Avis important : |
Ce guide explique comment utiliser la série USG FLEX H pour configurer un accès sécurisé à un serveur interne situé derrière l'USG FLEX H à l'aide de la traduction d'adresses réseau (NAT). Les utilisateurs Internet peuvent accéder directement à ce serveur via son adresse IP publique, et une règle de mappage NAT
Le NAT 1:1 (traduction d'adresses réseau) est une technique réseau qui mappe directement une adresse IP publique externe à une adresse IP privée interne. Cette méthode garantit la compatibilité avec certaines applications et met en œuvre un contrôle d'accès précis basé sur les adresses IP.
Dans cet article, vous trouverez des explications détaillées sur le fonctionnement du NAT 1:1 et ses avantages. Des exemples concrets illustrent ses applications pratiques, telles que l'hébergement de serveurs web, l'activation de services de bureau à distance, la configuration de connexions VPN et la prise en charge de serveurs de jeux. Chaque exemple montre comment le NAT 1:1 peut simplifier la gestion du réseau et renforcer la sécurité en permettant un accès direct aux ressources internes. Que vous soyez un professionnel de l'informatique ou un administrateur réseau, cet article vous fournira des informations précieuses sur l'utilisation efficace du NAT 1:1 dans divers scénarios.
Principales caractéristiques du NAT 1:1 :
- Mappage direct : relie une adresse IP publique à une adresse IP privée.
- Cas d'utilisation spécifiques : Idéal pour les situations où une liaison directe entre une adresse IP externe et une adresse IP interne est nécessaire.
- Traduction d'adresses réseau source (SNAT) : Modifie l'adresse IP source du trafic sortant pour la remplacer par l'adresse IP publique.
Quand utiliser le NAT 1:1 avec des exemples concrets :
-
Serveurs d'hébergement :
- Serveur Web : si votre organisation dispose d'un serveur Web avec une adresse IP privée de 192.168.1.10, vous pouvez le mapper à une adresse IP publique telle que 203.0.113.10. Les utilisateurs externes peuvent accéder à votre site Web en utilisant l'adresse IP publique, tandis que le serveur reste sur le réseau privé.
- Serveur de messagerie : un serveur de messagerie disposant d'une adresse IP privée de 192.168.1.20 peut être mappé à une adresse IP publique de 203.0.113.20. Cela permet aux utilisateurs d'envoyer et de recevoir des e-mails en utilisant l'adresse IP publique.
- Serveur FTP : un serveur FTP dont l'adresse IP privée est 192.168.1.30 est accessible via l'adresse IP publique 203.0.113.30, ce qui permet aux utilisateurs externes de télécharger et de transférer des fichiers.
-
Compatibilité des applications :
- Système VoIP : Certains systèmes VoIP nécessitent des adresses IP publiques statiques pour garantir une communication fiable. Par exemple, un serveur VoIP dont l'adresse IP privée est 192.168.1.40 peut être mappé à une adresse IP publique de 203.0.113.40 afin d'assurer une communication vocale fluide.
- Serveur de jeux en ligne : un serveur de jeux en ligne ayant une adresse IP privée de 192.168.1.50 peut se voir attribuer une adresse IP publique de 203.0.113.50 afin de permettre aux joueurs du monde entier de se connecter en utilisant une adresse IP constante.
-
Contrôle d'accès basé sur l'adresse IP :
- Caméras de sécurité : Une organisation peut utiliser le NAT 1:1 pour permettre l'accès à distance aux caméras de sécurité. Un système de caméras disposant d'une adresse IP privée de 192.168.1.60 peut être mappé à une adresse IP publique de 203.0.113.60, ce qui permet une surveillance à distance tout en appliquant des règles d'accès spécifiques.
