SonicOS Улучшено, как настроить политики NAT

SonicOS Улучшено, как настроить политики NAT

05/15/2019   2911   64096 05/15/2019 2911 64096

ОПИСАНИЕ:

Механизм преобразования сетевых адресов (NAT) в SonicOS Enhanced позволяет пользователям определять детализированные политики NAT для своего входящего и исходящего трафика. Эта статья иллюстрирует различные типы политик NAT, которые можно настроить в SonicWall для различных целей .

В этой статье мы будем использовать следующие IP-адреса в качестве примеров для демонстрации создания и активации политики NAT. Вы можете использовать эти примеры для создания политик NAT для вашей сети, заменив свои IP-адреса на примеры, показанные здесь:

  • 192.168.1.0/24 IP-подсеть на интерфейсе X0
  • 1.1.1.0/24 IP-подсеть на интерфейсе X1
  • 192.168.30.0/24 IP-подсеть на интерфейсе X3
  • X0 LAN IP-адрес: 192.168.1.1
  • IP-адрес X1 WAN - 1.1.1.1.
  • IP-адрес X3: 192.168.30.1
  • «Частный» адрес веб-сервера на 192.168.1.100
  • «Публичный» адрес веб-сервера в 1.1.1.1

РАЗРЕШАЮЩАЯ СПОСОБНОСТЬ:

Многие в один NAT


Это наиболее распространенная политика NAT в SonicWall, позволяющая преобразовать группу адресов в один адрес. В большинстве случаев это означает, что вы берете внутреннюю «частную» IP-подсеть и транслируете все исходящие запросы в IP-адрес WAN-порта SonicWall, так что адресат видит запрос как поступающий с IP-адреса SonicWall. Порт WAN, а не с внутреннего частного IP-адреса.
SonicWall имеет политику исходящего NAT по умолчанию, предварительно настроенную для каждого интерфейса, настроенного в сети | Страница интерфейсов на вкладке « Управление », переводящая все исходящие запросы в IP-адрес основного WAN-порта SonicWall (WAN Primary IP). Чтобы просмотреть стандартные политики NAT, предварительно настроенные в SonicWall, нажмите « Управление» в верхнем навигационном меню и перейдите к « Правилам | Страница политик NAT .

ПРИМЕР: На следующем рисунке показано меню конфигурации для такой политики NAT по умолчанию для преобразования исходящего трафика в IP-интерфейс X1 интерфейса SonicWall ПРИМЕР: На следующем рисунке показано меню конфигурации для такой политики NAT по умолчанию для преобразования исходящего трафика в IP-интерфейс X1 интерфейса SonicWall.

Однако в некоторых случаях может потребоваться преобразовать конкретную подсеть в IP-адрес, отличный от первичного IP WAN
Однако в некоторых случаях может потребоваться преобразовать конкретную подсеть в IP-адрес, отличный от первичного IP WAN. Такая политика NAT проста для создания и активации. Чтобы создать политику NAT, позволяющую всем системам на интерфейсе X1 инициировать трафик с использованием общедоступного IP-адреса, отличного от основного IP-адреса WAN SonicWall, выполните следующие действия:

  1. Войдите в интерфейс управления SonicWall
  2. Нажмите « Управление» в верхнем меню навигации.
  3. Перейдите к объектам | Адресные объекты .
  4. Нажмите кнопку Добавить , чтобы добавить новый объект адреса для альтернативного IP-адреса WAN, на который вы хотите выполнить преобразование.

    ПРИМЕР: см ПРИМЕР: см. Снимок экрана ниже для примера, где был создан объект Host, а 1.1.1.2 - это пример. IP - это то, на что объекты будут преобразованы в NAT.

  5. Перейдите к Правилам | Страница политик NAT .
  6. Нажмите кнопку Добавить, чтобы создать новую политику NAT.

