Port Forwarding và NAT Rules Meraki MX 100 Firewall

[CCNACCNP]

Port Forwarding và NAT Rules Meraki MX 100 Firewall

Máy chủ đằng sau tường lửa thường cần có thể truy cập từ Internet. Bạn có thể thực hiện việc này bằng cách triển khai Chuyển tiếp cổng, 1: 1 NAT (Dịch địa chỉ mạng) hoặc 1: Nhiều NAT trên Công cụ bảo mật MX. Bài viết này thảo luận khi thích hợp để cấu hình từng cái và những hạn chế của chúng.

Cổng chuyển tiếp

Chuyển tiếp cổng nhận các cổng TCP hoặc UDP cụ thể được chuyển đến giao diện Internet của Công cụ bảo mật MX và chuyển tiếp chúng tới các IP bên trong cụ thể. Điều này là tốt nhất cho người dùng không sở hữu một nhóm địa chỉ IP công cộng. Tính năng này có thể chuyển tiếp các cổng khác nhau đến các địa chỉ IP nội bộ khác nhau, cho phép nhiều máy chủ có thể truy cập được từ cùng một địa chỉ IP công cộng.

Khi ánh xạ các cổng, hãy ghi nhớ:

• Các cổng có thể được liệt kê riêng lẻ hoặc theo phạm vi
• Phạm vi cổng phải được gạch nối. Một danh sách được phân tách bằng dấu phẩy không được chấp nhận.
• Khi ánh xạ một phạm vi cổng công cộng sang một phạm vi cổng cục bộ, phạm vi phải có cùng độ dài. Tức là 8000-8500 công khai phải được ánh xạ tới 8000-8500 cục bộ.

Xin lưu ý rằng không thể chuyển tiếp một cổng TCP hoặc UDP cho nhiều thiết bị LAN.

1: 1 NAT

1: 1 NAT dành cho người dùng có nhiều địa chỉ IP công cộng có sẵn để sử dụng và cho các mạng có nhiều máy chủ phía sau tường lửa như hai máy chủ web và hai máy chủ thư. Ánh xạ NAT 1: 1 chỉ có thể được định cấu hình với các địa chỉ IP không thuộc Công cụ bảo mật MX. Nó cũng có thể dịch địa chỉ IP công cộng trong các mạng con khác với địa chỉ giao diện WAN nếu ISP định tuyến lưu lượng truy cập cho mạng con về phía giao diện MX. Mỗi bản dịch được thêm vào là một quy tắc một, có nghĩa là lưu lượng truy cập đến địa chỉ IP công cộng chỉ có thể đi đến một địa chỉ IP nội bộ. Trong mỗi bản dịch, người dùng có thể chỉ định cổng nào sẽ được chuyển tiếp đến IP bên trong. Khi thêm các cổng cho NAT, cả hai cổng hoặc danh sách các cổng được phân tách bằng dấu phẩy đều được chấp nhận.

1: Nhiều NAT

A 1: Nhiều cấu hình NAT cho phép MX chuyển tiếp lưu lượng truy cập từ IP công cộng được định cấu hình sang các máy chủ nội bộ. Tuy nhiên, không giống như quy tắc NAT 1: 1, 1: Nhiều NAT cho phép một IP công cộng duy nhất dịch sang nhiều IP nội bộ, trên các cổng khác nhau. Đối với mỗi 1: Nhiều định nghĩa IP, một IP công cộng phải được chỉ định, sau đó có thể định cấu hình nhiều quy tắc chuyển tiếp cổng để chuyển tiếp lưu lượng đến các thiết bị khác nhau trên mạng LAN trên cơ sở mỗi cổng. Như với NAT 1: 1, định nghĩa 1: Nhiều NAT không thể sử dụng địa chỉ IP thuộc về MX.

Xử lý sự cố

• Để biết thông tin về các vấn đề khắc phục sự cố với Chuyển tiếp cổng và Quy tắc NAT, vui lòng tham khảo bài viết này:   Đăng nhập để xem liên kết