Frequently Asked Question
Στο συγκεκριμένο παράδειγμα θεωρούμε ότι έχουμε μία NAS συσκευή στο εσωτερικό μας δίκτυο, στην IP 192.168.1.100 και Port 50000 και θέλουμε να μπορέσουμε να έχουμε πρόσβαση στην συσκευή από έξω από το διαδίκτυο.
Για την δημιουργία ΝΑΤ κανόνα θα χρειαστεί να κάνουμε τα παρακάτω βήματα:
Δημιουργία ΝΑΤ κανόνα
Δημιουργία Object Service
Αποδοχή Object Service από το Firewall
Δημιουργία ΝΑΤ κανόνα
- Ακολουθούμε το Path Configuration -> Network -> NAT και πατάμε Add.
- Α) Συμπληρώνουμε το όνομα που θέλουμε να δώσουμε ώστε να αναγνωρίζουμε τον Port Forward κανόνα.
- Β) Στο Port Mapping επιλέγουμε “Virtual Server” αφού θέλουμε να κάνουμε Port Forward ( Η επιλογή 1:1 ΝΑΤ και many 1:1 NAT χρησιμοποιείται όταν θέλουμε να κάνουμε ΝΑΤ κανόνες με IP, μία public IP προς μία Private IP ή πολλές public IP’s προς μία Private IP αντίστοιχα.)
Γ) Διαλέγουμε την WAN θύρα πάνω στην οποία θα γίνει το Port Forward.
(Στο USG40 υπάρχει και ένα interface optional που μπορεί να λειτουργήσει σαν WAN. Από το USG60 και στα επόμενα μοντέλα υπάρχουν δύο θύρες WAN)
- Ορίζουμε από ποια External και προς ποια internal port θα γίνει το traffic για το οποίο γίνεται το Port Forward:
- Επιλέγουμε Create new Object -> Address (Στην πάνω αριστερά γωνία της καρτέλας “Add NAT”)
- Ρυθμίζουμε τα δύο interfaces και τους δίνουμε όνομα:
- Α) Στην συνέχεια επιλέγουμε ποια είναι η external (original IP)/internal (Mapped IP) IP (θύρα). * Με την έννοια «Original IP» εννοείται η IP στην οποία θα φτάσει το traffic ΠΡΙΝ γίνει το Port Forwarding. Πρακτικά, στις περισσότερες περιπτώσεις είναι η Public IP μας.
Β) Επιλέγουμε “Port” στο Port mapping Type και ρυθμίζουμε external και internal Ports (από ποια θύρα (ή ποιες, πάντα ως προς την WAN!!) και προς ποια θύρα θα πάει)
Γ) Τσεκάρουμε ότι το “Enable NAT Loopback”**, συνήθως το θέλουμε απενεργοποιημένο. Στην προκειμένη περίπτωση το θέλουμε ενεργοποιημένο.
** Με την επιλογή “Enable NAT Loopback” ουσιαστικά επιτρέπουμε στους χρήστες που είναι συνδεδεμένοι στις LAN θύρες του Firewall να χρησιμοποιήσουν τον NAT κανόνα για να φτάσουν στο προορισμό ο οποίος είναι επίσης μέσα στην εταιρία (NAS – Server κ.τ.λ.)
Δημιουργία Object Service
- Αφού ορίσαμε τις Ports στο προηγούμενο βήμα τώρα πρέπει να «πούμε» στο Firewall να επιτρέψει την πρόσβαση από και προς το NAS (ή προς οποιoδήποτε προορισμό θέλουμε το NAT) δημιουργώντας μία Firewall Policy.
Ακολουθούμε το Path Configuration -> Object -> Service. Φτιάχνουμε τον κανόνα που θέλουμε για τις Ports που θέλουμε:
α) Δίνουμε ένα όνομα στο Service που θα φτιάξουμε
β) Διαλέγουμε τύπο πρωτοκόλλου (TCP-UDP-ICMP-ICMPv6)
γ) Διαλέγουμε από ποια θύρα έως ποια θύρα θα ακούει το Service (στην προκειμένη περίπτωση διαλέξαμε ουσιαστικά μόνο μία θύρα, την 50000. Εάν ήταν να διαλέγαμε υπηρεσία που χρειάζεται πολλές θύρες, π.χ. FTP, θα διαλέγαμε: Starting Port-20 & Ending Port 21)
Αποδοχή Object Service από το Firewall
Αφού φτιάξουμε τον κανόνα, ακολουθούμε το Path Configuration -> Security Policy -> Policy Control και τον κάνουμε Allow:
α) Επιλέγουμε το enable για να είναι ενεργοποιημένος ο κανόνας
- β) Θέτουμε ένα όνομα στον κανόνα ώστε να τον ξεχωρίζουμε από τους υπόλοιπους κανόνες
- γ) Ρυθμίζουμε από ποια θύρα προς ποια θύρα θα είναι το traffic για το οποίο κάνουμε τον κανόνα.
- δ) Επιλέγουμε για ποιο Destination και για ποια πόρτα (Service) θα είναι το traffic για το οποίο κάνουμε τον κανόνα.
- ε) Διαλέγουμε εάν ο κανόνας θα είναι Allow-Deny-reject για το traffic που έχουμε
- Ουσιαστικά η παραπάνω εντολή στο Firewall είναι η εξής:
- Το Trafficαπό την WAN-> LAN1 με την NAS IPσαν Destination IPκαι πόρτα την HTTP_NAS(50000) μπορεί να περάσει.
(ΧρήσιμοVideo tutorial γιαPort Forward σεUSG συσκευή: https://www.youtube.com/watch?v=FL-ZZCX51iU)