Настройка NAT в устройствах серии ZyWALL USG и NXC5200

Как настроить трансляцию сетевых адресов NAT в устройствах серии ZyWALL USG и NXC5200?


Функция преобразования сетевых адресов (NAT) в устройствах серии ZyWALL USG и NXC5200 включает Source NAT (SNAT) и Destination NAT (DNAT). SNAT заменяет обратный адрес источника (Source IP) при прохождении пакета в одну сторону. Используется для доступа в Интернет пользователями локальной сети с внутренними адресами. DNAT осуществляет обратную замену адреса назначения (Destination IP) в ответном пакете. Применяется, например, для трансляции обращений на сервер локальной сети, который имеет внутренний IP-адрес и недоступен из Интернета.

В ZyWALL USG и NXC5200 настройка SNAT (Source Network Address Translation, подмена сетевого адреса источника) для исходящих пакетов от локальных хостов в Интернет производится при создании политики маршрутизации в меню Configuration > Network > Routing на закладке Policy Routing.
Настройка DNAT (Destination Network Address Translation, подмена сетевого адреса назначения) для пакетов, которые приходят на внешний порт устройства и которые необходимо пробросить в локальную сеть (проброс портов), производится в меню Configuration > Network > NAT.

Далее рассмотрим более подробно настройку и реализацию SNAT и DNAT в устройствах серии ZyWALL USG и NXC5200.

Настройка Source NAT (SNAT)

Подключитесь к веб-конфигуратору устройства, зайдите в меню Configuration > Network > Routing и перейдите на закладку Policy Routing.

По умолчанию устройства серии ZyWALL USG настроены таким образом, чтобы пакеты локальной сети (от локальных интерфейсов internal - lan1, lan2, dmz, wlan) транслировались в Интернет через глобальные интерфейсы (external - wan1, wan2). За это отвечает транк (настроить транк можно в меню Configuration > Network > Interface на закладке Trunk). В настройках транка включен и работает системный транк по умолчанию SYSTEM_DEFAULT_WAN_TRUNK, в который включены все внешние интерфейсы в режиме Active (например, wan1, wan2, wan1_ppp, wan2_ppp) с включенной балансировкой Least Load First, соответственно весь трафик локальных интерфейсов будет транслироваться (SNAT) через любой активный внешний интерфейс; если активно более одного интерфейса, балансировка будет осуществляться в порядке очередности в правиле.
Если необходимо изменить порядок интерфейсов или убрать ненужные (например, для организации PPTP-подключения к провайдеру), необходимо отключить системный транк SYSTEM_DEFAULT_WAN_TRUNK, создать и настроить правило User Configuration и затем переключить на него Default Trunk Selection.

Если нужно отключить SNAT по умолчанию (например, когда нужно настроить NAT-маршрутизацию вручную или вообще отключить NAT), необходимо на закладке Trunk нажать Show Advanced Settings для отображения дополнительных параметров, и тогда в разделе Default WAN Trunk появится возможность снять галочку Enable Default SNAT.

Для более тонкой настройки SNAT необходимо создавать политику маршрутизации в меню Configuration > Network > Routing на закладке Policy Routing.

Создается политика маршрутизации, в ней сначала указываются критерии (Criteria) для выборки трафика (какой трафик необходимо транслировать (SNAT) или маршрутизировать).

Трафик может быть выбран по пользователю (User), по интерфейсу (Incoming), по IP-адресу источника (Source Address), по IP-адресу назначения (Destination Address) и по порту назначения (Service).  Следующим шагом по выбранному выше критерию следует назначить объект для перенаправления трафика (Next-Hop).
Трафик может быть перенаправлен на разные типы объектов:

Auto – будет перенаправлен в глобальный интерфейс по умолчанию, Gateway – на адрес шлюза (можно использовать объект типа Host – это фактически просто IP-адрес), VPN Tunnel – IPSec VPN-туннель, Trunk – маршрут на транк, где транк это несколько внешних интерфейсов, работающих вместе или в режиме резервирования (см. выше).
При выборе Trunk есть возможность выбрать транк из списка.

При выборе Interface можно указать конкретный интерфейс.

При выборе Trunk или Interface появляется возможность включить галочку Auto-Disable - это дает возможность автоматически отключать маршрут, если интерфейс или транк, которые были настроены в качестве Next-Hop, будут признаны нерабочими (отсутствие физического линка или по проверке функции Сonnectivity check).

Далее нужно настроить именно трансляцию сетевых адресов в разделе Address Translation. Можно выбрать либо автоматически IP-адрес интерфейса, с которого уходит пакет (outgoing-interface), либо указать объект с IP-адресом, который должен быть использован при отправке пакета во внешнюю сеть; также в правиле можно настроить Port Triggering.

Настройка Destination NAT (DNAT)

Зайдите в меню Configuration > Network > NAT.

При оформлении правила DNAT (проброс портов) необходимо:

Включить правило (установить галочку в поле Enable Rule).
Указать тип правила в поле Classification:
Virtual Server – Стандартное правило проброса портов.
1:1 NAT – в отличие от Virtual Server привязывает исходящий трафик от локального хоста, указанного в правиле, к глобальному IP-адресу и интерфейсу, указанным в том же правиле.
Many 1:1 NAT – дает возможность задать прямую трансляцию внешней подсети к локальной подсети одним правилом (подсети должны содержать одинаковое количество IP-адресов).

Настроить Mapping Rule:
В поле Incoming Interface указать интерфейс, куда приходят пакеты, которые должны транслироваться в локальную сеть.

В поле Original IP указать изначальный IP-адрес назначения пакета. Это поле должно быть заполнено либо статически (установив значение User Defined), либо указав объект.
В классической ситуации, когда IP-адрес назначения пакета равен IP-адресу, настроенному на интерфейсе, который принимает этот пакет (Incoming Interface), необходимо указать объект типа Interface IP (объект типа Interface IP создан на основе входящего интерфейса Incoming Interface) либо вписать его статически, в противном случае, если в поле останется значение any (любой), устройство будет отвечать на любые ARP-запросы со стороны настроенного Incoming Interface, что может привести к проблемам в сети на втором уровне модели OSI (не рекомендуется).

В поле Mapped IP указать IP-адрес локального хоста, куда нужно транслировать пакет, его также можно указать статически, установив значение User Defined, или созданный объект с нужным IP-адресом.

В поле Port Mapping Type нужно указать тип трансляции: 

any – транслирует все пакеты по любым портам.

Service – можно указать сервис из списка:

Original Service – сервис, на который пакет приходит изначально.
Mapped Service – сервис, в который нужно транслировать пакет, если это необходимо.

Port – указывается статически порт и протокол (TCP\UDP):

Original Port – изначальный порт назначения пакета.
Mapped Port – порт, который должен быть после трансляции.

Ports – то же самое, что и Port, но для группы портов.

В разделе Related Settings есть возможность включить или отключить обратную петлю NAT (установите галочку в поле Enable NAT Loopback), для того чтобы проброс по правилу работал при обращении из локальной сети на глобальный IP-адрес устройства.

Пример настройки аппаратного шлюза серии ZyWALL USG для проброса порта 1234 на сервер в локальной сети (DNAT): «Пример настройки проброса порта в аппаратном шлюзе серии ZyWALL USG»

 

KB-2341

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0
Еще есть вопросы? Отправить запрос

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.