Я пытаюсь передать определенный порт на своем брандмауэре WatchGuard к внутреннему узлу в определенном VLAN. Моя установка примерно следующие:
INTERNET
vv
WatchGuard
vv--------vv--------vv
[VLAN1] [VLAN2] [VLAN3]
vv
Server
Я имею, устанавливают правило SNAT от Any-External
к IP-адресу внутреннего сервера без перевода порта. Затем я добавил политику брандмауэра с
Это все как рекомендуется документацией, но при попытке получить доступ к ней от внешнего IP, порт остается фильтрованным и зарегистрирован как необработанный (xxx быть внешним клиентом и yyy IP брандмауэра):
Process=firewall Disposition=Deny Policy=Unhandled External Packet-00 Source IP=xx.xx.xx.xx Destination IP=yy.yy.yy.yy Source Interface=0-External Destination Interface=0-External Source Port=19852 Destination Port=10000 Protocol=webmin/tcp
Я играл вокруг с переводом порта, более определенными интерфейсными настройками для SNAT и прокси вместо действий фильтра, но я просто не могу заставить его работать. Что я пропускаю?
Редактирование (2015-06-16): Вот мои экраны конфигурации:
Проверка порта от внутренней сети:
$ nmap -sT -p 10000 192.168.79.100
[...]
PORT STATE SERVICE
10000/tcp open snet-sensor-mgmt
[...]
Проверка порта от внешней сети (на IP yyy интернет-соединения, xxx быть известным открытым портом управления):
user@extServer:~# nmap -sT -p xxx,10000 yyy.yyy.yyy.yyy
[...]
PORT STATE SERVICE
8089/tcp open unknown
10000/tcp filtered snet-sensor-mgmt
[...]
Оказывается, у моего интернет-провайдера есть предоставил два IP-адреса для соединения (не замечая меня), и что я все время разговаривал не с тем. Порт управления был привязан ко всем интерфейсам (следовательно, он был открыт), но связанный внешний порт не был.
Примечание для себя: дважды проверьте IP-адреса.
с приветом к @ B.Z. для Rubberducking
Если вы использовали «Any-External» в правиле SNAT, значит, вы допустили здесь ошибку.
Выберите внешний IP-адрес (а), который вы фактически будете использовать для этого Правило SNAT вместо псевдонима «Any-External», и все начнет работать.
Тем не менее, вы можете использовать «Any-External» в правиле фильтра.
Проблема заключается в понимании псевдонима «Any-External» '. Все IP-адреса, которые настроены на ваших портах на брандмауэре, покрываются псевдонимом «Firebox», в то время как «Any-External» начинается с IP-адреса шлюза вашего провайдера. Вы можете создать псевдоним «external-ports» - это будет нормально работать в правилах SNAT, но не «Any-External».