NAT на брандмауэре Zyxel — как настроить преобразование сетевых адресов 1 к 1 (NAT 1:1) на брандмауэре Zyxel серии USG Flex H

Создан - Обновлено
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Еще есть вопросы? Отправить запрос

Важное уведомление:
Уважаемый клиент, обратите внимание, что мы используем машинный перевод для предоставления статей на вашем языке. Не весь текст может быть переведен точно. Если у вас возникнут вопросы или неточности в переведенной версии, пожалуйста, ознакомьтесь с оригинальной статьей здесь:Оригинальная версия

В этом руководстве показано, как использовать серию USG FLEX H для настройки безопасного доступа к внутреннему серверу, расположенному за USG FLEX H, с помощью преобразования сетевых адресов (NAT). Пользователи Интернета могут напрямую подключаться к этому серверу через его публичный IP-адрес, а правило сопоставления NAT

NAT 1:1 (Network Address Translation) — это сетевая технология, которая напрямую сопоставляет один внешний публичный IP-адрес с одним внутренним частным IP-адресом. Этот метод обеспечивает совместимость с определенными приложениями и реализует точный контроль доступа на основе IP-адресов.

В этой статье вы найдете подробные объяснения того, как работает NAT 1:1, и его преимуществ. Реальные примеры иллюстрируют его практическое применение, такое как хостинг веб-серверов, обеспечение работы служб удаленного рабочего стола, настройка VPN-соединений и поддержка игровых серверов. Каждый пример демонстрирует, как NAT 1:1 может упростить управление сетью и повысить безопасность, обеспечивая прямой доступ к внутренним ресурсам. Независимо от того, являетесь ли вы ИТ-специалистом или сетевым администратором, эта статья предоставит ценную информацию об эффективном использовании NAT 1:1 в различных сценариях.

Ключевые особенности NAT 1:1:

  • Прямое сопоставление: соединяет публичный IP-адрес с частным.
  • Конкретные сценарии использования: идеально подходит для ситуаций, когда требуется прямая связь между внешним и внутренним IP-адресом.
  • Преобразование адресов исходной сети (SNAT): изменяет исходный IP-адрес исходящего трафика на публичный IP-адрес.

Когда использовать NAT 1:1: примеры из реальной жизни:

  1.  

    Хостинг-серверы:

     

    • Веб-сервер: Если у вашей организации есть веб-сервер с частным IP-адресом 192.168.1.10, вы можете сопоставить его с публичным IP-адресом, например 203.0.113.10. Внешние пользователи могут получить доступ к вашему веб-сайту, используя публичный IP-адрес, в то время как сервер остается в частной сети.
    • Почтовый сервер: Почтовый сервер с частным IP-адресом 192.168.1.20 можно сопоставить с публичным IP-адресом 203.0.113.20. Это позволяет пользователям отправлять и получать электронные письма, используя публичный IP-адрес.
    • FTP-сервер: доступ к FTP-серверу с частным IP-адресом 192.168.1.30 можно получить через публичный IP-адрес 203.0.113.30, что позволяет внешним пользователям загружать и скачивать файлы.

     

  2.  

    Совместимость приложений:

     

    • Система VoIP: Некоторые системы VoIP требуют статических публичных IP-адресов для надежной связи. Например, сервер VoIP с частным IP-адресом 192.168.1.40 можно сопоставить с публичным IP-адресом 203.0.113.40, чтобы обеспечить бесперебойную голосовую связь.
    • Сервер онлайн-игр: Серверу онлайн-игр с частным IP-адресом 192.168.1.50 можно присвоить публичный IP-адрес 203.0.113.50, чтобы игроки со всего мира могли подключаться, используя постоянный IP-адрес.

     

  3.  