    ПРИМЕР: Пример политики NAT, созданный ниже для справки после примеров выше ПРИМЕР: Пример политики NAT, созданный ниже для справки после примеров выше

    • Первоначальный источник: X3 Subnet
    • Источник перевода: X3 Public IP
    • Оригинальный пункт назначения: любой
    • Переведенное место назначения: оригинал
    • Оригинальный сервис: любой
    • Перевод обслуживания: Оригинал
    • Исходный интерфейс: X3
    • Интерфейс назначения: X1
    • Включить политику NAT: включено
    • Комментарий: (введите краткое описание)

    Первоначальный источник: X3 Subnet   Источник перевода: X3 Public IP   Оригинальный пункт назначения: любой   Переведенное место назначения: оригинал   Оригинальный сервис: любой   Перевод обслуживания: Оригинал   Исходный интерфейс: X3   Интерфейс назначения: X1   Включить политику NAT: включено   Комментарий: (введите краткое описание)

Индивидуальный NAT

Это еще одна распространенная политика NAT в SonicWall, позволяющая преобразовывать внутренний IP-адрес в уникальный IP-адрес. Это полезно, когда вы хотите, чтобы определенные системы, такие как серверы, использовали определенный IP-адрес, когда они инициируют трафик к другим пунктам назначения. В большинстве случаев такая политика NAT используется для сопоставления частного IP-адреса сервера с общедоступным IP-адресом, и она в сочетании с политикой зеркалирования, которая позволяет любой системе из общедоступного Интернета получать доступ к серверу, наряду с соответствующим правило доступа брандмауэра, которое разрешает это.

В этом примере мы решили продемонстрировать веб-сервер, использующий службу HTTP, однако следующие шаги применимы к любой службе, которую вы хотите использовать (например, HTTPS, SMTP, FTP, службы терминалов, SSH и т. Д.).

Создание необходимых адресных объектов

  1. Нажмите « Управление» в верхнем меню навигации.
  2. Перейдите к объектам | Адресные объекты .
  3. Нажмите кнопку « Добавить» и создайте два объекта адреса: один для частного IP-адреса соответствующего устройства и один для общедоступного IP-адреса.

Адресный объект для сервера в локальной сети

Имя: W ebserver Private
Назначение зоны: LAN
Тип: Хост
IP-адрес: 192.168.1.100

Адресный объект для публичного IP-адреса сервера   Имя: W ebserver Public   Назначение зоны: WAN   Тип: Хост   IP-адрес: 1
Адресный объект для публичного IP-адреса сервера
Имя: W ebserver Public
Назначение зоны: WAN
Тип: Хост
IP-адрес: 1.1.1.1

Создание входящей политики NAT

Эта политика позволяет преобразовывать внешний публичный IP-адрес во внутренний частный IP-адрес. Эта политика NAT в сочетании с правилом разрешения доступа позволяет любому источнику подключаться к внутреннему серверу с использованием общедоступного IP-адреса; SonicWall будет обрабатывать перевод между частным и публичным адресом. Ниже мы будем создавать Политику NAT, а также правило, разрешающее HTTP-доступ к серверу.

  1. В графическом интерфейсе управления SonicWall нажмите « Управление» в верхнем меню навигации.
  2. Перейдите к Правилам | Страница политик NAT .
  3. Нажмите кнопку « Добавить» и в раскрывающемся меню выберите следующие параметры:

Политика входящего NAT

Первоначальный источник: любой
Переведенный Источник: Оригинал
Первоначальный пункт назначения: общедоступный веб-сервер
Переведенный пункт назначения: Частный веб-сервер
Оригинальный сервис: HTTP
Перевод обслуживания: Оригинал
Входящий интерфейс: любой
Исходящий интерфейс: любой
Включить политику NAT: проверено
Создайте рефлексивную политику. Когда вы устанавливаете этот флажок, автоматически создается зеркальная (исходящая или входящая) политика NAT в соответствии с параметрами, настроенными в окне Добавить политику NAT. В примере политики NAT, когда установлен флажок Создать рефлексивную политику, будет создана исходящая политика NAT, как показано на снимке экрана ниже.

Пример исходящей / рефлексивной политики

Пример исходящей / рефлексивной политики


ПРИМЕЧАНИЕ ПРИМЕЧАНИЕ. Если вам нужно создать правило доступа, чтобы разрешить трафик через брандмауэр для политики входящего NAT, обратитесь к Как включить переадресацию портов и разрешить доступ к серверу через SonicWall

DNS Loopback NAT Policy

Цель политики NAT Loopback DNS состоит в том, чтобы узел в локальной сети или DMZ имел возможность доступа к веб-серверу в локальной сети (192.168.1.100) с использованием общедоступного IP-адреса сервера (1.1.1.1) или его полностью определенного имени домена (FQDN).

