Конфигурирование NAT

Переадресация портов

Для возможности обращения к компьютерам внутренней сети из сети Интернет через один белый IP-адрес (реальный) требуется дополнительная настройка механизма NAT, известная как проброс портов.

Для примера, разрешим доступ к веб-сайту во внутренней сети со стороны Интернета. Веб-сайт работает на компьютере с IP-адресом 192.168.1.80 и слушает порт 80.

Пройдите в раздел Межсетевой экран ‣ NAT ‣ Переадресация портов. Кликните на кнопку + в верхнем правом для создания нового правила. Создайте правило со следующими настройками:

Интерфейс

WAN

Версия TCP/IP

IPv4

Протокол

TCP

Отправитель

любой

Получатель

WAN адрес

Диапазон портов назначения

HTTP - HTTP

Адрес перенаправления

192.168.1.80

Порт перенаправления

HTTP

Описание

Публикация веб-сервера в Интернет

Зеркальный NAT

Включить (чистый NAT)

Ассоциированное правило сетевого экрана

Добавить ассоциированное правило

Помимо создания правила для проброса, необходимо также создать правило для пропуска преобразованного трафика. Такое дополнительное правило создаётся автоматически, если выбрана опция Добавить ассоциированное правило при создании основного правила.

Приводим пример создания дополнительного правила вручную для нашего сценария. Пройдите в раздел Межсетевой экран ‣ Правила, вкладка WAN. Кликните на значок + для создания нового правила. Создайте правило со следующими настройками:

Действие

Разрешение

Интерфейс

WAN

Версия TCP/IP

IPv4

Протокол

TCP

Источник

Любой

Назначение

192.168.1.80

Диапазон портов назначения

80 – 80

Описание

Правило для разрешения преобразованного трафика

Теперь пользователи из Интернета смогут обращаться на <IP-адрес WAN-адаптера:порт 80> и будут переадресовываться на машину во внутренней сети, т.е. на 192.168.1.80:80.

Исходящий

Когда клиент во внутренней сети делает исходящий запрос, шлюз должен изменить IP-адрес источника на внешний IP-адрес шлюза, в противном случае, внешний сервер не сможет отравить ответ.

Исходящий NAT (oubound NAT) также называют Source NAT или SNAT.

Если у вас есть только один внешний IP-адрес, оставьте параметры Исходящего NAT в автоматическом режиме. Если есть несколько IP-адресов, можно изменить настройки и добавить несколько пользовательских правил.

Основные настройки для Исходящего NAT можно увидеть вверху страницы Межсетевой экран ‣ NAT ‣ Исходящий:

Автоматическое создание правил исходящего NAT

Значение по умолчанию. Следует описанному выше поведению и подходит для больинства сценариев.

Ручное создание правил исходящего NAT

Автоматические правила не генерируются. Их можно добавить вручную.

Смешанное создание правил исходящего NAT

Автоматические правила добавляются, но также можно добавить дополнительные ручные правила.

Отключить создание правил исходящего NAT

Отключает исходящий NAT. Используется, например, для прозрачных мостов.

Значение по умолчанию - Автоматическое создание правил исходящего NAT.

Если выбрать Ручное создание правил исходящего NAT, то справа от таблицы правил появится кнопка + для добавления пользовательских правил.

Примечание

Отключение исходящего NAT используется, например, при настройке прозрачных мостов.