Zyxel Firewall Network Address Translation [NAT] - настройка 1:1 NAT и многих 1:1 NAT на Zyxel Firewall USGFLEX/ATP/VPN

Создан - Обновлено
Serhii Boiarynov
Print Friendly and PDF
Еще есть вопросы? Отправить запрос

Важное уведомление:
Уважаемый покупатель, пожалуйста, обратите внимание, что мы используем машинный перевод для предоставления статей на вашем местном языке. Не весь текст может быть переведен точно. Если есть вопросы или несоответствия по поводу точности информации в переведенной версии, пожалуйста, ознакомьтесь с оригинальной статьей здесь:Original Version

Трансляция сетевых адресов (NAT) - это фундаментальная технология в сетевых технологиях, которая позволяет сопоставлять частные IP-адреса с публичными IP-адресами. Одним из конкретных типов NAT является 1:1 NAT, также известный как статический NAT. Этот метод сопоставляет один частный IP-адрес с одним публичным IP-адресом, гарантируя, что каждый частный адрес имеет уникальный, согласованный публичный аналог. Вот несколько реальных сценариев, в которых 1:1 NAT особенно полезен:

Понимание 1:1 NAT: реальные применения

1:1 NAT, или статическая NAT, сопоставляет один частный IP-адрес с одним публичным IP-адресом. Вот несколько реальных применений:

  1. Хостинг серверов: Веб- и почтовые серверы в частных сетях нуждаются в публичном доступе. NAT 1:1 сопоставляет частные IP-адреса с общедоступными IP-адресами, обеспечивая беспрепятственный доступ.
  2. Удаленный доступ: Сотрудники могут получить доступ к внутренним ресурсам, таким как серверы Remote Desktop и VPN, через публичные IP-адреса, сопоставленные с их частными аналогами.
  3. Конфигурация DMZ: Внешние службы в DMZ используют 1:1 NAT для публичного доступа, защищая при этом внутренние сети.
  4. Сетевые миграции: При переходе на другую IP-схему 1:1 NAT сохраняет доступность сервисов.
  5. Безопасность устройств: Критически важные устройства используют 1:1 NAT для безопасного доступа к управлению без раскрытия частных IP-адресов.

Настройка NAT 1:1

Виртуальный сервер используется наиболее часто и применяется, когда необходимо сделать внутренний сервер доступным для публичной сети за пределами устройства Zyxel. На видео по ссылке вы можете увидеть, как выполняется настройка на предыдущей версии брандмауэра. Интерфейс отличается, но процесс настройки не претерпел значительных изменений.

Создание правила NAT 1 к 1
  • Войдите в WebGui устройства
  • Перейдите к
Configuration > Network > NAT
  • Создайте новое правило, нажав на кнопку "Добавить".
  • Укажите имя правила
  • Выберите тип сопоставления портов "NAT 1:1".

Правило сопоставления для NAT 1:1

Входящий интерфейс - интерфейс, с которого поступает трафик

Исходный IP - откуда подключаются пользователи (например, доверенные IP) Внешний IP - IP-адрес вашей глобальной сети / исходящий интерфейс вашего брандмауэра Внутренний IP - IP-адрес сервера, на который вы хотите перенаправить порты

  • Выберите для входящего интерфейса значение "wan".
  • Исходный IP - "любой"

Можно вручную указать внешний и внутренний IP-адреса. Однако мы настоятельно рекомендуем использовать для этого объекты. Более того, при создании дополнительных политик безопасности такой подход будет необходим. Создание объектов для правил NAT упрощает управление, улучшает читаемость, снижает сложность, улучшает применение политики, позволяет повторно использовать и масштабировать, упрощает резервное копирование и откат, а также минимизирует количество ошибок.

Чтобы создать объект для внешнего и внутреннего интерфейса, выберите опцию "Создать новый объект", расположенную в левом верхнем углу той же формы.

Создайте два объекта "Address" с типом"Interface IP" и "Host", дайте объекту понятное имя и укажите в одном объекте адрес внешнего интерфейса, а во втором - локальный адрес вашего веб-сервера.