  1. Войдите в интерфейс управления SonicWall
  2. Нажмите « Управление» в верхнем меню навигации.
  3. Перейдите к Правилам | Политики NAT
  4. Нажмите Add и создайте политику NAT, следуя приведенному ниже примеру из выпадающего меню

    ПРИМЕР: в приведенном ниже примере Firewalled Subnets используется в качестве исходного источника, но это может потребоваться настроить для включения всех подсетей за SonicWall, если вы маршрутизируете дополнительные подсети через устройство уровня 3 за SonicWall ПРИМЕР: в приведенном ниже примере Firewalled Subnets используется в качестве исходного источника, но это может потребоваться настроить для включения всех подсетей за SonicWall, если вы маршрутизируете дополнительные подсети через устройство уровня 3 за SonicWall. Трафик транслируется на общедоступный IP-адрес веб-сервера (но это может быть любой публичный адрес), чтобы иметь возможность общаться и транслировать обратно через устройство SonicWall. Этот процесс можно обойти, создав локальную запись DNS, чтобы вместо этого перевести ваш веб-сервер на его частный IP-адрес.

  • Первоначальный источник: Firewalled Subnets
  • Переведено Источник: Mywebserver Public
  • Первоначальный пункт назначения: Mywebserver Public
  • Переведенный пункт назначения: Mywebserver Private
  • Оригинальный сервис: HTTP
  • Перевод обслуживания: Оригинал
  • Входящий интерфейс: любой
  • Исходящий интерфейс: любой
  • Включить политику NAT: проверено
  • Создать рефлексивную политику: не отмечено

Первоначальный источник: Firewalled Subnets   Переведено Источник: Mywebserver Public   Первоначальный пункт назначения: Mywebserver Public   Переведенный пункт назначения: Mywebserver Private   Оригинальный сервис: HTTP   Перевод обслуживания: Оригинал   Входящий интерфейс: любой   Исходящий интерфейс: любой   Включить политику NAT: проверено   Создать рефлексивную политику: не отмечено

Трансляция адреса входящего порта через WAN (X1) IP-адрес

Это одна из более сложных политик NAT, которую вы можете создать на устройстве SonicWall UTM с микропрограммой SonicOS Enhanced. Это позволяет вам использовать WAN IP-адрес устройства SonicWall для обеспечения доступа к нескольким внутренним серверам. Это наиболее полезно в ситуациях, когда ваш провайдер предоставил только один общедоступный IP-адрес, и этот IP-адрес должен был использоваться WAN-интерфейсом SonicWall.
Ниже мы создадим программу, обеспечивающую открытый доступ к двум внутренним веб-серверам через WAN IP-адрес SonicWall; каждый будет привязан к уникальному пользовательскому порту. В примерах мы настроим только два, но можно создать больше, если все порты уникальны.
В этом разделе у нас есть пять задач для выполнения:

  • Создайте два пользовательских сервисных объекта для уникальных публичных портов, на которые будут отвечать серверы
  • Создайте два объекта адреса для частных IP-адресов серверов
  • Создайте две записи NAT, чтобы два сервера могли инициировать трафик в общедоступный Интернет.
  • Создайте две записи NAT для сопоставления пользовательских портов с фактическими портами прослушивания и для сопоставления частных IP-адресов с IP-адресом WAN SonicWall.
  • Создайте две записи в правилах доступа, чтобы позволить любому публичному пользователю подключаться к обоим серверам через WAN IP-адрес SonicWall и соответствующие уникальные пользовательские порты серверов.

Создание двух пользовательских портов:

  1. Войдите в интерфейс управления SonicWall
  2. Нажмите Управление в верхнем меню навигации.
  3. Перейдите к объектам | Сервисные объекты .
  4. Нажмите кнопку Добавить и создайте порты, которые будут использоваться серверами.

