Zyxel Firewall Network Address Translation [NAT] - Konfigurácia 1:1 NAT a mnohých 1:1 NAT na bráne Zyxel Firewall USGFLEX/ATP/VPN

Vytvorené - Aktualizované
Serhii Boiarynov
Print Friendly and PDF
Máte ďalšie otázky? Vložiť žiadosť

Dôležité upozornenie:
Upozornenie: Vážený zákazník, upozorňujeme, že na poskytovanie článkov v miestnom jazyku používame strojový preklad. Nie všetok text môže byť preložený presne. Ak sa vyskytnú otázky alebo nezrovnalosti týkajúce sa presnosti informácií v preloženej verzii, prečítajte si prosím originálny článok tu: Originálna verzia

Preklad sieťových adries (NAT) je základná technológia v sieťach, ktorá umožňuje mapovanie súkromných IP adries na verejné IP adresy. Jedným zo špecifických typov NAT je 1:1 NAT, známy aj ako statický NAT. Táto metóda mapuje jednu súkromnú IP adresu na jednu verejnú IP adresu, čím zabezpečuje, že každá súkromná adresa má jedinečný, konzistentný verejný náprotivok. Tu je niekoľko skutočných scenárov, v ktorých je 1:1 NAT obzvlášť užitočný:

Pochopenie 1:1 NAT: reálne aplikácie

1:1 NAT alebo statický NAT mapuje jednu súkromnú IP adresu na jednu verejnú IP adresu. Tu je niekoľko reálnych aplikácií:

  1. Hostingové servery: Webové a e-mailové servery v súkromných sieťach potrebujú verejný prístup. 1:1 NAT mapuje súkromné IP adresy na verejné IP adresy, čím zabezpečuje bezproblémový prístup.
  2. Vzdialený prístup: Zamestnanci môžu pristupovať k interným zdrojom, ako je vzdialená plocha a servery VPN, prostredníctvom verejných IP namapovaných na ich súkromné náprotivky.
  3. Konfigurácia DMZ: Služby smerujúce do externých sietí v DMZ využívajú 1:1 NAT na verejný prístup a zároveň chránia interné siete.
  4. Migrácia siete: Pri prechode na novú schému IP sa pomocou 1:1 NAT zachováva dostupnosť služieb.
  5. Zabezpečenie zariadenia: Kritické zariadenia používajú 1:1 NAT na bezpečný prístup k správe bez odhalenia súkromných IP adries.

Konfigurácia NAT 1:1

Virtuálny server sa používa najčastejšie a používa sa, keď chcete sprístupniť interný server verejnej sieti mimo zariadenia Zyxel. Na videu na tomto odkaze môžete vidieť, ako sa konfigurácia vykonáva na predchádzajúcej verzii brány firewall. Rozhranie je iné, ale proces konfigurácie sa veľmi nezmenil.

Vytvorenie pravidla NAT 1 až 1
  • Prihláste sa do WebGui zariadenia
  • Prejdite na
dyn_repppp_0
  • Vytvorte nové pravidlo kliknutím na tlačidlo "Pridať".
  • Zadajte názov pravidla
  • Vyberte typ mapovania portov na "NAT 1:1"

Pravidlo mapovania pre NAT 1:1

Prichádzajúce rozhranie - rozhranie, z ktorého prichádza prevádzka

Zdrojová IP - odkiaľ sa používatelia pripájajú (napr. dôveryhodné IP) Externá IP - IP adresa vašej siete WAN / odchádzajúceho rozhrania firewallu Interná IP - IP adresa servera, na ktorý chcete presmerovať porty

  • Vyberte svoje prichádzajúce rozhranie "wan"
  • Zdrojovú IP adresu na "any"

Je možné manuálne určiť externé a interné IP adresy. Dôrazne však odporúčame využívať na tento účel objekty. Okrem toho pri vytváraní ďalších bezpečnostných politík bude tento prístup nevyhnutný. Vytvorenie objektov pre pravidlá NAT zjednodušuje správu, zlepšuje čitateľnosť, znižuje zložitosť, zlepšuje presadzovanie zásad, umožňuje opakované použitie a škálovateľnosť, zjednodušuje zálohovanie a spätné obnovenie a minimalizuje chyby.

Ak chcete vytvoriť objekt pre vonkajšie a vnútorné rozhranie, vyberte možnosť "Vytvoriť nový objekt", ktorá sa nachádza v ľavom hornom rohu toho istého formulára.

Vytvorte dva objekty "Address" (Adresa)s typom"Interface IP" (Rozhranie IP) a "Host" (Hostiteľ), objektu dajte jasný názov a v jednom objekte zadajte adresu vášho vonkajšieho rozhrania a v druhom pravidle lokálnu adresu vášho webového servera.

