Zyxel-palomuurin portinohjaus (NAT) – Virtuaalipalvelimen portinohjauksen määrittäminen USG-, USG FLEX-, ATP- ja VPN-laitteissa

Luotu - Päivitetty
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Lisäkysymyksiä? Lähetä pyyntö

Tärkeä ilmoitus:
Hyvä asiakas, huomaathan, että käytämme konekäännöstä tarjotaksemme artikkeleita omalla kielelläsi. Kaikkia tekstejä ei välttämättä ole käännetty tarkasti. Jos sinulla on kysymyksiä tai huomaat epätarkkuuksia käännetyn version tiedoissa, tarkista alkuperäinen artikkeli täältä:Alkuperäinen versio

Portin edelleenohjaus, joka tunnetaan myös nimellä virtuaalipalvelimen portin edelleenohjaus, on verkko-menetelmä, joka reitittää ulkoisen internet-liikenteen paikallisverkossa oleviin määritettyihin laitteisiin tai palveluihin. Tämä tekniikka mahdollistaa ulkoisten laitteiden vuorovaikutuksen tietyn laitteen tai palvelun kanssa yksityisverkossa yhdistämällä ulkoisen portin sisäiseen IP-osoitteeseen ja porttiin.

Virtuaalipalvelin (portin edelleenohjaus)

Virtuaalipalvelimen ominaisuudet:

  • Määrittää tietyt ulkoiset portit tietyille sisäisille porteille.
  • Hyödyllinen eri palveluiden (kuten web, sähköposti, FTP) käyttämiseen samalla julkisella IP-osoitteella.
  • Ei muuta saapuvan liikenteen lähde-IP-osoitetta (ei SNAT).

Virtuaalipalvelimenmäärittäminen (porttien uudelleenohjaus)

Virtuaalipalvelinta käytetään yleisimmin, kun haluat tehdä sisäisen palvelimen saatavaksi Zyxel-laitteen ulkopuolella olevalle julkiselle verkolle. Linkin videosta näet, miten konfigurointi suoritetaan palomuurin edellisessä versiossa. Käyttöliittymä on erilainen, mutta konfigurointiprosessi ei ole muuttunut paljoakaan.
Luodaan virtuaalipalvelimen (portin uudelleenohjaus) sääntö
  • Kirjaudu laitteen WebGui-käyttöliittymään
  • Siirry kohtaan 
Asetukset > Verkko > NAT
  • Luo uusi sääntö napsauttamalla "Lisää" -painiketta
  • Määritä säännön nimi
  • Valitse porttien kartoitustyypiksi "Virtual Server"

Virtuaalipalvelimen kartoitussääntö (selitys)

Saapuva rajapinta – rajapinta, josta liikenne tulee
Lähde-IP – mistäkäyttäjät muodostavat yhteyden (esim. luotetut IP-osoitteet)
Ulkoinen IP –WAN-liitännän IP-osoite
Sisäinen IP –sen palvelimen IP-osoite, johon haluat reitittää portit
  • Valitse saapuvaksi rajapinnaksi "wan"
  • Lähde-IP:ksi "any"

Ulkoiset ja sisäiset IP-osoitteet on mahdollista määrittää manuaalisesti. Suosittelemme kuitenkin vahvasti objektien käyttöä tähän tarkoitukseen. Lisäksi tämä lähestymistapa on välttämätön, kun luodaan uusia tietoturvakäytäntöjä. Objektien luominen NAT-sääntöjä varten yksinkertaistaa hallintaa, parantaa luettavuutta, vähentää monimutkaisuutta, tehostaa käytäntöjen noudattamista, mahdollistaa uudelleenkäytön ja skaalautuvuuden, yksinkertaistaa varmuuskopiointia ja palautuksia sekä minimoi virheet.

Luo objekti ulkoiselle ja sisäiselle rajapinnalle valitsemalla "Luo uusi objekti" -vaihtoehto, joka sijaitsee saman lomakkeen vasemmassa yläkulmassa.

Luo kaksi”Osoite”-objektia, joiden tyyppi on”Liitäntä-IP” ja”Isäntä”.Anna objektille selkeä nimi ja määritä toiseen objektiin ulkoisen liitännän osoite ja toiseen sääntöön NSA-laitteen paikallinen osoite.

Porttimääritystyyppi (selitys)

any - kaikkiliikenne välitetään

Palvelu - Valitsepalveluobjekti (protokolla)

Palveluryhmä - Valitsepalveluryhmäobjekti (protokollien ryhmä)

Portti – Valitse portti, joka on välitettävä

Portit - Valitse välitettävä porttialue

  • Ulkoinen ja sisäinen IP-osoite: valitse aiemmin luodut kohteet

  • Porttimääritystyyppi: määritä ”Portti”

  • Protokollatyypiksi ”mikä tahansa”

  • Esimerkissämme ulkoiset ja sisäiset portit ovat samat

 

Huomautus:

  • Ulkoinen portti on portti, jota ulkoinen käyttäjä käyttää päästäkseen palomuurin läpi WAN-verkossa
  • Sisäinen portti on portti, joka välitetään sisäisesti LAN-verkossa
  • Tämä voi olla joko 1:1-muunnos (portti 443 porttiin 443) tai esimerkiksi portti 4433 porttiin 443

NAT-loopback

NAT-loopbackia käytetään verkon sisällä, jotta sisäiseen palvelimeen pääsee julkisen IP-osoitteen kautta. Tarkista, onko NAT-loopback käytössä, ja napsauta OK (tämä sallii myös mihin tahansa rajapintaan kytkettyjen käyttäjien käyttää NAT-sääntöä)

Lisää palomuurisääntö NAT:n (portin edelleenohjauksen) sallimiseksi

Huom! Sinun on sallittava sisäinen portti, ei ulkoista porttia. Koska juuri sisäinen portti ohjataan palomuurisi LAN-liitäntään ja se on sallittava. 

  • Siirry kohtaan 
Asetukset > Turvallisuuspolitiikka > Politiikan hallinta

  • Luo uusi sääntö napsauttamalla "Lisää" -painiketta

  • Määritä säännön nimi

  • Aseta "Lähettäjä" -kenttään "WAN"

  • Aseta "To" -kenttään "LAN"

  • Valitse "Kohde" -kentästä aiemmin luotu "NAS_IP" -objekti

  • Palvelu

Meidän on luotava palveluobjekti portille 50000. Napsauta tietoturvakäytännön luomisen ikkunassa oikeassa yläkulmassa olevaa ”Luo uusi objekti” -painiketta.

Huomautus: Objektin voi luoda myös lomakkeen ulkopuolella. Löydät kaikki objektit sisältävän osion valitsemalla 
Määritykset > Objekti > Palvelu
  • Aseta "Toiminto "-kenttään "salli"
  • Paina "Ok"

Avaa selain ja kirjoita USG:n WAN-IP-osoite ja määritetty portti. Nyt NAS on USG:n takana ja tavoitettavissa portin uudelleenohjauksen kautta.

Esimerkki WAN-IP-osoitteestamme https://[yourWAN-IP]:50000

 

 

Tämän osion artikkelit

Näytä lisää
Oliko tämä artikkeli hyödyllinen?
1/1 koki tästä olevan apua
Jaa

Kommentit

0 kommenttia

Kirjaudu sisään jättääksesi kommentin.