Zyxel-brannmur NAT – hvordan konfigurere 1-til-1-NAT (Network Address Translation) på Zyxel USG Flex H-serien brannmur

Opprettet - Oppdatert
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Har du flere spørsmål? Send oss en henvendelse

Viktig melding:
Kjære kunde, vær oppmerksom på at vi bruker maskinoversettelse for å tilby artikler på ditt lokale språk. Ikke all tekst er nødvendigvis oversatt nøyaktig. Hvis du har spørsmål eller oppdager avvik i nøyaktigheten av informasjonen i den oversatte versjonen, kan du lese den opprinnelige artikkelen her:Originalversjon

Denne veiledningen viser hvordan du bruker USG FLEX H-serien til å konfigurere sikker tilgang til en intern server bak USG FLEX H ved hjelp av Network Address Translation (NAT). Internettbrukere kan nå denne serveren direkte via den offentlige IP-adressen, og en NAT-tilordningsregel

1:1 NAT (Network Address Translation) er en nettverksteknikk som direkte tilordner én ekstern offentlig IP-adresse til én intern privat IP-adresse. Denne metoden sikrer kompatibilitet med visse applikasjoner og implementerer presis IP-basert tilgangskontroll.

I denne artikkelen finner du detaljerte forklaringer på hvordan 1:1 NAT fungerer og fordelene ved det. Eksempler fra virkeligheten illustrerer de praktiske anvendelsene, for eksempel hosting av webservere, aktivering av eksterne skrivebordstjenester, oppsett av VPN-tilkoblinger og støtte for spillservere. Hvert eksempel viser hvordan 1:1 NAT kan forenkle nettverksadministrasjonen og forbedre sikkerheten ved å gi direkte tilgang til interne ressurser. Uansett om du er IT-fagperson eller nettverksadministrator, vil denne artikkelen gi deg verdifull innsikt i hvordan du effektivt kan utnytte 1:1 NAT i ulike scenarier.

Viktige funksjoner i 1:1 NAT:

  • Direkte tilordning: Kobler en offentlig IP-adresse til en privat IP-adresse.
  • Spesifikke bruksområder: Ideelt for situasjoner der det er behov for en direkte kobling mellom en ekstern og en intern IP-adresse.
  • Source Network Address Translation (SNAT): Endrer kilde-IP-en til utgående trafikk til den offentlige IP-en.

Når skal du bruke 1:1 NAT – med eksempler fra virkeligheten:

  1.  

    Hostingservere:

     

    • Webserver: Hvis organisasjonen din har en webserver med en privat IP-adresse på 192.168.1.10, kan du tilordne den til en offentlig IP-adresse som 203.0.113.10. Eksterne brukere kan få tilgang til nettstedet ditt ved hjelp av den offentlige IP-adressen, mens serveren forblir på det private nettverket.
    • E-postserver: En e-postserver med en privat IP-adresse på 192.168.1.20 kan tilordnes en offentlig IP-adresse på 203.0.113.20. Dette gjør at brukere kan sende og motta e-post ved hjelp av den offentlige IP-adressen.
    • FTP-server: En FTP-server med en privat IP-adresse på 192.168.1.30 kan nås via en offentlig IP-adresse på 203.0.113.30, slik at eksterne brukere kan laste opp og laste ned filer.

     

  2.  

    Programkompatibilitet:

     

    • VoIP-system: Noen VoIP-systemer krever statiske, offentlige IP-adresser for pålitelig kommunikasjon. For eksempel kan en VoIP-server med en privat IP-adresse på 192.168.1.40 tilordnes en offentlig IP-adresse på 203.0.113.40 for å sikre jevn talekommunikasjon.
    • Online spillserver: En online spillserver med en privat IP-adresse på 192.168.1.50 kan tildeles en offentlig IP-adresse på 203.0.113.50 for å la spillere over hele verden koble seg til ved hjelp av en fast IP-adresse.

     

  3.  