- Systèmes de contrôle d'accès aux bâtiments : pour les systèmes contrôlant l'accès aux bâtiments, tels que les lecteurs de cartes, un appareil disposant d'une adresse IP privée de 192.168.1.70 peut être mappé à une adresse IP publique de 203.0.113.70. Cela permet aux administrateurs de gérer l'accès à distance tout en maintenant des politiques d'accès sécurisées.
En résumé, le NAT 1:1 est utile pour mapper directement des adresses IP publiques externes à des adresses IP privées internes, garantir la compatibilité de certaines applications et mettre en œuvre un contrôle d'accès basé sur les adresses IP. Ces exemples concrets montrent comment divers serveurs et systèmes peuvent tirer parti du NAT 1:1.
Dans cet exemple, nous allons configurer l'accès au serveur de messagerie depuis le WAN à l'aide d'une adresse IP publique
Configuration > Réseau > NAT et créez une nouvelle règle en cliquant sur le bouton « Ajouter »Vous pouvez ensuite remplir tous les champs obligatoires.
- Activer la règle NAT
- Donnez un nom qui résume l'essence de la règle
- Sélectionnez le type de mappage de ports «NAT 1:1 »
- Interface entrante vers WAN
- IP source : N'importe quelle
- IP externe : utilisez votre adresse IP externe
- IP interne : indiquez l'adresse IP à laquelle l'accès est requis
- Type de mappage de port : cela dépend de ce que vous faites (Tout : tout le trafic sera redirigé, Service : sélectionnez un objet de service (un protocole), Groupe de services : sélectionnez un objet de groupe de services (un ensemble de protocoles), Port : sélectionnez un port à rediriger, Ports : sélectionnez une plage de ports à rediriger)
- Activer le loopback NAT
- Appliquer toutes les modifications
Le NAT loopback est utilisé au sein du réseau pour atteindre le serveur interne à l'aide de l'adresse IP publique. Vérifiez si le NAT loopback est activé et cliquez sur OK (cela permet aux utilisateurs connectés à n'importe quelle interface d'utiliser également la règle NAT)
Configurer la politique de sécurité sur l'USG FLEX H
Dans cet exemple, nous allons configurer l'accès à notre serveur Web depuis le WAN
Politique de sécurité > Contrôle des politiques et créez une nouvelle règle en cliquant sur le bouton « Ajouter » Vous pouvez ensuite remplir tous les champs obligatoires.
- Activer la politique
- Donnez un nom qui résume l'essence de la règle
- De - WAN
- Vers - LAN
- Source - N'importe quelle
- Destination - sous-réseau LAN où se trouve votre serveur (LAN_SUBNET_GE3 dans cet exemple) ousélectionnez l'objet créé à l'étape précédente
- Service - HTTPS
- Utilisateur - N'importe lequel
- Action - Autoriser
- Appliquer toutes les modifications
Dépannage de la configuration NAT 1:1
-
Vérifier les règles NAT: Vérifiez que les règles NAT 1:1 sont correctement configurées, en vous assurant que l'adresse IP interne de votre serveur de messagerie est correctement mappée à l'adresse IP publique appropriée.
-
Règles du pare-feu: assurez-vous que les règles du pare-feu sont configurées pour autoriser le trafic sur les ports nécessaires (par exemple, le port 443 pour HTTPS).
-
Journaux et diagnostics: surveillez régulièrement les journaux du pare-feu et utilisez des outils de diagnostic pour vérifier le flux de trafic. Cela peut vous aider à identifier et à résoudre rapidement les problèmes.
-
Assurez-vous que toutes les adresses IP publiques sont correctement routées. Pour vérifier cela, attribuez individuellement chaque adresse IP publique au port WAN de la série USG FLEX H.
-
Testez l'accès à Internet à l'aide de chaque adresse IP publique pour confirmer qu'il fonctionne correctement.
-
Contactez votre FAI pour vous assurer que le routage de vos adresses IP publiques est correctement configuré et actif.
Commentaires
0 commentaireVous devez vous connecter pour laisser un commentaire.