Вопросы Теги

Перенаправление портов WatchGuard / Статический NAT

Я пытаюсь передать определенный порт на своем брандмауэре WatchGuard к внутреннему узлу в определенном VLAN. Моя установка примерно следующие:

 INTERNET
    vv
WatchGuard
    vv--------vv--------vv
  [VLAN1]   [VLAN2]   [VLAN3]
              vv
            Server

Я имею, устанавливают правило SNAT от Any-External к IP-адресу внутреннего сервера без перевода порта. Затем я добавил политику брандмауэра с

  • Действие: позволить
  • пользовательский фильтр на порте tcp:10000
  • из любого источника
  • к моему правилу snat

Это все как рекомендуется документацией, но при попытке получить доступ к ней от внешнего IP, порт остается фильтрованным и зарегистрирован как необработанный (xxx быть внешним клиентом и yyy IP брандмауэра):

Process=firewall  Disposition=Deny  Policy=Unhandled External Packet-00  Source IP=xx.xx.xx.xx  Destination IP=yy.yy.yy.yy  Source Interface=0-External  Destination Interface=0-External  Source Port=19852  Destination Port=10000  Protocol=webmin/tcp

Я играл вокруг с переводом порта, более определенными интерфейсными настройками для SNAT и прокси вместо действий фильтра, но я просто не могу заставить его работать. Что я пропускаю?

Редактирование (2015-06-16): Вот мои экраны конфигурации:

Interfaces SNAT Rule Firewall Policy I Firewall Policy II

Проверка порта от внутренней сети:

$ nmap -sT -p 10000 192.168.79.100
[...]
PORT      STATE SERVICE
10000/tcp open  snet-sensor-mgmt
[...]

Проверка порта от внешней сети (на IP yyy интернет-соединения, xxx быть известным открытым портом управления):

user@extServer:~# nmap -sT -p xxx,10000 yyy.yyy.yyy.yyy
[...]
PORT      STATE    SERVICE
8089/tcp  open     unknown
10000/tcp filtered snet-sensor-mgmt
[...]
2
задан 16 June 2015 в 16:50
2 ответа

Оказывается, у моего интернет-провайдера есть предоставил два IP-адреса для соединения (не замечая меня), и что я все время разговаривал не с тем. Порт управления был привязан ко всем интерфейсам (следовательно, он был открыт), но связанный внешний порт не был.

Примечание для себя: дважды проверьте IP-адреса.

с приветом к @ B.Z. для Rubberducking

1
ответ дан 3 December 2019 в 10:43

Если вы использовали «Any-External» в правиле SNAT, значит, вы допустили здесь ошибку.

Выберите внешний IP-адрес (а), который вы фактически будете использовать для этого Правило SNAT вместо псевдонима «Any-External», и все начнет работать.

Тем не менее, вы можете использовать «Any-External» в правиле фильтра.

Проблема заключается в понимании псевдонима «Any-External» '. Все IP-адреса, которые настроены на ваших портах на брандмауэре, покрываются псевдонимом «Firebox», в то время как «Any-External» начинается с IP-адреса шлюза вашего провайдера. Вы можете создать псевдоним «external-ports» - это будет нормально работать в правилах SNAT, но не «Any-External».

2
ответ дан 3 December 2019 в 10:43

Теги

Похожие вопросы