    IP-basert tilgangskontroll:

     

    • Sikkerhetskameraer: En organisasjon kan bruke 1:1 NAT for å tillate ekstern tilgang til sikkerhetskameraer. Et kamerasystem med en privat IP-adresse på 192.168.1.60 kan tilordnes en offentlig IP-adresse på 203.0.113.60, noe som muliggjør fjernovervåking samtidig som spesifikke tilgangsregler gjelder.
    • Adgangssystemer til bygninger: For systemer som styrer adgang til bygninger, for eksempel kortlesere, kan en enhet med en privat IP-adresse på 192.168.1.70 tilordnes en offentlig IP-adresse på 203.0.113.70. Dette gjør det mulig for administratorer å administrere adgangen eksternt samtidig som sikre adgangsregler opprettholdes.

     

Oppsummert er 1:1 NAT nyttig for direkte tilordning av eksterne offentlige IP-adresser til interne private IP-adresser, noe som sikrer kompatibilitet for visse applikasjoner og implementering av IP-basert tilgangskontroll. Disse eksemplene fra virkeligheten viser hvordan ulike servere og systemer kan dra nytte av 1:1 NAT.

I dette eksemplet skal vi konfigurere tilgang til e-postserveren fra WAN ved hjelp av offentlig IP

Konfigurer NAT på USG FLEX H- 
 Konfigurasjon > Nettverk > NAT og opprett en ny regel ved å klikke på «Legg til»-knappen

Deretter kan du fylle ut alle obligatoriske felt.

  • Aktiver NAT-regel
  • Gi regelen et navn som beskriver innholdet
  • Velg porttilordningstypen «1:1 NAT»
  • Innkommende grensesnitt til WAN
  • Kilde-IP til Alle
  • Ekstern IP – bruk din eksterne IP
  • Intern IP – spesifiser IP-adressen som det kreves tilgang til
  • Porttilordningstype – avhenger av hva du gjør (Alle – all trafikk vil bli videresendt, Tjeneste – velg et tjenesteobjekt (et protokoll), Tjenestegruppe – velg et tjenestegruppeobjekt (en gruppe protokoller), Port – velg en port som må videresendes, Porter – velg et portområde som må videresendes) 
  • Aktiver NAT-loopback
  • Bruk alle endringer

NAT-loopback brukes inne i nettverket for å nå den interne serveren ved hjelp av den offentlige IP-adressen. Sjekk om NAT-loopback er aktivert, og klikk OK (tillater brukere som er koblet til et hvilket som helst grensesnitt å bruke NAT-regelen også)

Konfigurer sikkerhetspolitikken på USG FLEX H

I dette eksemplet skal vi konfigurere tilgang til webserveren vår fra WAN

Sikkerhetspolicy > Policykontroll og opprett en ny regel ved å klikke på «Legg til»-knappen

Deretter kan du fylle ut alle obligatoriske felt.

  • Aktiver policy
  • Gi regelen et navn som fanger essensen av den
  • Fra – WAN
  • Til – LAN
  • Kilde – Alle
  • Destinasjon – LAN-subnett der serveren din befinner seg (LAN_SUBNET_GE3 i dette eksemplet) ellervelg objektet som ble opprettet i forrige trinn
  • Tjeneste – HTTPS
  • Bruker – Alle
  • Handling – tillat
  • Bruk alle endringer

 

Feilsøking av 1:1 NAT-konfigurasjon

  • Kontroller NAT-regler: Kontroller at 1:1 NAT-reglene er riktig konfigurert, og sørg for at den interne IP-adressen til e-postserveren din er riktig tilordnet den riktige offentlige IP-adressen.

  • Brannmurregler: Sørg for at brannmurreglene er satt til å tillate trafikk på de nødvendige portene (f.eks. port 443 for HTTPS).

  • Logg og diagnostikk: Overvåk brannmurloggene regelmessig og bruk diagnostiske verktøy for å sjekke trafikkflyten. Dette kan bidra til å identifisere og løse problemer raskt.

  • Sørg for at alle offentlige IP-adresser er riktig rutet. For å verifisere dette, tilordne hver offentlig IP-adresse til USG FLEX H-serien WAN-porten individuelt.

  • Test internettilgangen ved å bruke hver offentlige IP-adresse for å bekrefte at den fungerer som den skal.

  • Kontakt internettleverandøren din for å sikre at rutingen for de offentlige IP-adressene dine er riktig konfigurert og aktiv.

Artikler i denne seksjonen

Var denne artikkelen nyttig?
0 av 0 syntes dette var nyttig
Del

Kommentarer

0 kommentarer

Logg på hvis du vil legge inn en kommentar.