Zyxel Firewall [NAT] - как настроить NAT 1 к 1 (трансляцию сетевых адресов) на брандмауэре Zyxel USG Flex H Series

Создан - Обновлено
Serhii Boiarynov
Print Friendly and PDF
Еще есть вопросы? Отправить запрос

Важное уведомление:
Уважаемый покупатель, пожалуйста, обратите внимание, что мы используем машинный перевод для предоставления статей на вашем местном языке. Не весь текст может быть переведен точно. В случае возникновения вопросов или несоответствия точности информации в переведенной версии, пожалуйста, ознакомьтесь с оригинальной статьей здесь:Оригинальная версия

В этом руководстве показано, как использовать серию USG FLEX H для настройки безопасного доступа к внутреннему серверу, расположенному за USG FLEX H, с помощью трансляции сетевых адресов (NAT). Пользователи Интернета могут напрямую обращаться к этому серверу через его публичный IP-адрес и правило сопоставления NAT

1:1 NAT (Network Address Translation) - это сетевая технология, которая напрямую сопоставляет один внешний публичный IP-адрес с одним внутренним частным IP-адресом. Этот метод обеспечивает совместимость с определенными приложениями и реализует точный контроль доступа на основе IP-адресов.

В этой статье вы найдете подробное объяснение того, как работает 1:1 NAT, и его преимуществ. На реальных примерах показано его практическое применение: хостинг веб-серверов, предоставление услуг удаленного рабочего стола, настройка VPN-соединений и поддержка игровых серверов. Каждый пример демонстрирует, как 1:1 NAT может упростить управление сетью и повысить безопасность, обеспечивая прямой доступ к внутренним ресурсам. Независимо от того, являетесь ли вы ИТ-специалистом или сетевым администратором, эта статья предоставит вам ценные сведения об эффективном использовании 1:1 NAT в различных сценариях.

Ключевые особенности 1:1 NAT:

  • Прямое сопоставление: Соединяет публичный IP с частным IP.
  • Конкретные случаи использования: Идеально подходит для ситуаций, когда необходима прямая связь между внешним и внутренним IP.
  • Трансляция сетевых адресов источника (SNAT): Изменяет IP-адрес источника исходящего трафика на публичный IP-адрес.

Когда следует использовать NAT 1:1 с примерами из реальной жизни:

  1. Хостинг-серверы:

    • Веб-сервер: Если в вашей организации есть веб-сервер с частным IP-адресом 192.168.1.10, вы можете сопоставить его с общедоступным IP-адресом, например 203.0.113.10. Внешние пользователи смогут получить доступ к вашему сайту, используя общедоступный IP, в то время как сервер останется в частной сети.
    • Почтовый сервер: Почтовый сервер с частным IP-адресом 192.168.1.20 можно сопоставить с публичным IP-адресом 203.0.113.20. Это позволит пользователям отправлять и получать электронную почту, используя публичный IP-адрес.
    • FTP-сервер: FTP-сервер с частным IP-адресом 192.168.1.30 может быть доступен через публичный IP-адрес 203.0.113.30, что позволяет внешним пользователям загружать и скачивать файлы.

  2. Совместимость с приложениями:

    • VoIP-системы: Некоторые системы VoIP требуют статических общедоступных IP-адресов для надежной связи. Например, VoIP-сервер с частным IP-адресом 192.168.1.40 может быть сопоставлен с публичным IP-адресом 203.0.113.40 для обеспечения бесперебойной голосовой связи.
    • Игровой онлайн-сервер: Серверу онлайн-игр с частным IP-адресом 192.168.1.50 может быть присвоен публичный IP-адрес 203.0.113.50, чтобы геймеры по всему миру могли подключаться, используя единый IP-адрес.

