Firewall Zyxel NAT - Come configurare la traduzione degli indirizzi di rete (NAT) 1 a 1 sul firewall Zyxel USG Flex serie H

Creato - Aggiornato
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Altre domande? Invia una richiesta

Avviso importante:
Gentile cliente, ti informiamo che utilizziamo la traduzione automatica per fornire articoli nella tua lingua locale. Non tutto il testo potrebbe essere tradotto in modo accurato. In caso di domande o discrepanze sull'accuratezza delle informazioni nella versione tradotta, ti invitiamo a consultare l'articolo originale qui:Versione originale

Questa guida illustra come utilizzare la serie USG FLEX H per configurare l'accesso sicuro a un server interno dietro l'USG FLEX H utilizzando il Network Address Translation (NAT). Gli utenti Internet possono raggiungere questo server direttamente tramite il suo indirizzo IP pubblico e una regola di mappatura NAT

Il NAT 1:1 (Network Address Translation) è una tecnica di rete che mappa direttamente un indirizzo IP pubblico esterno a un indirizzo IP privato interno. Questo metodo garantisce la compatibilità con determinate applicazioni e implementa un controllo degli accessi preciso basato sull'IP.

In questo articolo troverete spiegazioni dettagliate su come funziona il NAT 1:1 e sui suoi vantaggi. Esempi reali illustrano le sue applicazioni pratiche, come l'hosting di server web, l'abilitazione dei servizi di desktop remoto, la configurazione di connessioni VPN e il supporto di server di gioco. Ogni esempio dimostra come il NAT 1:1 possa semplificare la gestione della rete e migliorare la sicurezza consentendo l'accesso diretto alle risorse interne. Che siate professionisti IT o amministratori di rete, questo articolo fornirà preziose informazioni su come utilizzare efficacemente il NAT 1:1 in vari scenari.

Caratteristiche principali del NAT 1:1:

  • Mappatura diretta: collega un IP pubblico a un IP privato.
  • Casi d'uso specifici: ideale per situazioni in cui è necessario un collegamento diretto tra un IP esterno e uno interno.
  • Source Network Address Translation (SNAT): modifica l'IP di origine del traffico in uscita in IP pubblico.

Quando utilizzare il NAT 1:1 con esempi reali:

  1.  

    Server di hosting:

     

    • Server Web: Se la vostra organizzazione dispone di un server web con un IP privato pari a 192.168.1.10, potete mapparlo su un IP pubblico come 203.0.113.10. Gli utenti esterni possono accedere al vostro sito web utilizzando l’IP pubblico, mentre il server rimane sulla rete privata.
    • Server di posta: un server di posta con un IP privato 192.168.1.20 può essere mappato su un IP pubblico 203.0.113.20. Ciò consente agli utenti di inviare e ricevere e-mail utilizzando l'indirizzo IP pubblico.
    • Server FTP: è possibile accedere a un server FTP con un IP privato 192.168.1.30 tramite un IP pubblico 203.0.113.30, consentendo agli utenti esterni di caricare e scaricare file.

     

  2.  

    Compatibilità delle applicazioni:

     

    • Sistema VoIP: Alcuni sistemi VoIP richiedono indirizzi IP pubblici statici per garantire una comunicazione affidabile. Ad esempio, un server VoIP con un IP privato 192.168.1.40 può essere mappato su un IP pubblico 203.0.113.40 per garantire una comunicazione vocale fluida.
    • Server di giochi online: a un server di giochi online con un IP privato 192.168.1.50 può essere assegnato un IP pubblico 203.0.113.50 per consentire ai giocatori di tutto il mondo di connettersi utilizzando un indirizzo IP coerente.

     

  3.  

    Controllo degli accessi basato su IP:

     

    • Telecamere di sicurezza: un'organizzazione potrebbe utilizzare il NAT 1:1 per consentire l'accesso remoto alle telecamere di sicurezza. Un sistema di telecamere con un IP privato 192.168.1.60 può essere mappato su un IP pubblico 203.0.113.60, consentendo il monitoraggio remoto e applicando al contempo regole di accesso specifiche.
    • Sistemi di controllo degli accessi agli edifici: per i sistemi che controllano l'accesso agli edifici, come i lettori di tessere, un dispositivo con un IP privato 192.168.1.70 può essere mappato su un IP pubblico 203.0.113.70. Ciò consente agli amministratori di gestire gli accessi da remoto mantenendo politiche di accesso sicure.

