Zyxel Firewall NAT – ako nakonfigurovať preklad sieťových adries (NAT) 1:1 na firewalle Zyxel USG Flex H Series

Vytvorené - Aktualizované
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Máte ďalšie otázky? Vložiť žiadosť

Dôležité upozornenie:
Vážený zákazník, upozorňujeme, že na poskytovanie článkov vo vašom miestnom jazyku používame strojový preklad. Nie všetky texty môžu byť preložené presne. Ak máte otázky alebo zistíte nezrovnalosti v presnosti informácií v preloženej verzii, prečítajte si prosím pôvodný článok tu:Pôvodná verzia

Táto príručka ukazuje, ako pomocou zariadenia USG FLEX H series nakonfigurovať bezpečný prístup k internému serveru za zariadením USG FLEX H pomocou prekladu sieťových adries (NAT). Používatelia internetu môžu tento server dosiahnuť priamo prostredníctvom jeho verejnej IP adresy a pravidla mapovania NAT

1:1 NAT (Network Address Translation) je sieťová technika, ktorá priamo mapuje jednu externú verejnú IP adresu na jednu internú súkromnú IP adresu. Táto metóda zabezpečuje kompatibilitu s určitými aplikáciami a implementuje presnú kontrolu prístupu na základe IP adries.

V tomto článku nájdete podrobné vysvetlenia toho, ako funguje 1:1 NAT a aké sú jeho výhody. Príklady z praxe ilustrujú jeho praktické využitie, ako je hosťovanie webových serverov, umožnenie služieb vzdialenej plochy, nastavenie pripojení VPN a podpora herných serverov. Každý príklad demonštruje, ako môže 1:1 NAT zjednodušiť správu siete a zvýšiť bezpečnosť tým, že umožňuje priamy prístup k interným zdrojom. Nech ste IT profesionál alebo správca siete, tento článok vám poskytne cenné informácie o efektívnom využívaní 1:1 NAT v rôznych scenároch.

Kľúčové vlastnosti 1:1 NAT:

  • Priame mapovanie: Spája verejnú IP adresu so súkromnou IP adresou.
  • Konkrétne prípady použitia: Ideálne pre situácie, kde je potrebné priame prepojenie medzi externou a internou IP adresou.
  • Preklad zdrojovej sieťovej adresy (SNAT): Zmení zdrojovú IP adresu odchádzajúceho prevádzky na verejnú IP adresu.

Kedy použiť 1:1 NAT s príkladmi z praxe:

  1.  

    Hostingové servery:

     

    • Webový server: Ak má vaša organizácia webový server s privátnou IP adresou 192.168.1.10, môžete ho priradiť k verejnej IP adrese, napríklad 203.0.113.10. Externí používatelia môžu pristupovať k vašej webovej stránke pomocou verejnej IP adresy, zatiaľ čo server zostáva v privátnej sieti.
    • Poštový server: Poštový server s privátnou IP adresou 192.168.1.20 môže byť priradený k verejnej IP adrese 203.0.113.20. To umožňuje používateľom odosielať a prijímať e-maily pomocou verejnej IP adresy.
    • FTP server: K FTP serveru s privátnou IP adresou 192.168.1.30 je možné pristupovať prostredníctvom verejnej IP adresy 203.0.113.30, čo umožňuje externým používateľom nahrať a stiahnuť súbory.

     

  2.  

    Kompatibilita aplikácií:

     

    • Systém VoIP: Niektoré systémy VoIP vyžadujú statické verejné IP adresy pre spoľahlivú komunikáciu. Napríklad server VoIP so súkromnou IP adresou 192.168.1.40 môže byť priradený k verejnej IP adrese 203.0.113.40, aby bola zabezpečená plynulá hlasová komunikácia.
    • Server pre online hry: Server pre online hry so súkromnou IP adresou 192.168.1.50 môže dostať verejnú IP adresu 203.0.113.50, aby sa hráči z celého sveta mohli pripojiť pomocou konzistentnej IP adresy.

     

  3.  

    Kontrola prístupu na základe IP:

     

    • Bezpečnostné kamery: Organizácia môže použiť 1:1 NAT, aby umožnila vzdialený prístup k bezpečnostným kamerám. Kamerový systém so súkromnou IP adresou 192.168.1.60 môže byť priradený k verejnej IP adrese 203.0.113.60, čo umožňuje vzdialené monitorovanie pri uplatňovaní špecifických pravidiel prístupu.
    • Systémy prístupu do budov: V prípade systémov riadiacich prístup do budov, ako sú čítačky kariet, je možné zariadenie s privátnou IP adresou 192.168.1.70 priradiť k verejnej IP adrese 203.0.113.70. To umožňuje správcom spravovať prístup na diaľku pri zachovaní zásad bezpečného prístupu.

