Инструкция по настройке проброса портов в аппаратных шлюзах серии ZyWALL USG

Пример настройки перенаправления (проброса) портов в аппаратных шлюзах серии ZyWALL USG.

В данной статье приведем пример настройки перенаправления (проброса) портов в аппаратных шлюзах серии ZyWALL USG.


Функция перенаправления (проброса) портов предназначена для переадресации входящих обращений к сетевым службам на серверы (компьютеры) в локальной сети.
В рамках данной функции можно определить набор переадресации портов – список внутренних серверов (расположенных в локальной сети за NAT), например, веб-серверы или FTP-серверы, которые можно сделать видимыми для внешних пользователей, несмотря на то, что NAT представляет всю внутреннюю сеть для внешних пользователей, как одиночный компьютер (в случае использования типа NAT - Virtual Server (Виртуальный сервер)).
Вы можете ввести один номер порта или диапазон номеров портов, которые должны перенаправляться, и локальный IP-адрес нужного сервера. Номер порта идентифицирует службу; например, веб-служба по умолчанию использует порт 80, а FTP – порт 21. В некоторых случаях, например, если службы неизвестны или если один сервер может поддержать несколько служб (и FTP-, и веб-службу), более предпочтительным вариантом может быть указание диапазона номеров портов. Можно выделить IP-адрес сервера, который соответствует порту или диапазону портов.


Посмотреть список общеизвестных портов TCP и UDP, которые используются в различных программах, можно на сайте: http://ru.wikipedia.org/wiki/Список_портов_TCP_и_UDP


Обращаем ваше внимание, что некоторые интернет-провайдеры (компании предоставляющие доступ в Интернет) осуществляют фильтрацию входящего трафика пользователей по стандартным протоколам и портам (например, фильтрацию по 21 (FTP), 80 (HTTP) и другим портам). Провайдер может периодически проверять наличие серверов/служб и блокировать доступ к сети Интернет, если обнаружит в пользовательской подсети какие-либо активные службы. В связи с этим необходимо точно знать, что порт, по которому работает ваш сервер, не блокируется провайдером. Для проверки открыт ли порт, можно воспользоваться интернет-сервисом http://domw.net/ или http://nmap-online.com. Для получения дополнительной информации следует обращаться к провайдеру. 


Если в аппаратном шлюзе ZyWALL USG используется функция межсетевого экрана (Firewall), в настройках Firewall также потребуется разрешить работу по этим портам.


Рассмотрим пример настройки проброса (перенаправления) порта с номером 1234 на сервер, расположенный на DMZ-интерфейсе устройства (192.168.3.x) через аппаратный шлюз серии ZyWALL USG 20.


Настройку будем производить через веб-конфигуратор устройства.



Настройку следует начинать с создания объектов, которые будут использованы в процессе, что облегчит последующую настройку устройства и упростит администрирование.


1. Создание объектов в меню Object > Address.


В нашем примере будут необходимы следующие объекты:

a) WAN1_IP (IP-адрес интерфейса wan1 или wan1_ppp);
б) Server_DMZ (IP-адрес сервера);
в) Service_1234_TCP и Service_1234_UDP (порты сервисов, перенаправляемые на сервер);
г) Service_1234 (группа сервисов Service_1234_TCP и Service_1234_UDP для упрощения настроек Firewall).


a) Создание объекта типа INTERFACE IP (WAN1_IP) определяет IP-адрес внешнего WAN-интерфейса, через который трафик будет транслироваться на локальный сервер. Нужно указать интерфейс wan1 (в случае использования статического IP-адреса) или wan1_ppp (в случае использования подключений PPPoE/PPTP). Данный объект удобен тем, что в случае любых изменений настроек интерфейса, объект будет меняться в соответствии с этими изменениями. Т.е. вам не придется каждый раз перенастраивать правила, в которых был использован IP-адрес этого интерфейса.