    ПРИМЕР: В приведенном ниже примере веб-сервер 1 будет использовать порт 4433 для 443 сервисов, а <a target=_blank href='/content/20191205/ru/apac-kak-ustanovit-veb-server-apache-v-windows.html'>веб-сервер 2 будет использовать</a> 4434 для 443 сервисов ПРИМЕР: В приведенном ниже примере веб-сервер 1 будет использовать порт 4433 для 443 сервисов, а веб-сервер 2 будет использовать 4434 для 443 сервисов

Создание двух адресных объектов:

  1. Войдите в интерфейс управления SonicWall
  2. Нажмите « Управление» в верхнем меню навигации.
  3. Перейдите к объектам | Адресные объекты .
  4. Нажмите кнопку Добавить и создайте частные и публичные IP-адреса, которые будут использоваться серверами.

    ПРИМЕР: Для целей нашего примера IP-адреса частного веб-сервера будут настроены на 192 ПРИМЕР: Для целей нашего примера IP-адреса частного веб-сервера будут настроены на 192.168.1.100 и 192.168.1.101.

Создание входящих политик NAT:

Чтобы создать политики NAT для сопоставления пользовательских портов с реальными портами прослушивания серверов и для сопоставления IP-адреса WAN SonicWall с частными адресами серверов, создайте следующие политики NAT

  1. Войдите в интерфейс управления SonicWall
  2. Нажмите « Управление» в верхнем меню навигации.
  3. Перейдите к Правилам | Политики NAT
  4. Нажмите кнопку Добавить и создайте политику NAT, следуя приведенным ниже примерам из раскрывающихся меню.

    ПРИМЕР: Ниже приведены два примера политик NAT, созданных с использованием одной и той же информации из объектов Service и Address, созданных выше ПРИМЕР: Ниже приведены два примера политик NAT, созданных с использованием одной и той же информации из объектов Service и Address, созданных выше. Оба частных IP-адреса транслируются с одного и того же общего IP-адреса, но основаны на разных исходных портах. При наличии этих политик SonicWall преобразует общедоступный IP-адрес сервера в частный IP-адрес, когда поступают запросы на подключение от интерфейса WAN, привязанного к IP-адресу общедоступного адреса веб-сервера. Чтобы получить доступ к веб-серверу 192.168.1.100, пользователи в Интернете должны ввести https://1.1.1.1:4433 в своем веб-браузере. Аналогично, для доступа к веб-серверу 192.168.1.101 введите h ttps: // 1.1.1.1:4434.

    ПРИМЕЧАНИЕ ПРИМЕЧАНИЕ. Политики исходящего NAT должны быть созданы, если трафик должен генерироваться отдельно от серверов и преобразовываться в один и тот же общедоступный IP-адрес.