Тип сопоставления портов

любой - весьтрафик будет переадресован

Сервис - выберите объект сервиса (протокол) Группа сервисов - выберите объект группы сервисов (группа протоколов) Порт - выберите порт, на который необходимо перенаправить трафик

Порты - выбор диапазона портов, которые необходимо перенаправить

  • Внешний и внутренний IP, выберите ранее созданные объекты

  • Тип сопоставления портов укажите "Порт".

  • Протокол - "любой".

  • Внешний и внутренний порты в нашем примере одинаковы

Примечание:

  • Внешний порт - это порт, который внешний пользователь использует для доступа к брандмауэру в WAN.
  • Внутренний порт - это порт, который перенаправляется внутрь локальной сети.
  • Это может быть как перевод 1:1 (порт 80 на 80), так и порт 80 на 8080, например

NAT loopback

NAT loopback используется внутри сети для доступа к внутреннему серверу с помощью публичного IP. Проверьте, включен ли NAT loopback, и нажмите OK (позволяет пользователям, подключенным к любому интерфейсу, также использовать правило NAT).

Добавьте правило брандмауэра, чтобы разрешить NAT 1 к 1

  • Перейдите к
Configuration > Security Policy > Policy Control

  • Создайте новое правило, нажав на кнопку "Добавить".

  • Укажите имя правила

  • В поле "From" установите значение"WAN".

  • В поле "To" установите " "LAN"

  • В поле "Destination" выберите ранее созданный объект "WebServer".

  • Выберите желаемую службу или группу служб. В данном случае выбран HTTP_8080.
  • Установите для параметра "Действие" значение "Разрешить".
  • Нажмите кнопку OK.

Настройка множества 1:1 NAT

Функция Many 1:1 NAT используется для перенаправления всего трафика с нескольких внешних IP-адресов (публичных IP-адресов) на несколько внутренних IP-адресов (частных IP-адресов) в определенном диапазоне. Важно отметить, что эта функция перенаправляет все порты; выбор порта в конфигурации Many 1:1 NAT недоступен.

Примечание! Частный и публичный диапазоны должны иметь одинаковое количество IP-адресов.

Создайте правило Many 1:1 NAT

  • Войдите в WebGui устройства
  • Перейдите к разделу
Configuration > Network > NAT
  • Создайте новое правило, нажав на кнопку "Добавить".
  • Укажите имя правила
  • Выберите тип сопоставления портов "NAT 1:1".

Правило сопоставления для множества 1:1 NAT

  • Входящий интерфейс - интерфейс, с которого поступает трафик (обычно wan1 (или wan1_PPPoE)).
  • Исходный IP - откуда подключаются пользователи (например, доверенные IP)
  • Внешняя IP-подсеть/диапазон - диапазон IP-адресов вашего WAN / исходящего интерфейса брандмауэра (разрешены только диапазоны и подсети - не объекты хостов)
  • Внутренняя IP-подсеть/диапазон - IP-адреса сервера, на который вы хотите перенаправить публичные IP-адреса.
  • Тип сопоставления портов
  • any - будет пересылаться весь трафик (обратите внимание, что функция Many 1:1 NAT будет пересылать только "ВЕСЬ трафик".
  • NAT Loopback - NAT loopback позволяет пользователям подключаться к публичным IP-адресам, когда они находятся за брандмауэром.

Создание правила управления политикой

В качестве последнего шага нам нужно создать правило управления политикой, чтобы разрешить прохождение трафика на сервер.

Выполните следующие шаги:

Go to the Configuration > Security Policy > Policy Control
  • Нажмите кнопку"Добавить", чтобы вставить новое правило.
  • Укажите имя правила контроля политики.
  • Установите значение "СWAN" на"LAN".
  • Вставьте объект IP-адреса вашего сервера в качестве "Destination".
  • Выберите желаемую"Службу" или"Группу служб". В данном случае выберите"HTTP_8080".
  • Установите для параметра"Действие" значение"Разрешить".
  • Нажмите кнопку"OK", чтобы сохранить правило.

Статьи в этом разделе

Больше
Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 15 из 30
Поделиться