Zyxel Firewall Network Address Translation [NAT] - Konfiguracja NAT 1:1 i wielu NAT 1:1 na Zyxel Firewall USGFLEX/ATP/VPN

Utworzono - Zaktualizowano
Serhii Boiarynov
Print Friendly and PDF
Masz więcej pytań? Wyślij zgłoszenie

Ważna informacja:
Drogi kliencie, pamiętaj, że korzystamy z tłumaczenia maszynowego, aby dostarczać artykuły w Twoim lokalnym języku. Nie wszystkie teksty mogą być przetłumaczone dokładnie. W przypadku pytań lub rozbieżności dotyczących dokładności informacji w przetłumaczonej wersji, prosimy o zapoznanie się z oryginalnym artykułem tutaj:Wersja oryginalna

Translacja adresów sieciowych (NAT) to podstawowa technologia sieciowa, która umożliwia mapowanie prywatnych adresów IP na publiczne adresy IP. Jednym ze specyficznych typów NAT jest NAT 1:1, znany również jako statyczny NAT. Metoda ta mapuje pojedynczy prywatny adres IP na pojedynczy publiczny adres IP, zapewniając, że każdy prywatny adres ma unikalny, spójny publiczny odpowiednik. Oto kilka rzeczywistych scenariuszy, w których NAT 1:1 jest szczególnie przydatny:

Zrozumienie 1:1 NAT: rzeczywiste zastosowania

NAT 1:1 lub statyczny NAT mapuje pojedynczy prywatny adres IP na pojedynczy publiczny adres IP. Oto kilka rzeczywistych zastosowań:

  1. Hosting serwerów: Serwery WWW i poczty e-mail w sieciach prywatnych wymagają dostępu publicznego. NAT 1:1 mapuje prywatne IP na publiczne IP, zapewniając płynny dostęp.
  2. Zdalny dostęp: Pracownicy mogą uzyskać dostęp do zasobów wewnętrznych, takich jak Pulpit zdalny i serwery VPN, za pośrednictwem publicznych adresów IP zmapowanych na ich prywatne odpowiedniki.
  3. Konfiguracja DMZ: Zewnętrzne usługi w strefach DMZ wykorzystują NAT 1:1 do publicznego dostępu, jednocześnie chroniąc sieci wewnętrzne.
  4. Migracje sieci: Podczas zmiany schematu IP, NAT 1:1 utrzymuje dostępność usług.
  5. Bezpieczeństwo urządzeń: Krytyczne urządzenia korzystają z NAT 1:1 w celu zapewnienia bezpiecznego dostępu do zarządzania bez ujawniania prywatnych adresów IP.

Konfiguracja NAT 1:1

Serwer wirtualny jest najczęściej używany i jest używany, gdy chcesz udostępnić serwer wewnętrzny sieci publicznej poza urządzeniem Zyxel. Na filmie pod linkiem można zobaczyć, jak konfiguracja jest wykonywana na poprzedniej wersji zapory. Interfejs jest inny, ale proces konfiguracji nie uległ większym zmianom.

Tworzenie reguły NAT 1 do 1
  • Zaloguj się do WebGui urządzenia
  • Przejdź do
dyn_repppp_0
  • Utwórz nową regułę, klikając przycisk "Dodaj".
  • Określ nazwę reguły
  • Wybierz typ mapowania portów na "NAT 1:1".

Reguła mapowania dla NAT 1:1

Interfejs przychodzący - interfejs, z którego pochodzi ruch

Zewnętrzny adres IP - adres IP sieci WAN / interfejsu wychodzącego zapory sieciowej Wewnętrzny adres IP - adres IP serwera, do którego mają być przekierowywane porty

  • Wybierz interfejs przychodzący na "wan"
  • Źródłowy adres IP na "dowolny"

Możliwe jest ręczne określenie zewnętrznych i wewnętrznych adresów IP. Zdecydowanie zalecamy jednak wykorzystanie w tym celu obiektów. Ponadto, podczas tworzenia dodatkowych zasad bezpieczeństwa, takie podejście będzie konieczne. Tworzenie obiektów dla reguł NAT upraszcza zarządzanie, poprawia czytelność, zmniejsza złożoność, poprawia egzekwowanie zasad, umożliwia ponowne użycie i skalowalność, upraszcza tworzenie kopii zapasowych i wycofywanie oraz minimalizuje błędy.

Aby utworzyć obiekt dla interfejsu zewnętrznego i wewnętrznego, należy wybrać opcję "Utwórz nowy obiekt" znajdującą się w lewym górnym rogu tego samego formularza.

Utwórz dwa obiekty "Address" z typem"Interface IP" i "Host", nadaj obiektowi jasną nazwę i określ w jednym obiekcie adres interfejsu zewnętrznego, a w drugiej regule lokalny adres serwera WWW.