    Контроль доступа на основе IP-адресов:

     

    • Камеры видеонаблюдения: Организация может использовать NAT 1:1 для обеспечения удаленного доступа к камерам видеонаблюдения. Система камер с частным IP-адресом 192.168.1.60 может быть сопоставлена с публичным IP-адресом 203.0.113.60, что позволяет осуществлять удаленный мониторинг с одновременным применением определенных правил доступа.
    • Системы контроля доступа в здания: Для систем контроля доступа в здания, таких как считыватели карт, устройство с частным IP-адресом 192.168.1.70 может быть сопоставлено с публичным IP-адресом 203.0.113.70. Это позволяет администраторам удаленно управлять доступом, соблюдая при этом политики безопасного доступа.

     

Таким образом, NAT 1:1 полезен для прямого сопоставления внешних публичных IP-адресов с внутренними частными IP-адресами, обеспечения совместимости определенных приложений и реализации контроля доступа на основе IP-адресов. Эти реальные примеры демонстрируют, как различные серверы и системы могут извлечь выгоду из использования NAT 1:1.

В этом примере мы настроим доступ к почтовому серверу из WAN с использованием публичного IP-адреса

Настройте NAT на USG FLEX H 
 Настройка > Сеть > NAT и создайте новое правило, нажав кнопку «Добавить»

Затем заполните все обязательные поля.

  • Включите правило NAT
  • Присвойте имя, отражающее суть правила
  • Выберите тип сопоставления портов «1:1 NAT»
  • Входящий интерфейс — WAN
  • IP-адрес источника: «Любой»
  • Внешний IP — используйте свой внешний IP
  • Внутренний IP — укажите IP-адрес, к которому требуется доступ
  • Тип сопоставления портов — зависит от того, что вы делаете (Any — весь трафик будет перенаправлен, Service — выберите объект службы (протокол), Service-Group — выберите объект группы служб (группа протоколов), Port — выберите порт, который необходимо перенаправить, Ports — выберите диапазон портов, который необходимо перенаправить) 
  • Включить NAT-петлю
  • Применить все изменения

NAT-петля используется внутри сети для доступа к внутреннему серверу с использованием публичного IP-адреса. Убедитесь, что NAT-петля включена, и нажмите «ОК» (это позволяет пользователям, подключенным к любому интерфейсу, также использовать правило NAT)

Настройка политики безопасности на USG FLEX H

В данном примере мы настроим доступ к нашему веб-серверу из WAN

Политика безопасности > Управление политиками и создайте новое правило, нажав кнопку «Добавить»

Затем заполните все обязательные поля.

  • Включить политику
  • Укажите название, отражающее суть правила
  • От — WAN
  • К — LAN
  • Источник — Любой
  • Пункт назначения — подсеть LAN, в которой находится ваш сервер (в данном примере — LAN_SUBNET_GE3), иливыберите объект, созданный на предыдущем шаге
  • Сервис — HTTPS
  • Пользователь — любой
  • Действие — разрешить
  • Применить все изменения

 

Устранение неполадок при настройке NAT 1:1

  • Проверьте правила NAT: дважды проверьте, что правила NAT 1:1 настроены правильно, убедившись, что внутренний IP-адрес вашего почтового сервера правильно сопоставлен с нужным публичным IP-адресом.

  • Правила брандмауэра: убедитесь, что правила брандмауэра настроены на пропуск трафика по необходимым портам (например, порт 443 для HTTPS).

  • Журналы и диагностика: регулярно просматривайте журналы брандмауэра и используйте диагностические инструменты для проверки потока трафика. Это поможет быстро выявить и устранить проблемы.

  • Убедитесь, что все публичные IP-адреса правильно маршрутизируются. Чтобы это проверить, присвойте каждый публичный IP-адрес отдельно порту WAN устройства USG FLEX серии H.

  • Протестируйте доступ в Интернет с использованием каждого публичного IP-адреса, чтобы убедиться в его правильной работе.

  • Свяжитесь с вашим интернет-провайдером, чтобы убедиться, что маршрутизация для ваших публичных IP-адресов настроена правильно и активна.

Статьи в этом разделе

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0
Поделиться

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.