Zyxel Firewall NAT – jak skonfigurować translację adresów sieciowych 1:1 (NAT 1:1) na zaporze sieciowej Zyxel z serii USG Flex H

Utworzono - Zaktualizowano
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Masz więcej pytań? Wyślij zgłoszenie

Ważna informacja:
Szanowny Kliencie, prosimy pamiętać, że korzystamy z tłumaczenia maszynowego, aby udostępniać artykuły w Państwa lokalnym języku. Nie wszystkie fragmenty tekstu mogą być przetłumaczone dokładnie. W przypadku pytań lub rozbieżności dotyczących dokładności informacji w przetłumaczonej wersji, prosimy zapoznać się z oryginalnym artykułem tutaj:Wersja oryginalna

W niniejszym przewodniku pokazano, jak korzystać z serii USG FLEX H w celu skonfigurowania bezpiecznego dostępu do serwera wewnętrznego znajdującego się za urządzeniem USG FLEX H przy użyciu translacji adresów sieciowych (NAT). Użytkownicy Internetu mogą uzyskać bezpośredni dostęp do tego serwera za pośrednictwem jego publicznego adresu IP oraz reguły mapowania NAT

NAT 1:1 (Network Address Translation) to technika sieciowa, która bezpośrednio mapuje jeden zewnętrzny publiczny adres IP na jeden wewnętrzny prywatny adres IP. Metoda ta zapewnia kompatybilność z niektórymi aplikacjami i umożliwia precyzyjną kontrolę dostępu opartą na adresach IP.

W tym artykule znajdziesz szczegółowe wyjaśnienia dotyczące działania NAT 1:1 i jego zalet. Praktyczne przykłady ilustrują jego zastosowania, takie jak hosting serwerów WWW, udostępnianie usług pulpitu zdalnego, konfigurowanie połączeń VPN oraz obsługa serwerów gier. Każdy przykład pokazuje, w jaki sposób NAT 1:1 może uprościć zarządzanie siecią i zwiększyć bezpieczeństwo, umożliwiając bezpośredni dostęp do zasobów wewnętrznych. Niezależnie od tego, czy jesteś specjalistą IT, czy administratorem sieci, ten artykuł dostarczy cennych wskazówek dotyczących efektywnego wykorzystania NAT 1:1 w różnych scenariuszach.

Kluczowe cechy NAT 1:1:

  • Bezpośrednie mapowanie: Łączy publiczny adres IP z prywatnym adresem IP.
  • Konkretne przypadki użycia: Idealne rozwiązanie w sytuacjach, w których potrzebne jest bezpośrednie połączenie między adresem IP zewnętrznym a wewnętrznym.
  • Translacja adresów sieci źródłowej (SNAT): Zmienia adres IP źródła ruchu wychodzącego na adres IP publiczny.

Kiedy stosować NAT 1:1 – przykłady z życia wzięte:

  1.  

    Serwery hostingowe:

     

    • Serwer WWW: Jeśli Twoja organizacja posiada serwer WWW o prywatnym adresie IP 192.168.1.10, możesz przypisać mu publiczny adres IP, np. 203.0.113.10. Użytkownicy zewnętrzni mogą uzyskać dostęp do Twojej strony internetowej za pomocą publicznego adresu IP, podczas gdy serwer pozostaje w sieci prywatnej.
    • Serwer pocztowy: Serwer pocztowy z prywatnym adresem IP 192.168.1.20 można przypisać do publicznego adresu IP 203.0.113.20. Dzięki temu użytkownicy mogą wysyłać i odbierać wiadomości e-mail, korzystając z publicznego adresu IP.
    • Serwer FTP: Dostęp do serwera FTP o prywatnym adresie IP 192.168.1.30 można uzyskać za pośrednictwem publicznego adresu IP 203.0.113.30, co umożliwia użytkownikom zewnętrznym przesyłanie i pobieranie plików.

     

  2.  

    Zgodność aplikacji:

     

    • System VoIP: Niektóre systemy VoIP wymagają statycznych, publicznych adresów IP w celu zapewnienia niezawodnej komunikacji. Na przykład serwer VoIP o prywatnym adresie IP 192.168.1.40 można przypisać do publicznego adresu IP 203.0.113.40, aby zapewnić płynną komunikację głosową.
    • Serwer gier online: Serwer gier online z prywatnym adresem IP 192.168.1.50 może otrzymać publiczny adres IP 203.0.113.50, aby umożliwić graczom z całego świata łączenie się przy użyciu stałego adresu IP.

     

  3.  