Typ mapowania portów

dowolny - całyruch będzie przekazywany

Usługa - wybierz obiekt usługi (protokół) Grupa usług - wybierz obiekt grupy usług (grupa protokołów) Port - wybierz port, który ma być przekierowany

Ports - wybór zakresu portów, które mają być przekazywane dalej

  • External and Internal IP - wybierz wcześniej utworzone obiekty

  • Typ mapowania portu: "Port"

  • Protokół - typ "dowolny"

  • Porty zewnętrzne i wewnętrzne w naszym przykładzie są takie same.

Uwaga:

  • Port zewnętrzny to port, którego używa użytkownik zewnętrzny, aby dostać się do firewalla w sieci WAN.
  • Port wewnętrzny to port, który jest przekierowywany wewnętrznie w sieci LAN
  • Może to być na przykład translacja 1:1 (port 80 na 80) lub port 80 na 8080.

NAT loopback

Pętla zwrotna NAT jest używana wewnątrz sieci, aby dotrzeć do wewnętrznego serwera przy użyciu publicznego adresu IP. Sprawdź, czy pętla zwrotna NAT jest włączona i kliknij OK (pozwala użytkownikom podłączonym do dowolnego interfejsu również korzystać z reguły NAT).

Dodaj regułę Firewall, aby zezwolić na NAT 1 do 1

  • Przejdź do
dyn_repppp_1

  • Utwórz nową regułę, klikając przycisk "Dodaj".

  • Określ nazwę reguły

  • W polu "Od" ustaw"WAN".

  • W polu "Do" ustaw "LAN".

  • W polu "Miejsce docelowe" wybierz wcześniej utworzony obiekt "WebServer".

  • Wybierz preferowaną usługę lub grupę usług. W tym przypadku wybrano HTTP_8080.
  • Ustaw opcję "Akcja" na Zezwalaj.
  • Kliknij przycisk OK.

Konfiguracja wielu NAT-ów 1:1

Funkcja Many 1:1 NAT służy do przekazywania całego ruchu z wielu zewnętrznych adresów IP (publicznych adresów IP) do wielu wewnętrznych adresów IP (prywatnych adresów IP) w określonym zakresie. Ważne jest, aby pamiętać, że ta funkcja przekazuje wszystkie porty; wybór portu nie jest dostępny w konfiguracji Many 1:1 NAT.

Uwaga! Zakresy prywatne i publiczne muszą mieć taką samą liczbę adresów IP.

Utwórz regułę Many 1:1 NAT

  • Zaloguj się do WebGui urządzenia
  • Przejdź do
dyn_repppp_2
  • Utwórz nową regułę, klikając przycisk "Dodaj".
  • Określ nazwę reguły
  • Wybierz typ mapowania portów na "NAT 1:1".

Reguła mapowania dla wielu NAT 1:1

  • Interfejs przychodzący - interfejs, z którego pochodzi ruch (zwykle wan1 (lub wan1_PPPoE))
  • Źródłowy adres IP - skąd łączą się użytkownicy (np. zaufane adresy IP)
  • External IP Subnet/Range - zakres adresów IP sieci WAN / interfejsu wychodzącego zapory sieciowej (dozwolone są tylko zakresy i podsieci - nie obiekty hostów).
  • Internal IP Subnet/Range - adresy IP serwera, do którego mają być przekazywane publiczne adresy IP.
  • Typ mapowania portów
  • dowolny - cały ruch będzie przekazywany (należy pamiętać, że funkcja Many 1:1 NAT będzie przekazywać tylko "WSZYSTKI ruch")
  • NAT Loopback - NAT loopback umożliwia użytkownikom łączenie się z publicznymi adresami IP, gdy znajdują się za zaporą.

Utwórz regułę kontroli zasad

Ostatnim krokiem jest utworzenie reguły Policy Control, która pozwoli na przekazywanie ruchu do serwera.

Wykonaj następujące kroki:

dyn_repppp_3
  • Naciśnij przycisk"Dodaj", aby wstawić nową regułę.
  • Podaj nazwę reguły Policy Control.
  • Ustaw z "WAN" na"LAN".
  • Wstaw obiekt adresu IP serwera jako "Miejsce docelowe".
  • Wybierz preferowaną"Usługę" lub"Grupę usług". W tym przypadku wybierz"HTTP_8080".
  • Ustaw"Akcja" na"zezwalaj".
  • Kliknij przycisk"OK", aby zapisać regułę.

Artykuły w tej sekcji

Pokaż więcej
Czy ten artykuł był pomocny?
Liczba użytkowników, którzy uważają ten artykuł za przydatny: 15 z 30
Udostępnij