: Rakennusten kulunvalvontajärjestelmissä, kuten kortinlukijoissa, laite, jonka yksityinen IP-osoite on 192.168.1.70, voidaan liittää julkiseen IP-osoitteeseen 203.0.113.70. Tämä mahdollistaa järjestelmänvalvojille etäkäytön hallinnan samalla kun turvalliset pääsykäytännöt säilyvät.

     

Yhteenvetona voidaan todeta, että 1:1-NAT on hyödyllinen ulkoisten julkisten IP-osoitteiden suoraan liittämisessä sisäisiin yksityisiin IP-osoitteisiin, tiettyjen sovellusten yhteensopivuuden varmistamisessa ja IP-pohjaisen pääsynhallinnan toteuttamisessa. Nämä käytännön esimerkit osoittavat, miten erilaiset palvelimet ja järjestelmät voivat hyötyä 1:1-NAT:sta.

Tässä esimerkissä määritämme pääsyn postipalvelimeen WAN-verkosta julkisen IP-osoitteen avulla

Määritä NAT USG FLEX H:ssa valitsemalla 
 Määritykset > Verkko > NAT ja luo uusi sääntö napsauttamalla "Lisää"-painiketta

Täytä sitten kaikki vaaditut kentät.

  • Ota NAT-sääntö käyttöön
  • Anna säännölle nimi, joka kuvaa sen ydintä
  • Valitse porttien kartoitustyypiksi "1:1 NAT"
  • Saapuva rajapinta WAN
  • Lähde-IP: Mikä tahansa
  • Ulkoinen IP - käytä ulkoista IP-osoitettasi
  • Sisäinen IP - määritä IP-osoite, johon pääsy vaaditaan
  • Porttimääritystyyppi – riippuu siitä, mitä olet tekemässä (Mikä tahansa – kaikki liikenne välitetään, Palvelu – valitse palveluobjekti (protokolla), Palveluryhmä – valitse palveluryhmäobjekti (protokollaryhmä), Portti – valitse portti, joka on välitettävä, Portit – valitse porttialue, joka on välitettävä) 
  • Ota NAT-loopback käyttöön
  • Käytä kaikki muutokset

NAT-loopbackia käytetään verkon sisällä sisäisen palvelimen saavuttamiseen julkisen IP-osoitteen avulla. Tarkista, onko NAT-loopback käytössä, ja napsauta OK (tämä sallii myös mihin tahansa rajapintaan kytkettyjen käyttäjien käyttää NAT-sääntöä)

Määritä tietoturvakäytäntö USG FLEX H:ssa

Tässä esimerkissä määritämme pääsyn WebServer-palvelimellemme WAN-verkosta

Turvallisuuspolitiikka > Politiikan hallinta ja luo uusi sääntö napsauttamalla Lisää-painiketta

Tämän jälkeen voit täyttää kaikki vaaditut kentät.

  • Ota käytäntö käyttöön
  • Anna säännölle nimi, joka kuvaa sen ydintä
  • Lähde - WAN
  • Kohde - LAN
  • Lähde - Mikä tahansa
  • Kohde - LAN-aliverkko, jossa palvelimesi sijaitsee (tässä esimerkissä LAN_SUBNET_GE3) taivalitse edellisessä vaiheessa luotu objekti
  • Palvelu - HTTPS
  • Käyttäjä - Mikä tahansa
  • Toiminto - salli
  • Käytä kaikki muutokset

 

1:1 NAT-määritysten vianmääritys

  • Tarkista NAT-säännöt: Tarkista, että 1:1 NAT-säännöt on määritetty oikein, ja varmista, että postipalvelimesi sisäinen IP-osoite on määritetty oikein oikeaan julkiseen IP-osoitteeseen.

  • Palomuurisäännöt: Varmista, että palomuurisäännöt on määritetty sallimaan liikenne tarvittavilla porteilla (esim. portti 443 HTTPS:lle).

  • Lokit ja diagnostiikka: Tarkkaile säännöllisesti palomuurilokeja ja käytä diagnostiikkatyökaluja liikenteen virtauksen tarkistamiseen. Tämä voi auttaa tunnistamaan ja ratkaisemaan ongelmat nopeasti.

  • Varmista, että kaikki julkiset IP-osoitteet on reititetty oikein. Varmista tämä määrittämällä jokainen julkinen IP-osoite erikseen USG FLEX H -sarjan WAN-porttiin.

  • Testaa internetyhteys käyttämällä kutakin julkista IP-osoitetta varmistaaksesi, että se toimii oikein.

  • Ota yhteyttä Internet-palveluntarjoajaasi varmistaaksesi, että julkisten IP-osoitteidesi reititys on määritetty oikein ja aktiivinen.

Tämän osion artikkelit

Oliko tämä artikkeli hyödyllinen?
0/0 koki tästä olevan apua
Jaa

Kommentit

0 kommenttia

Kirjaudu sisään jättääksesi kommentin.