Typ mapovania portov

any (akýkoľvek) -všetkaprevádzka na bude presmerovaná

Service (Služba) - vyberte objekt služby (protokol) Service-Group (Skupina služieb) - vyberte objekt skupiny služieb (skupina protokolov) Port - vyberte port, ktorý sa má presmerovať

Ports (Porty) - vyberte rozsah portov, ktoré sa majú presmerovať

  • Externé a interné IP, vyberte predtým vytvorené objekty

  • Typ mapovania portov zadajte "Port"

  • Typ protokolu "any"

  • Externé a interné porty v našom príklade sú rovnaké

Poznámka:

  • Externý port je port, ktorý externý používateľ používa na prístup k bráne firewall v sieti WAN.
  • Interný port je port, ktorý je presmerovaný interne v sieti LAN.
  • Môže ísť o preklad 1:1 (port 80 na 80) alebo napríklad port 80 na 8080

spätná slučka NAT

Spätná slučka NAT sa používa vo vnútri siete na dosiahnutie interného servera pomocou verejnej IP. Skontrolujte, či je povolená spätná slučka NAT, a kliknite na tlačidlo OK (umožňuje používateľom pripojeným k akémukoľvek rozhraniu používať aj pravidlo NAT)

Pridajte pravidlo brány firewall na povolenie NAT 1 až 1

  • Prejdite na
dyn_repppp_1

  • Vytvorte nové pravidlo kliknutím na tlačidlo "Pridať".

  • Zadajte názov pravidla

  • V poli "Od" nastavte"WAN".

  • V poli "Do" nastavte " "LAN"

  • V poli "Destination" (Cieľ) vyberte predtým vytvorený objekt "WebServer".

  • Vyberte preferovanú službu alebo skupinu služieb. V tomto prípade je vybraná možnosť HTTP_8080.
  • Nastavte položku "Action" (Akcia) na možnosť allow (Povoliť).
  • Kliknite na tlačidlo OK.

Konfigurácia mnohých 1:1 NAT

Funkcia Many 1:1 NAT sa používa na presmerovanie všetkej prevádzky z viacerých vonkajších IP adries (verejných IP adries) na viaceré vnútorné IP adresy (súkromné IP adresy) v rámci určeného rozsahu. Je dôležité poznamenať, že táto funkcia presmeruje všetky porty; výber portov nie je v konfigurácii Many 1:1 NAT k dispozícii.

Poznámka! Súkromné a verejné rozsahy musia mať rovnaký počet IP adries.

Vytvorenie pravidla Many 1:1 NAT

  • Prihláste sa do WebGui zariadenia
  • Prejdite na položku
dyn_repppp_2
  • Vytvorte nové pravidlo kliknutím na tlačidlo "Pridať".
  • Zadajte názov pravidla
  • Vyberte typ mapovania portov na "NAT 1:1"

Pravidlo mapovania pre mnoho 1:1 NAT

  • Prichádzajúce rozhranie - rozhranie, z ktorého prichádza prevádzka (zvyčajne wan1 (alebo wan1_PPPoE))
  • Zdrojová IP - odkiaľ sa používatelia pripájajú (napr. dôveryhodné IP)
  • Vonkajšia IP podsieť/rozsah - rozsah IP adries vašej siete WAN/odchádzajúceho rozhrania firewallu (povolené sú len rozsahy a podsiete - nie objekty hostiteľov)
  • Interná IP podsieť/rozsah - IP adresy servera, na ktorý chcete presmerovať verejné IP adresy
  • Typ mapovania portov
  • any (ľubovoľný) - bude sa presmerovávať všetka prevádzka (všimnite si, že funkcia Many 1:1 NAT bude presmerovávať iba "ALL traffic" (všetku prevádzku)
  • Spätná slučka NAT - Spätná slučka NAT umožňuje používateľom pripojiť sa k verejným IP adresám, keď sa nachádzajú za firewallom.

Vytvorenie pravidla kontroly zásad

Ako posledný krok musíme vytvoriť pravidlo Policy Control, ktoré umožní prechádzať prevádzke na server.

Postupujte podľa nasledujúcich krokov:

dyn_repppp_3
  • Stlačením tlačidla"Pridať" vložte nové pravidlo.
  • Zadajte názov pravidla Policy Control.
  • Nastavte položku From "WAN" na"LAN".
  • Vložte objekt IP adresy vášho servera ako "Destination" (Cieľ).
  • Vyberte preferovanú"Službu" alebo"Skupinu služieb". V tomto prípade vyberte"HTTP_8080".
  • Nastavte"Action" (Akcia) na"allow" (povoliť).
  • Kliknutím na tlačidlo"OK" uložte pravidlo.

Články v tejto sekcii

Zobraziť viac
Pomohol Vám tento článok?
15 z 30 to považovali za užitočné
Zdieľať