Zyxel Firewall Network Address Translation [NAT] - Configurer 1:1 NAT et Many 1:1 NAT sur Zyxel Firewall USGFLEX/ATP/VPN

Création 28 février 2018 10:23 - Mise à jour 7 août 2024 14:18

Serhii Boiarynov

Vous avez d’autres questions ? Envoyer une demande

Avis important :
Chers clients, sachez que nous utilisons la traduction automatique pour vous fournir des articles dans votre langue locale. Il se peut que certains textes ne soient pas traduits correctement. En cas de questions ou de divergences sur l'exactitude des informations contenues dans la version traduite, veuillez consulter l'article original ici: Version originale

La traduction d'adresses de réseau (NAT) est une technologie fondamentale des réseaux qui permet de mapper des adresses IP privées à des adresses IP publiques. Un type spécifique de NAT est le NAT 1:1, également connu sous le nom de NAT statique. Cette méthode permet de faire correspondre une seule adresse IP privée à une seule adresse IP publique, en veillant à ce que chaque adresse privée ait une contrepartie publique unique et cohérente. Voici quelques scénarios concrets dans lesquels le NAT 1:1 est particulièrement utile :

Comprendre le NAT 1:1 : applications réelles

Le NAT 1:1, ou NAT statique, établit une correspondance entre une seule adresse IP privée et une seule adresse IP publique. Voici quelques applications concrètes :

Hébergement de serveurs : Les serveurs web et de messagerie situés dans des réseaux privés ont besoin d'un accès public. Le NAT 1:1 fait correspondre les adresses IP privées aux adresses IP publiques, garantissant ainsi un accès transparent.
Accès à distance : Les employés peuvent accéder à des ressources internes telles que le bureau à distance et les serveurs VPN via des IP publiques mappées à leurs homologues privés.
Configuration DMZ : Les services orientés vers l'extérieur dans les zones démilitarisées utilisent le NAT 1:1 pour l'accès public tout en protégeant les réseaux internes.
Migrations de réseaux : Pendant les transitions de schéma IP, le NAT 1:1 maintient l'accessibilité des services.
Sécurité des appareils : Les appareils critiques utilisent le NAT 1:1 pour un accès sécurisé à la gestion sans exposer les IP privées.

Configurer le NAT 1:1

Le serveur virtuel est le plus couramment utilisé lorsque vous souhaitez rendre le serveur interne accessible à un réseau public en dehors du dispositif Zyxel. Sur la vidéo en lien, vous pouvez voir comment la configuration est effectuée sur la version précédente du pare-feu. L'interface est différente, mais le processus de configuration n'a pas beaucoup changé.

Créer une règle NAT 1 to 1

Connectez-vous à l'interface WebGui de l'appareil
Naviguer vers

Configuration > Network > NAT

Créer une nouvelle règle en cliquant sur le bouton "Ajouter".
Spécifier le nom de la règle
Sélectionner le type de mappage de port à "NAT 1:1".

Règle de mappage pour NAT 1:1

Interface entrante - l'interface d'où provient le trafic

IP source : adresse IP à partir de laquelle les utilisateurs se connectent (par exemple, IP de confiance) IP externe : adresse IP de votre WAN/interface sortante de votre pare-feu IP interne : adresse IP du serveur vers lequel vous souhaitez transférer les ports.

Sélectionnez l'interface entrante "wan".
IP source sur "any" (n'importe laquelle)

Il est possible de spécifier manuellement les adresses IP externes et internes. Cependant, nous conseillons vivement d'utiliser des objets à cette fin. En outre, cette approche sera nécessaire lors de la création de politiques de sécurité supplémentaires. La création d'objets pour les règles NAT simplifie la gestion, améliore la lisibilité, réduit la complexité, améliore l'application des politiques, permet la réutilisation et l'évolutivité, simplifie les sauvegardes et les retours en arrière et minimise les erreurs.

Pour créer un objet pour l'interface externe et interne, veuillez sélectionner l'option "Créer un nouvel objet" située dans le coin supérieur gauche du même formulaire.

Créez deux objets "Adresse" de type"Interface IP" et "Host", donnez un nom clair à l'objet et spécifiez dans un objet l'adresse de votre interface externe et dans la seconde règle l'adresse locale de votre serveur Web.

