Zyxel Firewall Network Address Translation [NAT] - Configurazione di 1:1 NAT e di molti 1:1 NAT su Zyxel Firewall USGFLEX/ATP/VPN

Creato - Aggiornato
Serhii Boiarynov
Print Friendly and PDF
Altre domande? Invia una richiesta

Avviso importante:
Gentile cliente, si prega di notare che utilizziamo la traduzione automatica per fornire articoli nella vostra lingua locale. Non tutto il testo può essere tradotto accuratamente. Se ci sono domande o discrepanze sull'accuratezza delle informazioni nella versione tradotta, si prega di rivedere l'articolo originale qui:Versione originale

La traduzione degli indirizzi di rete (Network Address Translation, NAT) è una tecnologia fondamentale del networking che consente di mappare gli indirizzi IP privati in indirizzi IP pubblici. Un tipo specifico di NAT è il NAT 1:1, noto anche come NAT statico. Questo metodo mappa un singolo indirizzo IP privato su un singolo indirizzo IP pubblico, garantendo che ogni indirizzo privato abbia una controparte pubblica unica e coerente. Ecco alcuni scenari reali in cui il NAT 1:1 è particolarmente utile:

Capire il NAT 1:1: applicazioni reali

Il NAT 1:1, o NAT statico, mappa un singolo indirizzo IP privato su un singolo indirizzo IP pubblico. Ecco alcune applicazioni reali:

  1. Server di hosting: I server Web e di posta elettronica nelle reti private hanno bisogno di un accesso pubblico. Il NAT 1:1 mappa gli IP privati in IP pubblici, garantendo un accesso continuo.
  2. Accesso remoto: I dipendenti possono accedere a risorse interne come desktop remoti e server VPN tramite IP pubblici mappati sulle loro controparti private.
  3. Configurazione DMZ: I servizi rivolti all'esterno nelle DMZ utilizzano NAT 1:1 per l'accessibilità pubblica, proteggendo al contempo le reti interne.
  4. Migrazioni di rete: Durante le transizioni di schema IP, 1:1 NAT mantiene l'accessibilità dei servizi.
  5. Sicurezza dei dispositivi: I dispositivi critici utilizzano il NAT 1:1 per un accesso sicuro alla gestione senza esporre gli IP privati.

Configurazione di NAT 1:1

Il server virtuale è quello più comunemente usato e viene utilizzato quando si vuole rendere disponibile il server interno a una rete pubblica esterna al dispositivo Zyxel. Nel video al link è possibile vedere come viene eseguita la configurazione sulla versione precedente del firewall. L'interfaccia è diversa, ma il processo di configurazione non è cambiato molto.

Creare la regola NAT 1 a 1
  • Accedere al WebGui del dispositivo
  • Spostarsi su
Configuration > Network > NAT
  • Creare una nuova regola facendo clic sul pulsante "Aggiungi".
  • Specificare il nome della regola
  • Selezionare il tipo di mappatura delle porte su "NAT 1:1".

Regola di mappatura per NAT 1:1

Interfaccia in entrata - l'interfaccia da cui proviene il traffico

IP di origine - Da dove gli utenti si connettono (ad esempio, IP attendibili) IP esterno - L'indirizzo IP della vostra WAN / interfaccia in uscita del vostro firewall IP interno - L'indirizzo IP del server verso cui volete inoltrare le porte

  • Selezionare l'interfaccia in entrata su "wan".
  • IP di origine su "qualsiasi".

È possibile specificare manualmente gli indirizzi IP esterni e interni. Tuttavia, si consiglia vivamente di utilizzare gli oggetti per questo scopo. Inoltre, quando si creano criteri di sicurezza aggiuntivi, questo approccio sarà necessario. La creazione di oggetti per le regole NAT semplifica la gestione, migliora la leggibilità, riduce la complessità, migliora l'applicazione dei criteri, consente il riutilizzo e la scalabilità, semplifica i backup e i rollback e riduce al minimo gli errori.

Per creare un oggetto per l'interfaccia esterna e interna, selezionare l'opzione "Crea nuovo oggetto" nell'angolo superiore sinistro dello stesso modulo.

Creare due oggetti "Indirizzo" con il tipo"Interfaccia IP" e "Host", dare un nome chiaro all'oggetto e specificare in un oggetto l'indirizzo dell'interfaccia esterna e nella seconda regola l'indirizzo locale del server Web.