  3. Контроль доступа на основе IP:

    • Камеры безопасности: Организация может использовать NAT 1:1, чтобы разрешить удаленный доступ к камерам безопасности. Система камер с частным IP-адресом 192.168.1.60 может быть сопоставлена с публичным IP-адресом 203.0.113.60, что позволит осуществлять удаленный мониторинг, применяя при этом определенные правила доступа.
    • Системы доступа в здание: Для систем, контролирующих доступ в здание, таких как считыватели карт, устройство с частным IP-адресом 192.168.1.70 может быть сопоставлено с публичным IP-адресом 203.0.113.70. Это позволяет администраторам управлять доступом удаленно, поддерживая при этом безопасные политики доступа.

В целом, 1:1 NAT полезен для прямого сопоставления внешних публичных IP-адресов с внутренними частными IP-адресами, обеспечения совместимости определенных приложений и реализации контроля доступа на основе IP-адресов. Эти реальные примеры демонстрируют, как различные серверы и системы могут извлечь выгоду из 1:1 NAT.

В этом примере мы настроим доступ к почтовому серверу из глобальной сети с помощью публичного IP-адреса

Настройка NAT на USG FLEX H 
 Configuration > Network > NAT and create a new rule by clicking on the "Add" button

Затем вы можете заполнить все необходимые поля.

  • Включить правило NAT
  • Дайте имя, которое отражает суть правила
  • Выберите тип сопоставления портов "1:1 NAT".
  • Входящий интерфейс в WAN
  • IP-адрес источника - любой
  • Внешний IP - используйте свой внешний IP
  • Внутренний IP - укажите ip-адрес, к которому требуется доступ
  • Port Mapping Type - зависит от того, что вы делаете (Any - весь трафик будет перенаправлен, Service - выберите объект сервиса (протокол), Service-Group - выберите объект группы сервисов (группа протоколов), Port - выберите порт, который необходимо перенаправить, Ports - выберите диапазон портов, который необходимо перенаправить)
  • Включить обратную связь NAT
  • Применить все изменения

NAT loopback используется внутри сети для доступа к внутреннему серверу через публичный IP. Проверьте, включен ли NAT loopback, и нажмите OK (позволяет пользователям, подключенным к любому интерфейсу, также использовать правило NAT).

Настройка политики безопасности на USG FLEX H

В этом примере мы настроим доступ к нашему веб-серверу из глобальной сети

Security Policy > Policy Control and create a new rule by clicking on the "Add" button

Затем заполните все необходимые поля.

  • Включить политику
  • Дайте имя, которое отражает суть правила
  • От - WAN
  • До - локальная сеть
  • Источник - любой
  • Назначение - подсеть локальной сети, в которой находится ваш сервер (LAN_SUBNET_GE3 в этом примере) или выберитеобъект, созданный на предыдущем шаге
  • Служба - HTTPS
  • Пользователь - Любой
  • Действие - разрешить
  • Применить все изменения

Устранение неполадок в конфигурации 1:1 NAT

  • Проверьте правила NAT: Дважды проверьте правильность настройки правил 1:1 NAT, убедившись, что внутренний IP-адрес почтового сервера правильно сопоставлен с правильным публичным IP-адресом.

  • Правила брандмауэра: Убедитесь, что правила брандмауэра настроены на разрешение трафика на необходимых портах (например, порт 443 для HTTPS).

  • Журналы и диагностика: Регулярно просматривайте журналы брандмауэра и используйте диагностические инструменты для проверки потока трафика. Это поможет быстро выявить и устранить проблемы.

  • Убедитесь, что все публичные IP-адреса правильно маршрутизируются. Чтобы проверить это, назначьте каждый публичный IP-адрес WAN-порту USG FLEX H Series по отдельности.

  • Протестируйте доступ в Интернет с использованием каждого публичного IP-адреса, чтобы убедиться в его правильном функционировании.

  • Обратитесь к своему интернет-провайдеру, чтобы убедиться, что маршрутизация для общедоступных IP-адресов правильно настроена и активна.

Статьи в этом разделе

Больше
Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0
Поделиться