Type de mappage de port

any - Tout letrafic sera transféré

Service - Sélectionne un objet de service (un protocole) Groupe de services - Sélectionne un objet de groupe de services (un groupe de protocoles) Port - Sélectionne un port qui doit être transféré

Ports - Sélectionne une plage de ports qui doit être transférée.

IP externe et interne, sélectionner les objets précédemment créés
Le type de mappage de port spécifie "Port".
Protocole : "any" (n'importe lequel)
Dans notre exemple, les ports externes et internes sont les mêmes.

Remarque :

Le port externe est le port que l'utilisateur externe utilise pour accéder au pare-feu sur le réseau étendu.
Le port interne est le port qui est transféré en interne sur le réseau local.
Il peut s'agir d'une traduction 1:1 (port 80 vers 80) ou du port 80 vers 8080, par exemple.

Boucle NAT

Le bouclage NAT est utilisé à l'intérieur du réseau pour atteindre le serveur interne à l'aide de l'IP publique. Vérifiez si le bouclage NAT est activé et cliquez sur OK (les utilisateurs connectés à n'importe quelle interface peuvent également utiliser la règle NAT).

Ajoutez une règle de pare-feu pour autoriser le NAT 1 to 1.

Naviguez jusqu'à

Configuration > Security Policy > Policy Control

Créer une nouvelle règle en cliquant sur le bouton "Ajouter".
Spécifiez le nom de la règle
Dans le champ "From", mettez"WAN".
Dans le champ "To", définissez " LAN".
Dans le champ "Destination", sélectionnez un objet "WebServer" précédemment créé.
Sélectionnez votre service ou groupe de services préféré. Dans ce cas, HTTP_8080 est sélectionné.
Réglez le champ "Action" sur " Autoriser".
Cliquez sur le bouton OK.

Configurer plusieurs NAT 1:1

La fonction Many 1:1 NAT est utilisée pour transférer tout le trafic de plusieurs adresses IP externes (IP publiques) vers plusieurs adresses IP internes (IP privées) dans une plage spécifiée. Il est important de noter que cette fonction transfère tous les ports ; la sélection des ports n'est pas disponible dans la configuration Many 1:1 NAT.

Remarque ! Les plages privées et publiques doivent avoir le même nombre d'adresses IP.

Créer la règle Many 1:1 NAT

Se connecter à l'interface WebGui de l'appareil
Naviguer vers

Configuration > Network > NAT

Créer une nouvelle règle en cliquant sur le bouton "Ajouter".
Spécifier le nom de la règle
Sélectionner le type de mappage de port à "NAT 1:1".

Règle de mappage pour de nombreux NAT 1:1

Incoming interface - l'interface d'où provient le trafic (généralement wan1 (ou wan1_PPPoE))
IP source - adresse IP à partir de laquelle les utilisateurs se connectent (par exemple, IP de confiance)
External IP Subnet/Range - la plage d'adresses IP de votre WAN / interface sortante de votre pare-feu (Seules les plages et les sous-réseaux sont autorisés - pas les objets hôtes)
Internal IP Subnet/Range - Les adresses IP du serveur vers lequel vous souhaitez transférer les adresses IP publiques.
Type de mappage de port
any - tout le trafic sera transféré (notez que la fonction Many 1:1 NAT ne transfère que "TOUT le trafic")
NAT Loopback - NAT loopback permet aux utilisateurs de se connecter aux adresses IP publiques lorsqu'ils se trouvent derrière le pare-feu.

Créer une règle de contrôle de la politique

La dernière étape consiste à créer une règle de contrôle de la politique afin d'autoriser le trafic à passer vers le serveur.

Procédez comme suit :

Go to the Configuration > Security Policy > Policy Control

Cliquez sur le bouton"Ajouter" pour insérer une nouvelle règle.
Donnez un nom à la règle de contrôle des stratégies.
Définissez de "WAN" à"LAN".
Insérez l'objet adresse IP de votre serveur en tant que "Destination".
Sélectionnez le"Service" ou le"Groupe de services" de votre choix. Dans ce cas, sélectionnez"HTTP_8080".
Réglez"Action" sur"allow".
Cliquez sur le bouton"OK" pour enregistrer la règle.

Articles dans cette section

Afficher plus