Tipo di mappatura delle porte

any - tutto iltraffico su sarà inoltrato

Servizio - Selezionare un oggetto servizio (un protocollo) Gruppo di servizi - Selezionare un oggetto gruppo di servizi (un gruppo di protocolli) Porta - Selezionare una porta che deve essere inoltrata

Porte - Selezionare un intervallo di porte che deve essere inoltrato.

  • IP esterno e interno: selezionare gli oggetti creati in precedenza.

  • Tipo di mappatura della porta: specificare "Porta".

  • Tipo di protocollo: " qualsiasi".

  • Le porte esterne e interne nel nostro esempio sono le stesse

Nota:

  • La porta esterna è la porta che l'utente esterno utilizza per raggiungere il firewall sulla WAN.
  • La porta interna è la porta che viene inoltrata internamente alla LAN.
  • Può trattarsi di una traduzione 1:1 (porta 80 a 80) o di una porta 80 a 8080, ad esempio

NAT loopback

Il NAT loopback viene utilizzato all'interno della rete per raggiungere il server interno utilizzando l'IP pubblico. Verificare se il NAT loopback è abilitato e fare clic su OK (consente anche agli utenti connessi a qualsiasi interfaccia di utilizzare la regola NAT).

Aggiungere una regola del Firewall per consentire il NAT 1 a 1

  • Spostarsi su
Configuration > Security Policy > Policy Control

  • Creare una nuova regola facendo clic sul pulsante "Aggiungi".

  • Specificare il nome della regola

  • Nel campo "Da", impostare"WAN".

  • Nel campo "A", impostare " LAN".

  • Nel campo "Destinazione", selezionare un oggetto "WebServer" creato in precedenza.

  • Selezionare il servizio o il gruppo di servizi preferito. In questo caso è stato selezionato HTTP_8080.
  • Impostare "Azione" su Consenti.
  • Fare clic sul pulsante OK.

Configurazione di molti NAT 1:1

La funzione Many 1:1 NAT viene utilizzata per inoltrare tutto il traffico da più indirizzi IP esterni (IP pubblici) a più indirizzi IP interni (IP privati) entro un intervallo specificato. È importante notare che questa funzione inoltra tutte le porte; la selezione delle porte non è disponibile nella configurazione Many 1:1 NAT.

Nota! Gli intervalli privati e pubblici devono avere lo stesso numero di indirizzi IP.

Creare la regola NAT Molti 1:1

  • Accedere al WebGui del dispositivo
  • Navigare in
Configuration > Network > NAT
  • Creare una nuova regola facendo clic sul pulsante "Aggiungi".
  • Specificare il nome della regola
  • Selezionare il tipo di mappatura delle porte su "NAT 1:1".

Regola di mappatura per molti NAT 1:1

  • Interfaccia in ingresso - l'interfaccia da cui proviene il traffico (di solito wan1 (o wan1_PPPoE))
  • IP di origine - Da dove gli utenti si connettono (ad esempio, IP fidati)
  • Sottorete/intervallo IP esterno - l'intervallo di indirizzi IP della WAN/interfaccia in uscita del firewall (sono ammessi solo intervalli e sottoreti, non oggetti host).
  • Sottorete/intervallo IP interno - Gli indirizzi IP del server a cui si desidera inoltrare gli indirizzi IP pubblici.
  • Tipo di mappatura delle porte
  • any - tutto il traffico verrà inoltrato (si noti che la funzione NAT molti 1:1 inoltrerà solo "TUTTO il traffico")
  • NAT Loopback - Il NAT loopback consente agli utenti di connettersi agli IP pubblici quando si trovano dietro il firewall.

Creare una regola di controllo dei criteri

Come ultimo passo, è necessario creare una regola di controllo dei criteri per consentire il passaggio del traffico verso il server.

Seguire questi passaggi:

Go to the Configuration > Security Policy > Policy Control
  • Premere il pulsante"Aggiungi" per inserire una nuova regola.
  • Fornire un nome per la regola di controllo criteri.
  • Impostare Da "WAN" a"LAN".
  • Inserire l'oggetto Indirizzo IP del server come "Destinazione".
  • Selezionare il"Servizio" o il"Gruppo di servizi" preferito. In questo caso, selezionare"HTTP_8080".
  • Impostare"Azione" su"Consenti".
  • Fare clic sul pulsante"OK" per salvare la regola.

Articoli in questa sezione

Vedi altro
Questo articolo ti è stato utile?
Utenti che ritengono sia utile: 15 su 30
Condividi