б) Создание объекта типа HOST (Server_DMZ) определяет IP-адрес локального сервера (в нашем примере это 192.168.3.20), на который будет транслироваться трафик.



в) В меню Object > Service cоздайте сервис (Service_1234_TCP и Service_1234_UDP), определяющий  IP-протокол (TCP/UDP) и номер порта для используемой службы. Так как мы рассматриваем вариант проброса портов TCP и UDP, то нужно создать два сервиса. Впоследствии они могут быть объединены в одну группу для использования ее при настройке межсетевого экрана (Firewall).




г) На закладке Service Group создайте группу (Service_1234) для объединения сервисов Service_1234_TCP и Service_1234_UDP
Создание общей группы необходимо для упрощения настроек правил межсетевого экрана.



2. Настройка NAT в меню Network > NAT


Настроить правило NAT для проброса порта можно 2 способами:



  • используя в поле Port Mapping Type тип Port (с указанием номера порта);

  • используя в поле Port Mapping Type тип Service (на основе ранее созданных сервисов).



В случае создания объектов с сервисами (Service), для изменения настроек правила, можно менять настройки объекта.
Если использовать тип Port, то настройки порта меняются только в самом правиле.


Приведем настройки NAT для интерфейсов wan1 и wan1_ppp.

Обратите внимание! Для проброса портов нужно использовать входящий интерфейс wan1 или wan1_ppp (на который будет приходить трафик, который нужно перенаправлять на сервер).
! При наличии подключения к Интернету по потоколу PPPoE/PPTP (wan1_ppp), для проброса портов из внешней сети в локальную сеть нужно использовать интерфейс wan1_ppp, а не интерфейс wan1

Обратите внимание! В поле Original IP должен быть явно указан объект (WAN1_IP или WAN1_ppp_IP) с IP-адресом входящего интерфейса.
Теоретически, это поле может быть незаполненным, но в этом случае возможно снижение уровня безопасности и некорректная работа NAT в определенных случаях.


а) Настройка NAT для входящего интерфейса wan1, используя Port Mapping Type = Port для проброса порта 1234. В поле Original IP указан объект WAN1_IP.




б) Пример настройки NAT для входящего интерфейса wan1_ppp, используя Port Mapping Type = Port для проброса порта 1234. В поле Original IP указан объект WAN1_ppp_IP.



в) Настройка NAT для интерфейса wan1, используя Port Mapping Type = Service для проброса сервисов (Service_1234_TCP и Service_1234_UDP).





3. Настройка межсетевого экрана Firewall


Обратите внимание! Правила межсетевого экрана срабатывают после NAT, соответственно трафик в нашем случае будет идти по направлению WAN > DMZ. Адреса назначения (Destination) будут подменены на локальные в соответствии с настройкой NAT (см. выше). При настройки правила Firewall это нужно учитывать.


а) Создание зон. Участниками зоны WAN являются интерфейсы wan1 и wan1_ppp, а в зону DMZ включен интерфейс dmz. Зоны это направление, по которым можно создавать правила межсетевого экрана.



б) Настройка правила межсетевого экрана.
В полях From (Откуда) и To (Куда) укажите зоны для установки направления трафика, для которого будет работать создаваемое правило межсетевого экрана. В нашем примере указано направление из зоны WAN в зону DMZ.
Так как правило должно действовать для всех пользователей, то в поле User укажите значение any
В поле Source (Источник) укажите значение any, если это публичный сервер, либо укажите те публичные IP-адреса, которым будет разрешен доступ из Интернета (эти IP-адреса можно включить в отдельную группу). 
В поле Destination (Назначение) укажите объект Server_DMZ (ранее был создан в меню Object > Address в пункте 1б), содержащий IP-адрес сервера. 
В поле Service (Сервис) нужно указать группу сервисов Service_1234 (ранее была создана в меню Object > Service > Service Group в пункте 1г). 
В поле Access (Доступ) установите значение allow (разрешать). 


KB-2161

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0

Комментарии

0 комментариев