(!) Использование публичных IP-адресов на DMZ-портах ZyWALL 2/5/35/70

Как настроить публичные IP-адреса для серверов, размещенных в DMZ-зоне ZyWALL 2/5/35/70?

Ниже приведен пример использования публичных (глобальных) IP-адресов на DMZ-портах аппаратного шлюза ZyWALL 2/5/35/70.

  1. Нужно, чтобы публичные IP-адреса на портах WAN и DMZ были из разных подсетей.
    Данная схема будет работать только в том случае, если на вышестоящем (например, у провайдера) маршрутизаторе прописан маршрут доступа к адресам, опубликованным в DMZ-зоне через WAN IP-адрес ZyWALL’а.

  2. Использовать режим Full Feature NAT, в котором настроить правила трансляции адресов между WAN и DMZ.

Например, от провайдера выданы IP-адреса из подсети 195.58.110.0/24. В качестве WAN IP-адреса ZyWALL’а будем использовать IP-адрес 195.58.110.2. IP-адреса на портах WAN и DMZ должны быть из разных подсетей. Разделить сеть на несколько подсетей можно с помощью 26-битной маски подсети (255.255.255.192). Назначим следующие IP-адреса разным серверам:

195.58.110.65/26 -> MAIL Server
195.58.110.66/26 -> WEB Server
195.58.110.67/26 -> FTP Server



1. Настройка WAN IP Address
В веб-конфигураторе в меню WAN в разделе WAN IP Address Assignment укажите Use Fixed IP Address (Использовать фиксированный IP-адрес). В поле My WAN IP Address укажите WAN IP-адрес 195.58.110.2, в поле My WAN IP Subnet Mask - 255.255.255.192 и в поле Gateway IP Address IP-адрес шлюза провайдера - 195.58.110.1.



2. Настройка DMZ IP Address
В меню DMZ укажите в поле IP Address IP-адрес DMZ-порта - 195.58.110.68 и в поле IP Subnet Mask - 255.255.255.192.


Убедитесь, что адреса на WAN- и DMZ-портах находятся в разных подсетях и компьютеры с публичными IP-адресами подключены к DMZ-порту. 



3. Настройка Port Roles 
В меню DMZ на закладке Port Roles определите DMZ-порты. В нашем примере порты 2, 3 и 4 будут использоваться как DMZ-порты и к ним будут подключены публичные серверы.



4. Настройка NAT 
В меню NAT на закладке NAT Overview включите функцию трансляции сетевых адресов (NAT) и установите режим Full Feature.



5. Настройка Address Mapping 
В меню NAT в настройках Address Mapping создайте правило, которое будет определять, что для компьютеров сегмента LAN для доступа в Интернет использовать глобальный WAN IP-адрес - 195.58.110.2/26.



Так как в DMZ-зоне будут использоваться публичные IP-адреса, то правила трансляции для них прописывать не нужно.


6. Настройка правил межсетевого экрана для направления WAN to DMZ
В меню FIREWALL на закладке Rule Summary cоздайте разрешающие правила межсетевого экрана для направления WAN to DMZ, для того, чтобы разрешить внешний доступ к публичным серверам. 
Для того чтобы адреса компьютеров в DMZ-зоне и сам DMZ-интерфейс ZyWALL’а отвечали на пинг, необходимо дополнительно настроить Firewall и Anti-Probing.


 

KB-1782

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0