Zyxel-brannmur [NAT] - hvordan du konfigurerer NAT 1 til 1 (Network Address Translation) på brannmuren i Zyxel USG Flex H-serien

Opprettet - Oppdatert
Serhii Boiarynov
Print Friendly and PDF
Har du flere spørsmål? Send oss en henvendelse

Viktig merknad:
Kjære kunde, vær oppmerksom på at vi bruker maskinoversettelse for å levere artikler på ditt lokale språk. Det er ikke sikkert at all tekst er oversatt nøyaktig. Hvis det er spørsmål eller uoverensstemmelser med hensyn til nøyaktigheten av informasjonen i den oversatte versjonen, kan du lese den opprinnelige artikkelen her:Originalversjon

Denne veiledningen viser hvordan du bruker USG FLEX H-serien til å konfigurere sikker tilgang til en intern server bak USG FLEX H ved hjelp av NAT (Network Address Translation). Internett-brukere kan nå denne serveren direkte via dens offentlige IP-adresse og en NAT-tilordningsregel

1:1 NAT (Network Address Translation) er en nettverksteknikk som tilordner en ekstern offentlig IP-adresse direkte til en intern privat IP-adresse. Denne metoden sikrer kompatibilitet med visse applikasjoner og implementerer presis IP-basert tilgangskontroll.

I denne artikkelen finner du en detaljert forklaring på hvordan 1:1 NAT fungerer og hvilke fordeler det gir. Eksempler fra den virkelige verden illustrerer de praktiske bruksområdene, for eksempel hosting av webservere, aktivering av eksterne skrivebordstjenester, oppsett av VPN-tilkoblinger og støtte for spillservere. Hvert eksempel viser hvordan 1:1 NAT kan forenkle nettverksadministrasjon og forbedre sikkerheten ved å gi direkte tilgang til interne ressurser. Enten du er IT-profesjonell eller nettverksadministrator, vil denne artikkelen gi deg verdifull innsikt i hvordan du effektivt kan bruke 1:1 NAT i ulike scenarier.

Viktige funksjoner i 1:1 NAT:

  • Direkte mapping: Kobler en offentlig IP til en privat IP.
  • Spesifikke bruksområder: Ideell for situasjoner der det er behov for en direkte kobling mellom en ekstern og en intern IP.
  • Oversettelse av kildenettverksadresse (SNAT): Endrer kilde-IP-en for utgående trafikk til den offentlige IP-en.

Når du bør bruke 1:1 NAT med eksempler fra den virkelige verden:

  1. Hosting-servere:

    • Webserver: Hvis organisasjonen din har en webserver med en privat IP på 192.168.1.10, kan du tilordne den til en offentlig IP som 203.0.113.10. Eksterne brukere kan få tilgang til nettstedet ditt ved hjelp av den offentlige IP-en, mens serveren forblir i det private nettverket.
    • E-postserver: En e-postserver med en privat IP på 192.168.1.20 kan mappes til en offentlig IP på 203.0.113.20. Dette gjør det mulig for brukere å sende og motta e-post ved hjelp av den offentlige IP-adressen.
    • FTP-server: En FTP-server med en privat IP på 192.168.1.30 kan nås via en offentlig IP på 203.0.113.30, slik at eksterne brukere kan laste opp og ned filer.

  2. Applikasjonskompatibilitet:

    • VoIP-system: Noen VoIP-systemer krever statiske, offentlige IP-adresser for pålitelig kommunikasjon. For eksempel kan en VoIP-server med en privat IP på 192.168.1.40 mappes til en offentlig IP på 203.0.113.40 for å sikre problemfri talekommunikasjon.
    • Server for nettspill: En online spillserver med en privat IP på 192.168.1.50 kan gis en offentlig IP på 203.0.113.50, slik at spillere over hele verden kan koble seg til ved hjelp av en konsekvent IP-adresse.

