WatchGuard, внешний IP-адрес, другой порт
У меня мало внешних IP-адресов, но я хочу использовать один, а NAT к нему разные ПК.
Вот как это должно выглядеть.
123.123.123.123 это мой IP, и я хочу, чтобы на нем было 3 ПК на разных портах, например 3111, 3112, 3113.
Я знаю, как настраивать внутренние порты NAT, но не знаю, как установить, что я могу подключиться к этому IP с RDP на этих портах.
123.123.123.123:3111 -> 10.10.10.101
123.123.123.123:3112 -> 10.10.10.102
123.123.123.123:3113 -> 10.10.10.103
Есть идеи? Я думаю, это может быть что-то с SNAT (но нет порта для установки внешнего IP-адреса) или что-то с политиками?
Извините за беспорядок в моем сообщении, надеюсь, вы все равно меня понимаете.
С уважением
SNAT на WatchGuard фактически разделен на две части, чтобы сделать его более простым в использовании. Однако это вызывает проблемы с пониманием настройки для пользователей, привыкших работать с решениями, которые обрабатывают SNAT за один шаг.
Первым шагом являются SNAT действия. Они ТОЛЬКО определяют различные возможные комбинации трансляции внешних-2-внутренних IP-адресов и внутреннего порта, на который требуется трансляция. Это просто список возможностей, которые вы настраиваете как псевдонимы. Ни одна из них не активна, пока вы не используете ее в правиле брандмауэра.
Для RDP-соединений вы бы установили действия SNAT типа:
Name: Ext_123-RDP_101
SNAT Members: 123.123.123.123 -> 10.10.10.101:3389
Name: Ext_123-RDP_102
SNAT Members: 123.123.123.123 -> 10.10.10.102:3389
Name: Ext_123-RDP_103
SNAT Members: 123.123.123.123 -> 10.10.10.103:3389
Так что это и есть часть трансляции. Далее Вам нужно установить правила брандмауэра. Так как никогда не бывает умно оставлять открытыми порты RDP, я бы использовал аутентифицированных пользователей (аутентифицируя их по https://firewall_IP:4100), которые принадлежат к группе 'Allow-RDP'.
Вам понадобится 3 правила, которые будут использовать SNAT действия, которые вы уже определили. Так как нет стандартной службы для портов 3111-311x, Вы создадите пользовательский шаблон под названием SNAT-RDP и добавите диапазон TCP портов 3111-3113, а затем создадите 3 новых правила брандмауэра, основанных на этом шаблоне.
Name the new rules something like 'RDP-IN-101', 'RDP-IN-102' and 'RDP-IN-103'
'RDP-IN-101':
In the FROM: field put the authenticated users name (if it is for the access to his own PC)
or the 'Allow-RDP' groupname (if it is for the access to a shared computer).
In the TO: field put the Ext_123-RDP_101 SNAT Action
'RDP-IN-102':
In the FROM: field put the authenticated users name (if it is for the access to his own PC)
or the 'Allow-RDP' groupname (if it is for the access to a shared computer).
In the TO: field put the Ext_123-RDP_102 SNAT Action
'RDP-IN-103':
In the FROM: field put the authenticated users name (if it is for the access to his own PC)
or the 'Allow-RDP' groupname (if it is for the access to a shared computer).
In the TO: field put the Ext_123-RDP_103 SNAT Action
Для того, чтобы иметь некоторый контроль над происходящим, Вы также должны включить протоколирование для этих правил.
Но это все. Загружайте в FB и наслаждайтесь.
В данном случае, действие SNAT на самом деле не является упрощением. Но если у вас есть более общее SNAT, например, для какого-то сервера, то вам понадобится только одно SNAT действие 'reusable' для всех правил, которые соединяются с одного внешнего IP-адреса на этот сервер. Когда к игре присоединяется также трансляция портов, действие SNAT не является 'многоразовым', поэтому вы не можете увидеть его преимущества
.Если я правильно вас понимаю, вам нужно сделать следующее, если вы хотите связаться с этими внутренними серверами с помощью RDP:
123.123.123.123:3111 -> 10.10.10.101:3389
123.123.123.123:3112 -> 10.10.10.102:3389
123.123.123.123:3113 -> 10.10.10.103:3389
RDP использует порт TCP/UDP 3389, и вы можете сделать это, выполнив NAT с переадресацией портов в Watchguard. Прочтите это: https://en.wikipedia.org/wiki/Remote_Desktop_Protocol
Смотрите инструкции здесь: