Перенаправление портов на брандмауэре Zyxel (NAT) — настройка перенаправления портов виртуального сервера на устройствах USG / USG FLEX / ATP / VPN

Создан - Обновлено
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Еще есть вопросы? Отправить запрос

Важное уведомление:
Уважаемый клиент, обратите внимание, что мы используем машинный перевод для предоставления статей на вашем языке. Не весь текст может быть переведен точно. Если у вас возникнут вопросы или неточности в переведенной версии, пожалуйста, ознакомьтесь с оригинальной статьей здесь:Оригинальная версия

Перенаправление портов, также известное как перенаправление портов виртуального сервера, представляет собой сетевой метод, который направляет внешний интернет-трафик на определенные устройства или службы внутри локальной сети. Эта техника позволяет внешним устройствам взаимодействовать с конкретным устройством или службой внутри частной сети путем сопоставления внешнего порта с внутренним IP-адресом и портом.

Виртуальный сервер (перенаправление портов)

Характеристики виртуального сервера:

  • Сопоставляет определенные внешние порты с определенными внутренними портами.
  • Полезно для доступа к различным службам (таким как веб, электронная почта, FTP) через один и тот же публичный IP-адрес.
  • Не изменяет исходный IP-адрес входящего трафика (без SNAT).

Настройка виртуального сервера (перенаправление портов)

Виртуальный сервер используется чаще всего и применяется, когда требуется сделать внутренний сервер доступным для публичной сети за пределами устройства Zyxel. На видео по ссылке вы можете увидеть, как выполняется настройка на предыдущей версии брандмауэра. Интерфейс отличается, но процесс настройки практически не изменился.
Давайте создадим правило виртуального сервера (перенаправление портов)
  • Войдите в веб-интерфейс устройства
  • Перейдите в 
Конфигурация > Сеть > NAT
  • Создайте новое правило, нажав кнопку «Добавить»
  • Укажите название правила
  • Выберите тип сопоставления портов «Виртуальный сервер»

Правило сопоставления для виртуального сервера (пояснение)

Входящий интерфейс — интерфейс, с которого поступает трафик
IP-адрес источника — откудаподключаются пользователи (например, доверенные IP-адреса)
Внешний IP —IP-адрес интерфейса WAN
Внутренний IP —IP-адрес сервера, на который вы хотите перенаправить порты
  • Выберите входящий интерфейс «wan»
  • IP-адрес источника — «any»

Можно вручную указать внешний и внутренний IP-адреса. Однако мы настоятельно рекомендуем использовать для этой цели объекты. Кроме того, при создании дополнительных политик безопасности такой подход будет необходим. Создание объектов для правил NAT упрощает управление, повышает читаемость, снижает сложность, улучшает обеспечение соблюдения политик, позволяет повторно использовать и масштабировать настройки, упрощает резервное копирование и откат, а также сводит к минимуму ошибки.

Чтобы создать объект для внешнего и внутреннего интерфейса, выберите опцию «Создать новый объект», расположенную в левом верхнем углу той же формы.

Создайте два объекта«Адрес»с типом«IP-адрес интерфейса» и«Хост», присвойте объектам понятные имена и укажите в одном объекте адрес вашего внешнего интерфейса, а во втором — локальный адрес вашего устройства NSA.

Тип сопоставления портов (пояснение)

any — весьтрафик будет перенаправлен

Служба — выберитеобъект службы (протокол)

Группа служб — выберитеобъект группы служб (группу протоколов)

Порт — выберите порт, который необходимо перенаправить

Порты — выберите диапазон портов, которые необходимо перенаправить

  • Внешний и внутренний IP-адрес: выберите ранее созданные объекты

  • Тип сопоставления портов: укажите «Порт»

  • Тип протокола — «любой»

  • В нашем примере внешний и внутренний порты совпадают

 

Примечание:

  • Внешний порт — это порт, который внешний пользователь использует для доступа к брандмауэру по WAN
  • Внутренний порт — это порт, который перенаправляется внутри сети LAN
  • Это может быть как преобразование 1:1 (порт 443 на 443), так и, например, порт 4433 на 443

NAT-петля

NAT-петля используется внутри сети для доступа к внутреннему серверу с помощью публичного IP-адреса. Убедитесь, что NAT-петля включена, и нажмите «ОК» (это позволит пользователям, подключенным к любому интерфейсу, также использовать это правило NAT)

Добавьте правило брандмауэра, чтобы разрешить NAT (перенаправление портов)

Внимание! Необходимо разрешить внутренний порт, а не внешний. Поскольку именно внутренний порт перенаправляется на интерфейс LAN вашего брандмауэра и должен быть разрешен. 

  • Перейдите в 
«Конфигурация» > «Политика безопасности» > «Управление политиками»

  • Создайте новое правило, нажав кнопку «Добавить»

  • Укажите название правила

  • В поле «От » установите значение«WAN»

  • В поле «Кому» установите значение «LAN»

  • В поле «Пункт назначения» выберите ранее созданный объект «NAS_IP»

  • Сервис

Нам необходимо создать объект службы для порта 50000. В окне создания политики безопасности нажмите «Создать новый объект» в правом верхнем углу.

Примечание: объект можно создать и вне формы. Чтобы найти раздел, содержащий все объекты, перейдите в 
Конфигурация > Объект > Сервис
  • В поле «Действие» установите «разрешить»
  • Нажмите «ОК»

Откройте браузер и введите WAN-IP вашего USG и настроенный порт. Теперь NAS находится за USG и доступен через перенаправление портов.

Пример для нашего WAN-IP https://[yourWAN-IP]:50000

 

 

Статьи в этом разделе

Больше
Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 1 из 1
Поделиться

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.