Похожие

Как хранить кофе?
[blockquote] Power of Storage Storage (ППК) [/ blockquote] Правила ППК очень просты. Храните кофе в темном и прохладном месте. Период. Это означает, что подоконник снят, шкаф рядом с духовкой выключен, прозрачная банка или емкость для кофе также выпадают! Лучше всего использовать один из следующих методов, который значительно продлит срок службы вашего кофе:
Фотоальбомы
ПРИМЕЧАНИЕ: мы создаем альбомы только для наших клиентов, с которыми мы сделали фотографии. Здесь подробный прайс-лист фотоальбомов, фотокниг и продуктов. Я представляю вам лучший способ представить фотографии с вашего свадебного освещения.
Как настроить авторизацию по отпечатку пальца для Google Play
... как добавить аутентификацию по отпечаткам пальцев в Google Play. Подробнее: 6 советов, чтобы избавиться от ошибок в Google Play Store Регистрация вашего отпечатка пальца Перейдите в приложение «Настройки» на своем телефоне. Нажмите на кнопку «Безопасность». Нажмите на кнопку «Nexus Imprint». Нажмите на опцию «Добавить
Как очистить куки на iPad
ouhdesire / 123RF Вы, вероятно, читаете это, потому что вы слышали что-то негативное о файлы cookie браузера , Может быть, у вас есть проблемы с конфиденциальностью, или вы просто пытаетесь освободить место на вашем IPad , Безотносительно причины мы собираемся показать вам, как очистить куки
Как создать ключ API Карт Google
Совсем недавно Google внедрил биллинговую систему для использования Google Maps на веб-сайтах. Казалось бы, другой коммерческий сервис означает, что каждый, кто использует Карты Google, должен будет залезть в карманы. Однако расходы относятся в основном к веб-сайтам с большим количеством
Как безопасно пользоваться браузером Internet Explorer
There are no translations available. Ощущение безопасности делает человека неосторожным й. Александр Дюма (отец) В Интернете часто можно встретить рекомендацию не пользоваться Internet Explorer (IE), которую умудренные опытом «гуру» дают начинающим или
Как восстановить классическую визуальную композицию в Windows 10?
Хорошо функционирующая система подразумевает не только всплывающие панели, прозрачность и приятную анимацию. Для многих пользователей важна простота и минимализм, которые Windows предоставила в выпусках 95, 98 или 2000. В более поздних версиях этот интерфейс можно было восстановить, но Windows 10 просто не предлагает эту опцию. Тем не менее, классическая схема может быть восстановлена ​​независимо и не требует каких-либо сложных операций вообще. Наоборот - это очень просто. В нашем руководстве
Как запретить рекламе следить за вами в интернете?
... как и в любое другое тысячелетие, я делал все свои рождественские покупки в Интернете. Чего я не делал, так это оставлял свой просмотр закрытым, что означало, что у меня был эклектичный ассортимент рекламных объявлений, следящих за мной, побуждающих меня покупать больше или помнить тот предмет, который я был так близок к покупке. Эти персонализированные рекламные объявления являются результатом использования файлов cookie - данных, отправляемых с веб-сайта, который хранится в вашем
Как мне изменить номер моего банковского счета? PADO24
Со временем может наступить время, когда мы изменим номер банковского счета. Причины поменять номер банковский счет их может быть много. У каждого есть индивидуальная причина и право на это. Однако об изменениях следует уведомить соответствующие
Как сделать свой профиль Steam приватным
Вчера, товарищ писатель How-To Geek Эрик Рейвенкрафт рекомендовал игру Steam в нашем офисе в чате Это все о писательстве ... а также о школьницах в стиле аниме и их ухаживании. Но то, что заставило меня
Как повесить приложение Android на кого-то одним простым шагом
Хотя весенняя погода вряд ли сделает это, многим из нас иногда хочется просто быть злыми. О, переведите чей-то телефон, чтобы ему пришлось поискать его на мгновение или каким-то другим образом пошутить. Некоторые, однако, делают еще один шаг, и их глаза приобретают размер в пять злотых, когда они видят способ перерезать чей-то телефон, отправляя соответствующее сообщение. В общем, эта ошибка относится к смартфонам с логотипом укушенного яблока, однако пришло время мстить зеленым! Я убежден,