     

Zhrnutie: 1:1 NAT je užitočné na priame priradenie externých verejných IP adries k interným súkromným IP adresám, zabezpečenie kompatibility určitých aplikácií a implementáciu riadenia prístupu na základe IP adries. Tieto príklady z praxe demonštrujú, ako môžu rôzne servery a systémy ťažiť z 1:1 NAT.

V tomto príklade nakonfigurujeme prístup k poštovému serveru z WAN pomocou verejnej IP adresy

Nastavte NAT na USG FLEX H 
 Konfigurácia > Sieť > NAT a vytvorenie nového pravidla kliknutím na tlačidlo „Pridať“

Potom môžete vyplniť všetky povinné polia.

  • Aktivujte pravidlo NAT
  • Zadajte názov, ktorý vystihuje podstatu pravidla
  • Vyberte typ mapovania portov„1:1 NAT
  • Prichádzajúce rozhranie na WAN
  • Zdrojová IP adresa: ľubovoľná
  • Externá IP adresa – použite svoju externú IP adresu
  • Interná IP adresa – zadajte IP adresu, ku ktorej je potrebný prístup
  • Typ mapovania portov – závisí od toho, čo robíte (Ľubovoľný – všetka prevádzka bude presmerovaná, Služba – vyberte objekt služby (protokol), Skupina služieb – vyberte objekt skupiny služieb (skupinu protokolov), Port – vyberte port, ktorý je potrebné presmerovať, Porty – vyberte rozsah portov, ktoré je potrebné presmerovať) 
  • Povoliť NAT loopback
  • Použiť všetky zmeny

NAT loopback sa používa vnútri siete na dosiahnutie interného servera pomocou verejnej IP adresy. Skontrolujte, či je povolený NAT loopback, a kliknite na OK (umožňuje používateľom pripojeným k akémukoľvek rozhraniu používať tiež pravidlo NAT)

Nastavte bezpečnostnú politiku na USG FLEX H

V tomto príklade nakonfigurujeme prístup k nášmu webovému serveru z WAN

Bezpečnostná politika > Kontrola politiky a vytvorte nové pravidlo kliknutím na tlačidlo „Pridať“

Potom môžete vyplniť všetky povinné polia.

  • Povoliť politiku
  • Zadajte názov, ktorý vystihuje podstatu pravidla
  • Od – WAN
  • Do – LAN
  • Zdroj – ľubovoľný
  • Cieľ – podsieť LAN, v ktorej sa nachádza váš server (v tomto príklade LAN_SUBNET_GE3), alebovyberte objekt vytvorený v predchádzajúcom kroku
  • Služba – HTTPS
  • Používateľ – ľubovoľný
  • Akcia – povoliť
  • Použiť všetky zmeny

 

Riešenie problémov s konfiguráciou 1:1 NAT

  • Overte pravidlá NAT: Dôkladne skontrolujte, či sú pravidlá 1:1 NAT správne nakonfigurované, a uistite sa, že interná IP adresa vášho poštového servera je správne priradená k správnej verejnej IP adrese.

  • Pravidlá brány firewall: Uistite sa, že pravidlá brány firewall sú nastavené tak, aby povolili prevádzku na potrebných portoch (napr. port 443 pre HTTPS).

  • Protokoly a diagnostika: Pravidelne sledujte protokoly brány firewall a používajte diagnostické nástroje na kontrolu toku prevádzky. To môže pomôcť rýchlo identifikovať a vyriešiť problémy.

  • Uistite sa, že všetky verejné IP adresy sú správne smerované. Na overenie tohto priraďte každú verejnú IP adresu individuálne k portu WAN zariadenia USG FLEX H Series.

  • Otestujte prístup k internetu pomocou každej verejnej IP adresy, aby ste sa uistili, že funguje správne.

  • Kontaktujte svojho poskytovateľa internetových služieb, aby ste sa uistili, že smerovanie vašich verejných IP adries je správne nakonfigurované a aktívne.

Články v tejto sekcii

Pomohol Vám tento článok?
0 z 0 to považovali za užitočné
Zdieľať

Príspevky

0 komentárov

Ak chcete napísať komentár, prihlásiť sa.