  3. IP-basert tilgangskontroll:

    • Sikkerhetskameraer: En organisasjon kan bruke 1:1 NAT for å gi ekstern tilgang til sikkerhetskameraer. Et kamerasystem med en privat IP på 192.168.1.60 kan mappes til en offentlig IP på 203.0.113.60, noe som muliggjør fjernovervåking samtidig som det brukes spesifikke tilgangsregler.
    • Systemer for tilgang til bygninger: For systemer som kontrollerer tilgang til bygninger, for eksempel kortlesere, kan en enhet med en privat IP på 192.168.1.70 tilordnes til en offentlig IP på 203.0.113.70. Dette gjør det mulig for administratorer å administrere tilgang eksternt og samtidig opprettholde sikre tilgangsretningslinjer.

Oppsummert er 1:1 NAT nyttig for å tilordne eksterne offentlige IP-adresser direkte til interne private IP-adresser, sikre kompatibilitet for visse applikasjoner og implementere IP-basert tilgangskontroll. Disse eksemplene fra den virkelige verden viser hvordan ulike servere og systemer kan dra nytte av 1:1 NAT.

I dette eksemplet vil vi konfigurere tilgang til Mail Server fra WAN ved hjelp av offentlig IP

KonfigurerNAT på USG FLEX H
dyn_repppppppp_0

Deretter kan du fylle ut alle obligatoriske felt.

  • Aktiver NAT-regel
  • Gi regelen et navn som beskriver essensen av den
  • Velg porttilordningstype til "1:1 NAT"
  • Innkommende grensesnitt til WAN
  • Kilde-IP til hvilken som helst
  • Ekstern IP - bruk din eksterne IP
  • Intern IP - angi IP-adressen som det kreves tilgang til
  • Port Mapping Type - avhenger av hva du gjør (Any - all trafikk videresendes ,Service - velg et tjenesteobjekt (en protokoll) ,Service-Group - velg et tjenestegruppeobjekt (en gruppe protokoller ), Port - velg en port som skalvideresendes , Ports - velg etportintervall som skal videresendes).
  • Aktiver NAT-loopback
  • Bruk alle endringer

NAT-loopback brukes i nettverket for å nå den interne serveren ved hjelp av den offentlige IP-en. Sjekk om NAT-loopback er aktivert, og klikk på OK (gjør at brukere som er koblet til et hvilket som helst grensesnitt, også kan bruke NAT-regelen)

Konfigurer sikkerhetspolicyen på USG FLEX H

I dette eksemplet vil vi konfigurere tilgang til webserveren vår fra WAN

dyn_repppppppp_1

Deretter kan du fylle ut alle obligatoriske felt.

  • Aktiver policy
  • Gi et navn som fanger opp essensen av regelen
  • Fra - WAN
  • Til - LAN
  • Kilde - hvilken som helst
  • Destinasjon - LAN-delnett der serveren din er (LAN_SUBNET_GE3 i dette eksempelet) eller velgobjektet som ble opprettet i forrige trinn
  • Tjeneste - HTTPS
  • Bruker - Hvilken som helst
  • Handling - Tillat
  • Bruk alle endringer

Feilsøking av 1:1 NAT-konfigurasjon

  • Verifiser NAT-regler: Dobbeltsjekk at 1:1 NAT-reglene er riktig konfigurert, og sørg for at den interne IP-adressen til e-postserveren er riktig mappet til riktig offentlig IP-adresse.

  • Brannmurregler: Kontroller at brannmurreglene er satt til å tillate trafikk på de nødvendige portene (f.eks. port 443 for HTTPS).

  • Logger og diagnostikk: Overvåk brannmurloggene regelmessig, og bruk diagnoseverktøy for å kontrollere trafikkflyten. Dette kan bidra til å identifisere og løse problemer raskt.

  • Sørg for at alle offentlige IP-adresser er riktig rutet. For å verifisere dette, tilordner du hver offentlige IP-adresse til USG FLEX H-seriens WAN-port individuelt.

  • Test internettilgang ved hjelp av hver offentlige IP-adresse for å bekrefte at den fungerer som den skal.

  • Kontakt Internett-leverandøren for å forsikre deg om at rutingen for de offentlige IP-adressene er riktig konfigurert og aktiv.

Artikler i denne seksjonen

Se mer
Var denne artikkelen nyttig?
0 av 0 syntes dette var nyttig
Del