Важное уведомление: |
Переадресация портов, также известная как переадресация портов виртуального сервера, - это сетевой метод, который направляет внешний интернет-трафик на определенные устройства или службы в локальной сети. Этот метод позволяет внешним устройствам взаимодействовать с определенным устройством или службой внутри частной сети путем привязки внешнего порта к внутреннему IP-адресу и порту.
Виртуальный сервер (переадресация портов)
Характеристики виртуального сервера:
- Сопоставляет определенные внешние порты с определенными внутренними портами.
- Используется для доступа к различным службам (например, веб, электронная почта, FTP) на одном публичном IP.
- Не изменяет IP-адрес источника входящего трафика (нет SNAT).
Настройка виртуального сервера (переадресация портов)
Виртуальный сервер используется чаще всего, когда необходимо сделать внутренний сервер доступным для публичной сети за пределами устройства Zyxel. На видео по ссылке вы можете увидеть, как выполняется настройка на предыдущей версии брандмауэра. Интерфейс отличается, но процесс настройки не претерпел значительных изменений.- Войдите в WebGui устройства
- Перейдите к
Configuration > Network > NAT
- Создайте новое правило, нажав на кнопку "Добавить".
- Укажите имя правила
- Выберите тип сопоставления портов "Виртуальный сервер".
Правило сопоставления для виртуального сервера (пояснение)
Входящий интерфейс - интерфейс, с которого поступает трафик- Выберите для входящего интерфейса значение "wan".
- IP-адрес источника - "любой".
Можно вручную указать внешний и внутренний IP-адреса. Однако мы настоятельно рекомендуем использовать для этого объекты. Более того, при создании дополнительных политик безопасности такой подход будет необходим. Создание объектов для правил NAT упрощает управление, улучшает читаемость, снижает сложность, улучшает применение политики, позволяет повторно использовать и масштабировать, упрощает резервное копирование и откат, а также минимизирует количество ошибок.
Чтобы создать объект для внешнего и внутреннего интерфейса, выберите опцию "Создать новый объект", расположенную в левом верхнем углу той же формы.
Создайте два объекта "Адрес" с типом "Интерфейс IP" и "Хост", дайте объекту понятное имя и укажите в одном объекте адрес внешнего интерфейса, а во втором - локальный адрес устройства NSA.
Тип сопоставления портов (пояснение)
любой - весьтрафик будет перенаправлен
Сервис - выбор объекта сервиса (протокола)
Service-Group - Выберите объект группы сервисов (группа протоколов)
Порт - Выберите порт, который необходимо перенаправить
Порты - Выберите диапазон портов, которые необходимо перенаправить
-
Внешний и внутренний IP, выберите ранее созданные объекты
-
Тип сопоставления портов укажите "Порт".
-
Протокол Тип указать "любой"
-
Внешний и внутренний порты в нашем примере одинаковы
Примечание:
- Внешний порт - это порт, который внешний пользователь использует для доступа к брандмауэру в WAN.
- Внутренний порт - это порт, который перенаправляется внутрь локальной сети.
- Это может быть перевод 1:1 (порт 443 на 443) или порт 4433 на 443, например
NAT loopback
NAT loopback используется внутри сети для доступа к внутреннему серверу через публичный IP. Проверьте, включен ли NAT loopback, и нажмите OK (позволяет пользователям, подключенным к любому интерфейсу, также использовать правило NAT).
Добавьте правило брандмауэра для разрешения NAT (переадресация портов)
Примечание! Вам нужно разрешить внутренний порт, а не внешний. Потому что именно внутренний порт перенаправляется на LAN-интерфейс вашего брандмауэра и должен быть разрешен.
- Перейдите в
Конфигурация > Политика безопасности > Контроль политики
-
Создайте новое правило, нажав на кнопку "Добавить".
-
Укажите имя правила
-
В поле "От" установите значение "WAN".
-
В поле "To" установите " "LAN"
-
В поле "Destination" выберите ранее созданный объект "NAS_IP".
- Сервис
Нам нужно создать объект службы для порта 50000. В окне создания политики безопасности нажмите "Создать новый объект" в правом верхнем углу.
Configuration > Object > Service
- В поле "Действие" установите" "разрешить".
- Нажмите "Ок"
Откройте браузер и введите WAN IP вашего USG и настроенный порт. Теперь NAS находится за USG и доступен через проброс портов.
Пример для нашего WAN IP https://[yourWAN-IP]:50000