Zyxel tűzfal NAT – Hogyan állítsuk be az 1:1 hálózati címfordítást (NAT) a Zyxel USG Flex H sorozatú tűzfalon

Létrehozva - Frissítve
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
További kérdései vannak? Kérelem beküldése

Fontos tudnivaló:
Tisztelt Ügyfelünk! Felhívjuk figyelmét, hogy gépi fordítást használunk a cikkek helyi nyelven történő megjelenítéséhez. Előfordulhat, hogy nem minden szöveg fordítása pontos. Ha kérdése van, vagy eltérést észlel a fordított változatban szereplő információk pontosságát illetően, kérjük, olvassa el az eredeti cikket itt:Eredeti változat

Ez az útmutató bemutatja, hogyan lehet az USG FLEX H sorozatot használni a hálózati címfordítás (NAT) segítségével az USG FLEX H mögötti belső szerverhez való biztonságos hozzáférés konfigurálásához. Az internetfelhasználók közvetlenül elérhetik ezt a szervert a nyilvános IP-címén keresztül, és egy NAT-leképezési szabály

Az 1:1 NAT (Network Address Translation) egy hálózati technika, amely egy külső nyilvános IP-címet közvetlenül egy belső magán IP-címhez rendel. Ez a módszer biztosítja a kompatibilitást bizonyos alkalmazásokkal, és pontos, IP-alapú hozzáférés-vezérlést valósít meg.

Ebben a cikkben részletes magyarázatot talál a 1:1 NAT működéséről és előnyeiről. Valós példák illusztrálják a gyakorlati alkalmazásait, mint például a webszerverek üzemeltetése, a távoli asztali szolgáltatások engedélyezése, a VPN-kapcsolatok beállítása és a játékszerverek támogatása. Minden példa bemutatja, hogyan egyszerűsítheti a 1:1 NAT a hálózatkezelést és növelheti a biztonságot azáltal, hogy közvetlen hozzáférést biztosít a belső erőforrásokhoz. Akár informatikai szakember, akár hálózati rendszergazda, ez a cikk értékes betekintést nyújt a 1:1 NAT hatékony felhasználásába különböző forgatókönyvekben.

A 1:1 NAT főbb jellemzői:

  • Közvetlen leképezés: összeköti a nyilvános IP-címet a magán IP-címmel.
  • Konkrét felhasználási esetek: Ideális olyan helyzetekben, ahol közvetlen kapcsolatra van szükség a külső és a belső IP-cím között.
  • Forrás hálózati címfordítás (SNAT): A kimenő forgalom forrás IP-címét nyilvános IP-címre változtatja.

Mikor érdemes használni az 1:1 NAT-ot – valós példákkal:

  1.  

    Tárhelyszerver:

     

    • Webszerver: Ha a szervezetének van egy 192.168.1.10 magán IP-címmel rendelkező webszerver, akkor azt egy 203.0.113.10-hez hasonló nyilvános IP-címhez rendelheti. A külső felhasználók a nyilvános IP-címet használva érhetik el a webhelyét, miközben a szerver a magánhálózaton marad.
    • Levelezési szerver: A 192.168.1.20 magán IP-címmel rendelkező levelezési szervert hozzárendelheti a 203.0.113.20 nyilvános IP-címhez. Ez lehetővé teszi a felhasználók számára, hogy a nyilvános IP-címet használva küldjenek és fogadjanak e-maileket.
    • FTP-kiszolgáló: A 192.168.1.30 magán IP-címmel rendelkező FTP-kiszolgáló a 203.0.113.30 nyilvános IP-címen keresztül érhető el, lehetővé téve a külső felhasználók számára a fájlok feltöltését és letöltését.

     

  2.  

    Alkalmazáskompatibilitás:

     

    • VoIP-rendszer: Egyes VoIP-rendszerek megbízható kommunikációhoz statikus, nyilvános IP-címeket igényelnek. Például egy 192.168.1.40 magán IP-címmel rendelkező VoIP-kiszolgáló a 203.0.113.40 nyilvános IP-címhez rendelhető, hogy zökkenőmentes hangkommunikációt biztosítson.
    • Online játék szerver: Egy 192.168.1.50 magán IP-címmel rendelkező online játék szerverhez hozzárendelhető a 203.0.113.50 nyilvános IP-cím, hogy a játékosok világszerte egy állandó IP-cím használatával tudjanak csatlakozni.

     

  3.  

    IP-alapú hozzáférés-vezérlés:

     

    • Biztonsági kamerák: Egy szervezet 1:1 NAT-ot használhat a biztonsági kamerákhoz való távoli hozzáférés lehetővé tételére. Egy 192.168.1.60 magán IP-címmel rendelkező kamerarendszer hozzárendelhető a 203.0.113.60 nyilvános IP-címhez, lehetővé téve a távoli megfigyelést, miközben specifikus hozzáférési szabályok is alkalmazhatók.
    • Épületbelépési rendszerek: Az épületbelépést ellenőrző rendszerek, például a kártyaolvasók esetében egy 192.168.1.70 magán-IP-címmel rendelkező eszköz hozzárendelhető a 203.0.113.70 nyilvános IP-címhez. Ez lehetővé teszi a rendszergazdák számára a hozzáférés távoli kezelését a biztonságos hozzáférési szabályok betartása mellett.

