Introduire les Ports dans un ZyWALL USG

Introduire les Ports dans un ZyWALL 1050 ou un USG

référence ZF204B

Cette description vous donnes un exemple comment un seul (web)serveur soit accessible et veille aussi que le serveur soit approchable aussi du LAN vers l'adresse IP publique.

Situation Sommaire

Dans le LAN nous avons un serveur web (dans cet exemple le serveur web est sur le port https, TCP443) qui est rendue accessible avec l'adresse IP publique, aussi bien interne qu'externe. .

Étape 1

Premièerement, créer les adresses des objets pour l'adresse IP WAN et le serveur interne.

Allez sur Object > Adresse et cliquez sur l'icône "+" situé à droite de "Adresse":

Nous choisissons dans le 2ème écran ci-dessus pour "Interface IP" afin de faire en sorte que l'adresse de l'objet reste toujours valable, même lorsque l'adresse IP WAN pourrait changer.

Étape 2

Créer le port-forward (DNAT) en commençant par Network> Virtual Server. Cliquez sur l'icône "+", qui est situé à côté de "Mapped Port" et faites comme indiquer:

Afin de s'assurer que le serveur soit également approchable du LAN interne vers son adresse IP public (par exemple: en raison de externe DNS-resolving ) nous utilisons le soi-disant principe du NAT Loopback. Pour cela nous avons besoin d'une autre Policy Route . En cliquant sur l'icône "+" ( voire ci-dessus ) le Policy Route nécessaire sera crée automatiquement.

Après avoir cliqué sur OK, vous serez de retour sur le résumé de l'écran des règles du serveur virtuel, cliquez à nouveau sur le bouton "Apply" (Appliquer).

Étape 3

Maintenant, nous devons installer le "firewall" (pare-feu) afin de permettre les ports de pouvoir passé correctement. Pour faire ceci, allez dans le menu à gauche indiqué "Firewall" (pare-feu). Ici vous pouvez aussi, activé le pare-feu ou l'éteindre complètement. Cliquez sur l'icône "+" , juste à droite de "Log" afin de créer une nouvelle règle de pare-feu.

Choisir la bonne direction (WAN vers LAN1) et remplir comme suit:

Vous revenez sur l'écran de la liste des règles de pare-feu, cliquez sur le bouton "Apply" en dessous une fois de plus.

Tester ensuite si ca fonctionne, d'abord en interne puis de l'extérieur.

Ca ne fonctionne pas?

Vérifiez si le ZyWALL dispose d'une connections avec Internet.
Assurez-vous que le serveur interne a correctement définie la passerelle (ZyWALL). Vous pouvez le vérifier avec par exemple la commande trace route. Pour un serveur Windows, ouvrez DOS-prompt et donnez lui la commande par exemple: tracert www.zyxel.nl
Assurez-vous que cela fonctionne, ceci en désactivant le pare-feu (Firewall). Si ca fonctionne, vous n'avez pas installé la règle de pare-feu correctement.

Il est important que le policy-route qui a été crée soit limité afin que seulement celui-si puisse etre atteind en interne, donc:

Étape 4

Faite le suivant indique ci-dessous (après la création des règles SMTP du serveur virtuel) Network > Routing
Mettez ensuite la nouvelle "Policy-Route" pour SMTP, tel, que pour la source d'adresse seulement le réseau LAN doit être valable. Vous avez donc changer dans la colonne "source" de "Any" faire le changement (dans cet exemple) "LAN1_SUBNET":