Ce document décrit comment utiliser différents paramètres IP NAT avec un ZyWALL USG (ou un ZyWALL 1050) peut faire en combinaisons avec plusieurs adresses IP publiques (un sous-réseau routé). Avant de commencer, vous devez évidemment avoir correctement installer votre ZyWALL et le configurer pour l'internet.
Sous-réseau 192.0.2.8/29, plus précisément: Sous-réseau ID: 192.0.2.8,
DSL Router IP: 192.0.2.9,
ZyWALL WAN1-IP: 192.0.2.10,
Broadcast IP: 192.0.2.15. Masque de sous réseau est 255.255.255.248.
Devant le ZyWALL est un routeur DSL qui est configuré correctement. (Par exemple comme décrit dans le document zf133).
De plus amples détails dans cet exemple:
LAN1 sous-réseau: 192.168.1.0/24,
Pool DHCP de 192.168.1.33 - 192.168.1.232
LAN2 sous-réseau: 192.168.2.0/24,
Pool DHCP de 192.168.2.33 - 192.168.2.232.
Pour cet exemple, un USG100 est utilisé.
Nous avons deux serveurs internes (resp IP: 192.168.1.2 et 192.168.1.3) que nous voulons rendre accessible au public sur respectivement 192.0.2.11 et 192.0.2.14. Pour le premier serveur nous voulons d'abord, faire une cartographie 1.1, seul le port 25 sera utilise, et pas les autres ports. Ce dernier sera éventuellement utilise plus tard pour d'autres serveurs internes.
Plus loin dans ce document nous voulons également permettre le sous-réseau LAN2 via une WAN adresse publique IP spécifique 192.0.2.12 d’aller à l’extérieur (internet). Tous les réglages NAT sont effectués sous la mention ci-dessous
Network > Virtual Server .
Ouvrez la page Web du ZyWALL à partir de LAN1, par défaut cette adresse est https: / / 192.168.1.1.
Entrez le nom de l'utilisateur (par défaut admin) et le mot de passe (par défaut 1234) et appuyez sur le bouton "Entrer".
Tout d'abord, nous devons créer de nouvelles adresses nécessaires dans cette conception
Allez sur Object> Adresse
Cliquez à nouveau pour créer un nouvel objet de l'icône «+»ensuite «Adresse».
Nous avons pour l’utilisation de chaque WAN IP un objet et pour chaque serveur interne ...
 |
 |
 |
....et le serveurs |
 |
 |
Ensuite on fait la première cartographie 1.1 NAT mapping (DNAT). Aller au Network> Virtual Server et cliquer sur l’ icône "+" , juste à côté "Mapped Port" et entrez comme suit:
Notez que la tique dans la cartographie “Add corresponding Policy Route rule for NAT 1:1 mapping” soit mise de façon à s'assurer que le serveur interne, avec cette même adresse IP publique puisse en retour communiquer dehors (et pas avec l'adresse "IP principale du port WAN).
Puis cliquez sur «Apply»
Comme vous pouvez le lire, un Policy Route est créé automatiquement. Celui-ci peut être trouvés sur la page Policy Route sous Network > Routing.
Créer le second 1-1 mapping, mais maintenant seulement pour le trafic spécifiques SMTP (DNAT).
Ici, nous supposons que le serveur SMTP doit aussi depuis le réseau local, avec l'adresse IP publique, être accessible (ceci est due au DNS-resolving sur le domaine de messagerie) ...
!!Attention !!
En cliquant sur “Add corresponding Policy Route rule for NAT Loopback” nous assurons que tous les segments de réseau vont dans la direction de cette adresse publique IP est NAT afin que le serveur soit toujours accessible par l’ adresse public. Toutefois, il est susceptible de NAT par WAN.
(Le serveur SMTP verra toujours une adresse locale en tant que source l'adresse IP et à tort faire confiance à une adresse "public"). Avec cela, nous créons une sorte de open-relay (relais-libre) qui est absolument indésirable!
Afin ‘de limiter’ il est préférable de suivre les instructions ci-dessous le document d’appui zf204
À l'étape 2, nous avons défini l'adresse IP publique dans son ensemble (1-to-1) à une adresse IP interne.
À l'étape 3, on crée spécifiquement un port/service à travers lequel nous réservons donc le droit à la même adresse IP publique de prendre en compte aussi d'autres ports/services pour continuer sur une autre adresse IP interne.
Maintenant, nous devons également nous assurer que le trafic à partir du sous-réseau LAN2 n’utilise pas internet avec l’ adresse IP principale pour aller vers l'extérieur (SNAT), mais avec l’utilisation d'une des adresses publics (ici, 192.0.2.12, WAN1_IP4).
Cela exige que policy-route(par défaut) du LAN2 doit être ajusté. Aller Network > Routing .
Et seulement dans SNAT comme suit:
Il est évident, que non seulement les installations des paramètres NAT soient correctement configurés mais aussi le pare-feu.
Si les paramètres ci-dessus ne fonctionne pas. Vérifiez que vous avez correctement configuré les règles de pare-feu.
(Pour vérifier si, en effet les paramètres du pare-feu sont correctement installé, pourriez-vous brièvement basculer le pare-feu.)
L'adresse IP qui est utilisée à partir du réseau interne pour aller sur internet vous pouvez la trouver par exemple:
www.whatismyip.net