(!) Настройка NAT в режиме One to One на ZyWALL 1050

Как настроить NAT в режиме One to One на ZyWALL 1050?


Обычно преобразование сетевых адресов (NAT) включает Source NAT и Destination NAT. Source NAT заменяет обратный адрес источника (Source IP) при прохождении пакета в одну сторону. Используется для доступа в Интернет пользователями локальной сети с внутренними адресами. Destination NAT осуществляет обратную замену адреса назначения (Destination IP) в ответном пакете. Применяется, например, для трансляции обращений на сервер локальной сети, который имеет внутренний IP-адрес и недоступен из Интернета. В ZyWALL 1050 реализована отдельная настройка SNAT в разделе Policy Route и DNAT в разделе Virtual Server. Это позволяет пользователю настраивать правило для прохождения пакетов из Интернета в локальную сеть (DNAT) и из локальной сети в Интернет (SNAT), когда используется правило NAT в режиме One to One (Один в один). В режиме One to One ZyWALL преобразует один локальный IP-адрес в один глобальный IP-адрес. 


Приведем пример настройки NAT в режиме One to One.

1. Подключитесь к веб-конфигуратору ZyWALL 1050, зайдите в меню ZyWALL 1050 > Configuration > Objects > Address > Address и нажмите add для добавления новой записи.



Определим IP-адрес узла локальной сети с внутренним адресом 192.168.1.33.



Определим внешний (публичный) IP-адрес 59.124.163.153.



2. Создадим правило для SNAT. Зайдите в меню Configuration > Policy > Route > Policy Route и нажмите значок add для отображения настроек.



Установите в поле Source Address предварительно сконфигурированный NAT_ internal и выберите Any в поле Service. В поле Source Network Address Translation выберите NAT_public. Эти настройки позволят маршрутизировать трафик с локальных узлов в Интернет и заменять внутренние IP-адреса на внешние.



Таким образом, были созданы две политики маршрутов (Policy Route). Порядок политик имеет очень важное значение. Пакеты будут маршрутизироваться на основании совпадения первого правила. ZyWALL 1050 не будет проверять все маршруты и выберет один наиболее подходящий для маршрутизации пакетов. Таким образом, вы должны настроить новые правила до существующих глобальных правил которые захватывают все пакеты.
NAT_internal address object (192.168.1.1) также включен в LAN_SUBNET address object (192.168.1.0/255.255.255.0).



3. Настройте правило Virtual Server для DNAT. Зайдите в меню Configuration > Policy > Virtual Server и нажмите значок add для отображения настроек.



Выберите интерфейс, на который приходит трафик из Интернета. В нашем примере это интерфейс ge2. В поле Original IP установите NAT_public, а в поле Mapped IP укажите IP-адрес внутреннего узла (192.168.1.33).



4. В настройках межсетевого экрана (Firewall) нужно создать правило позволяющее прохождение трафика из Интернета (из WAN) к локальному хосту. Для настройки нового правила ACL войдите в меню Configuration > Policy > Firewall и нажмите значок add для настройки правила WAN-to-LAN.

Примечание: если интерфейс для преобразования IP не определен в зоне (zone), то вы должны сначала настроить зону для этого интерфейса.



В поле Destination установите NAT_internal, а в поле Source укажите any. Настройка безопасности может применяться для всего трафика или для конкретных сервисов. Например, вы можете создать правило, позволяющее прохождение трафика только с определенных веб-сайтов или сервисов (service), таких, как HTTP или FTP.


KB-1610

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0