     

Összefoglalva: az 1:1 NAT hasznos a külső nyilvános IP-címek belső magán IP-címekhez való közvetlen hozzárendeléséhez, bizonyos alkalmazások kompatibilitásának biztosításához, valamint az IP-alapú hozzáférés-vezérlés megvalósításához. Ezek a valós példák bemutatják, hogy a különböző szerverek és rendszerek hogyan profitálhatnak az 1:1 NAT-ból.

Ebben a példában a nyilvános IP-cím használatával konfiguráljuk a WAN-ról a levelezési szerverhez való hozzáférést

Állítsa be a NAT-ot az USG FLEX H-n 
 Konfiguráció > Hálózat > NAT menüpontban, és az „Add” gombra kattintva hozzon létre egy új szabályt

Ezután töltse ki az összes kötelező mezőt.

  • Engedélyezze a NAT-szabályt
  • Adjon meg egy nevet, amely kifejezi a szabály lényegét
  • Válassza ki a porttérképzés típusát: „1:1 NAT
  • Bejövő interfész: WAN
  • Forrás IP: Bármely
  • Külső IP – használja a külső IP-címét
  • Belső IP – adja meg azt az IP-címet, amelyhez hozzáférésre van szükség
  • Porttérképzés típusa – attól függ, mit csinál (Bármely – az összes forgalom továbbításra kerül, Szolgáltatás – válasszon ki egy szolgáltatás-objektumot (egy protokollt), Szolgáltatáscsoport – válasszon ki egy szolgáltatáscsoport-objektumot (protokollok csoportját), Port – válasszon ki egy továbbítandó portot, Portok – válasszon ki egy továbbítandó porttartományt) 
  • NAT-visszacsatolás engedélyezése
  • Alkalmazza az összes módosítást

A NAT-visszacsatolást a hálózaton belül használják a belső szerver elérésére a nyilvános IP-cím használatával. Ellenőrizze, hogy a NAT-visszacsatolás engedélyezve van-e, majd kattintson az OK gombra (ez lehetővé teszi, hogy bármelyik interfészhez csatlakozó felhasználók is használhassák a NAT-szabályt)

A biztonsági szabályzat beállítása az USG FLEX H-n

Ebben a példában a WAN-ról történő hozzáférést konfiguráljuk a webszerverünkhöz

Biztonsági szabályzat > Szabályzat-vezérlés, és az „Add” gombra kattintva hozzon létre egy új szabályt

Ezután kitöltheti az összes kötelező mezőt.

  • Engedélyezze a szabályt
  • Adjon meg egy nevet, amely kifejezi a szabály lényegét
  • Honnan - WAN
  • Cél - LAN
  • Forrás - Bármely
  • Cél - a szerver LAN-alhálózata (ebben a példában LAN_SUBNET_GE3), vagyválassza ki az előző lépésben létrehozott objektumot
  • Szolgáltatás – HTTPS
  • Felhasználó - Bármely
  • Művelet - engedélyezés
  • Minden módosítás alkalmazása

 

Hibaelhárítás 1:1 NAT konfiguráció

  • Ellenőrizze a NAT-szabályokat: Ellenőrizze, hogy az 1:1 NAT-szabályok helyesen vannak-e konfigurálva, és győződjön meg arról, hogy a levelezési szerver belső IP-címe megfelelően van-e hozzárendelve a helyes nyilvános IP-címhez.

  • Tűzfal szabályok: Győződjön meg arról, hogy a tűzfal szabályai engedélyezik a forgalmat a szükséges portokon (pl. a 443-as porton az HTTPS esetében).

  • Naplók és diagnosztika: Rendszeresen ellenőrizze a tűzfal naplóit, és használjon diagnosztikai eszközöket a forgalom ellenőrzéséhez. Ez segíthet a problémák gyors azonosításában és megoldásában.

  • Győződjön meg arról, hogy az összes nyilvános IP-cím helyesen van útválasztva. Ennek ellenőrzéséhez rendelje hozzá az egyes nyilvános IP-címeket az USG FLEX H sorozatú WAN-portjához.

  • Tesztelje az internet-hozzáférést az egyes nyilvános IP-címek használatával, hogy megbizonyosodjon azok megfelelő működéséről.

  • Vegye fel a kapcsolatot az internetszolgáltatójával, hogy megbizonyosodjon arról, hogy a nyilvános IP-címek útválasztása megfelelően van-e konfigurálva és aktív-e.

A szakasz cikkei

Hasznos volt ez a cikk?
0/0 szavazó hasznosnak találta ezt
Megosztás

Hozzászólások

0 hozzászólás

Hozzászólások írásához jelentkezzen be.