     

In sintesi, il NAT 1:1 è utile per mappare direttamente gli IP pubblici esterni agli IP privati interni, garantendo la compatibilità per determinate applicazioni e implementando il controllo degli accessi basato su IP. Questi esempi reali dimostrano come vari server e sistemi possano trarre vantaggio dal NAT 1:1.

In questo esempio, configureremo l'accesso al server di posta dalla WAN utilizzando l'IP pubblico

Configurare il NAT sull'USG FLEX H 
 Configurazione > Rete > NAT e creare una nuova regola facendo clic sul pulsante "Aggiungi"

Quindi è possibile compilare tutti i campi obbligatori.

  • Abilitare la regola NAT
  • Assegnare un nome che descriva l'essenza della regola
  • Selezionare il tipo di mappatura delle porte su "NAT 1:1"
  • Interfaccia in entrata su WAN
  • IP di origine su Qualsiasi
  • IP esterno: usa il tuo IP esterno
  • IP interno: specifica l'indirizzo IP a cui è richiesto l'accesso
  • Tipo di mappatura delle porte - dipende da cosa stai facendo (Qualsiasi - tutto il traffico verrà inoltrato, Servizio - Seleziona un oggetto servizio (un protocollo), Gruppo di servizi - Seleziona un oggetto gruppo di servizi (un gruppo di protocolli), Porta - Seleziona una porta che deve essere inoltrata, Porte - Seleziona un intervallo di porte che deve essere inoltrato) 
  • Abilita loopback NAT
  • Applica tutte le modifiche

Il loopback NAT viene utilizzato all'interno della rete per raggiungere il server interno utilizzando l'IP pubblico. Verifica se il loopback NAT è abilitato e fai clic su OK (consente agli utenti connessi a qualsiasi interfaccia di utilizzare anche la regola NAT)

Configurare la politica di sicurezza su USG FLEX H

In questo esempio, configureremo l'accesso al nostro WebServer dalla WAN

Policy di sicurezza > Controllo delle policy e creare una nuova regola facendo clic sul pulsante "Aggiungi"

Quindi è possibile compilare tutti i campi obbligatori.

  • Abilita politica
  • Assegnare un nome che riassuma l’essenza della regola
  • Da - WAN
  • A - LAN
  • Origine - Qualsiasi
  • Destinazione - sottorete LAN in cui si trova il tuo server (LAN_SUBNET_GE3 in questo esempio) oppureseleziona l'oggetto creato nel passaggio precedente
  • Servizio - HTTPS
  • Utente - Qualsiasi
  • Azione - Consenti
  • Applica tutte le modifiche

 

Risoluzione dei problemi della configurazione NAT 1:1

  • Verifica delle regole NAT: ricontrolla che le regole NAT 1:1 siano configurate correttamente, assicurandoti che l'indirizzo IP interno del tuo server di posta sia correttamente mappato all'indirizzo IP pubblico corretto.

  • Regole del firewall: assicurarsi che le regole del firewall siano impostate per consentire il traffico sulle porte necessarie (ad es. la porta 443 per HTTPS).

  • Log e diagnostica: monitorare regolarmente i log del firewall e utilizzare strumenti diagnostici per controllare il flusso del traffico. Ciò può aiutare a identificare e risolvere rapidamente i problemi.

  • Assicurarsi che tutti gli indirizzi IP pubblici siano correttamente instradati. Per verificarlo, assegnare individualmente ciascun indirizzo IP pubblico alla porta WAN della serie USG FLEX H.

  • Verificare l'accesso a Internet utilizzando ciascun indirizzo IP pubblico per confermare che funzioni correttamente.

  • Contatta il tuo ISP per assicurarti che l'instradamento dei tuoi indirizzi IP pubblici sia configurato correttamente e attivo.

Articoli in questa sezione

Questo articolo ti è stato utile?
Utenti che ritengono sia utile: 0 su 0
Condividi

Commenti

0 commenti

Accedi per aggiungere un commento.