    Kontrola dostępu oparta na adresach IP:

     

    • Kamery bezpieczeństwa: Organizacja może wykorzystać NAT 1:1, aby umożliwić zdalny dostęp do kamer bezpieczeństwa. System kamer o prywatnym adresie IP 192.168.1.60 można przypisać do publicznego adresu IP 203.0.113.60, umożliwiając zdalne monitorowanie przy jednoczesnym stosowaniu określonych reguł dostępu.
    • Systemy kontroli dostępu do budynków: W przypadku systemów kontrolujących dostęp do budynków, takich jak czytniki kart, urządzenie o prywatnym adresie IP 192.168.1.70 można przypisać do publicznego adresu IP 203.0.113.70. Pozwala to administratorom na zdalne zarządzanie dostępem przy zachowaniu zasad bezpiecznego dostępu.

     

Podsumowując, NAT 1:1 jest przydatny do bezpośredniego mapowania zewnętrznych adresów IP na wewnętrzne adresy prywatne, zapewniając kompatybilność niektórych aplikacji oraz wdrażając kontrolę dostępu opartą na adresach IP. Te praktyczne przykłady pokazują, w jaki sposób różne serwery i systemy mogą skorzystać z NAT 1:1.

W tym przykładzie skonfigurujemy dostęp do serwera pocztowego z sieci WAN przy użyciu publicznego adresu IP

Skonfiguruj NAT na USG FLEX H 
 Konfiguracja > Sieć > NAT i utwórz nową regułę, klikając przycisk „Dodaj”

Następnie można wypełnić wszystkie wymagane pola.

  • Włącz regułę NAT
  • Nadaj nazwę, która oddaje istotę reguły
  • Wybierz typ mapowania portów „1:1 NAT
  • Interfejs przychodzący do sieci WAN
  • IP źródłowe: dowolne
  • Zewnętrzny adres IP – użyj swojego zewnętrznego adresu IP
  • Adres IP wewnętrzny – podaj adres IP, do którego potrzebny jest dostęp
  • Typ mapowania portów – zależy od tego, co robisz (Dowolny – cały ruch będzie przekazywany, Usługa – wybierz obiekt usługi (protokół), Grupa usług – wybierz obiekt grupy usług (grupę protokołów), Port – wybierz port, który ma być przekazywany, Porty – wybierz zakres portów, które mają być przekazywane) 
  • Włącz pętlę zwrotną NAT
  • Zastosuj wszystkie zmiany

Pętla zwrotna NAT jest używana wewnątrz sieci w celu dotarcia do serwera wewnętrznego przy użyciu publicznego adresu IP. Sprawdź, czy pętla zwrotna NAT jest włączona, i kliknij OK (umożliwia to użytkownikom podłączonym do dowolnego interfejsu korzystanie z reguły NAT)

Skonfiguruj zasady bezpieczeństwa na USG FLEX H

W tym przykładzie skonfigurujemy dostęp do naszego serwera WWW z sieci WAN

Polityka bezpieczeństwa > Kontrola polityki i utwórz nową regułę, klikając przycisk „Dodaj”

Następnie można wypełnić wszystkie wymagane pola.

  • Włącz politykę
  • Nadaj nazwę, która oddaje istotę reguły
  • Od — sieć WAN
  • Do — LAN
  • Źródło — dowolne
  • Miejsce docelowe – podsieć LAN, w której znajduje się serwer (w tym przykładzie LAN_SUBNET_GE3) lubwybierz obiekt utworzony w poprzednim kroku
  • Usługa — HTTPS
  • Użytkownik — dowolny
  • Działanie – zezwól
  • Zastosuj wszystkie zmiany

 

Rozwiązywanie problemów z konfiguracją NAT 1:1

  • Sprawdź reguły NAT: Upewnij się, że reguły NAT 1:1 są poprawnie skonfigurowane, a wewnętrzny adres IP serwera pocztowego jest prawidłowo przypisany do właściwego publicznego adresu IP.

  • Reguły zapory: Upewnij się, że reguły zapory są ustawione tak, aby zezwalały na ruch na niezbędnych portach (np. port 443 dla HTTPS).

  • Logi i diagnostyka: Regularnie monitoruj logi zapory sieciowej i korzystaj z narzędzi diagnostycznych, aby sprawdzać przepływ ruchu. Może to pomóc w szybkiej identyfikacji i rozwiązywaniu problemów.

  • Upewnij się, że wszystkie publiczne adresy IP są poprawnie routowane. Aby to sprawdzić, przypisz każdy publiczny adres IP indywidualnie do portu WAN urządzenia USG FLEX serii H.

  • Przetestuj dostęp do Internetu przy użyciu każdego publicznego adresu IP, aby potwierdzić, że działa on poprawnie.

  • Skontaktuj się z dostawcą usług internetowych, aby upewnić się, że routing dla Twoich publicznych adresów IP jest prawidłowo skonfigurowany i aktywny.

Artykuły w tej sekcji

Czy ten artykuł był pomocny?
Liczba użytkowników, którzy uważają ten artykuł za przydatny: 0 z 0
Udostępnij

Komentarze

Komentarze: 0

Zaloguj się, aby dodać komentarz.