Комментарии

И как только вы решите, какой «внешний вид» вы хотите, как вы добьетесь этого?
И как только вы решите, какой «внешний вид» вы хотите, как вы добьетесь этого? «Твердость» или «мягкость» света имеет первостепенное значение. Нерассеянный прямой свет будет отбрасывать на объект жесткие тени, которые могут быть желательными или нет в зависимости от того, что хочет фотограф. Перемещение источников света ближе или дальше от объекта изменит мягкость света и его интенсивность. Тщательный баланс положения и яркости клавиш по сравнению с заливкой или подсветкой
Привлечь трафик на страницы вашего продукта Как получить огромный трафик в вашем блоге с Slideshare Как получить огромный трафик в вашем блоге с Slideshare Никогда не слышал о Slideshare?
И как только вы решите, какой «внешний вид» вы хотите, как вы добьетесь этого? «Твердость» или «мягкость» света имеет первостепенное значение. Нерассеянный прямой свет будет отбрасывать на объект жесткие тени, которые могут быть желательными или нет в зависимости от того, что хочет фотограф. Перемещение источников света ближе или дальше от объекта изменит мягкость света и его интенсивность. Тщательный баланс положения и яркости клавиш по сравнению с заливкой или подсветкой
Как добавить пользовательские шрифты на свой сайт WordPress?
Как добавить пользовательские шрифты на свой сайт WordPress? Какие-либо дополнительные советы или мысли по поводу вышеизложенного? Дайте нам знать в разделе комментариев ниже.
Как это выглядит?
Как это выглядит? Файл robots.txt содержит три основные части и понятия, которые вы должны понимать. Агент пользователя Эта команда указывает, каким сканерам разрешено сканировать ваш сайт. Сайты чаще всего используют * для пользовательского агента, потому что он означает «все пользовательские агенты». Три основных
Как воспользоваться рекламной акцией Samsung Buy-Back?
Как воспользоваться рекламной акцией Samsung Buy-Back? Для этого вам необходимо купить один из смартфонов, на которые распространяется программа. Если мы выберем модели с верхней полки, такие как Galaxy S9 и S9 +, мы получим максимум 2000 злотых, включая гарантированные 400 злотых от Samsung. Люди, решившие купить более старые или более дешевые модели, такие как Samsung Galaxy A6, Galaxy A6 +, Galaxy A8, Galaxy S8, Galaxy S8 + или Galaxy Note 8, получат максимум 1720 злотых, включая гарантированные
Вы знаете, что Google есть возможность, но как насчет Яндекса?
Вы знаете, что Google есть возможность, но как насчет Яндекса? Что такое яндекс? Яндекс (официально запущенный в 1997 году) - самый популярный браузер, используемый в русскоязычном мире. Яндекс быстро набирает популярность и становится крупнейшей поисковой системой в России. В настоящее время Яндекс
Как работает doulCi?
Как работает doulCi? По словам разработчиков, которые описывают метод работы этого инструмента, просто скачайте соответствующий пакет с программой (на Windows или OS X), а затем запустите DoulCi HostSetup, который создаст виртуальный хост на компьютере. За это время отключитесь от интернета и отключите все антивирусы. Следующим шагом будет запуск программы doulCi iCloud Unlocker и подключение компьютера или iPhone с помощью USB-кабеля к компьютеру. После подключения iPhone вам нужно только
Как купить на AliExpress?
Как купить на AliExpress? Вы только начинаете свое приключение с AliExpress ? встреча направляющие это даст вам советы о том, как сделать удовлетворительные покупки. Благодаря им заказанная детская одежда (и не только) станет идеальной. Как купить на AliExpress Размер размер неровный
Как позаботиться о безопасности?
Как позаботиться о безопасности? К счастью, нам никогда не придется быть неземным, складывая свернутые записи в бюстгальтер, обувь, носки или трусы. Производители туристических гаджетов избавят нас от этой проблемы. Посмотрите, что они приготовили для нас: Пояс с хранилищем денег Это незаменимый гаджет, который гарантирует комфорт безопасной перевозки наличными. Он оснащен крошечным карманом, в котором вы можете хитро спрятать свои деньги. Карман застегивается
Как это сделать, однако?
Как это сделать, однако? Сила платежей BLIK заключается в их простоте. Поскольку эта система автоматически интегрируется с мобильными приложениями банка, все, что вам нужно сделать, это загрузить ее на свой телефон, чтобы полностью управлять своей учетной записью и совершать любые транзакции, будь то традиционным способом или с помощью мобильных платежей BLIK. Вам не нужны никакие дополнительные приложения или назначение платежных карт для внешней системы. Единственное,
Второе: как насчет этого затмения?
Второе: как насчет этого затмения? И здесь у меня есть плохие новости, потому что полное лунное затмение, объявленное 31 января 2018 года, к сожалению, не будет видно с территории Польши. 🙁 Они смогут полюбоваться жителями Азии, Австралии и некоторых частей Северной Америки. О сайтах, сообщающих об этом сенсационном явлении («первый за 152 года!»), Позорно стыдитесь в самом конце.

И как только вы решите, какой «внешний вид» вы хотите, как вы добьетесь этого?
И как только вы решите, какой «внешний вид» вы хотите, как вы добьетесь этого?
Как добавить пользовательские шрифты на свой сайт WordPress?
Какие-либо дополнительные советы или мысли по поводу вышеизложенного?
Как это выглядит?
Как это выглядит?
Как воспользоваться рекламной акцией Samsung Buy-Back?
Вы знаете, что Google есть возможность, но как насчет Яндекса?
Что такое яндекс?
Как работает doulCi?