Назад | Перейти на главную страницу

Отказ во внутренней политике Watchguard XTM

Вопрос о политике Watchguard XTM, не пропускающей некоторый трафик. У меня есть настройка в диспетчере политик с именем «TCP - NAS», которая разрешает все TCP-порты с внешнего на SNAT из 192.168.10.13 -> 192.168.60.4, но меня озадачивает, почему он блокирует некоторый трафик (показано ниже).

XTM настроен как смешанный режим маршрутизации с внешним IP 192.168.10.13. NAS настроен как 192.168.60.4. Я хочу предоставить трафик, поступающий извне XTM, на NAS, чтобы, когда люди пытались достичь 192.168.10.13, получалось 192.168.60.4.

Учитывая, что политика разрешает все порты и находится наверху как первая политика (я отключил режим автоматического порядка), может ли кто-нибудь объяснить мне, почему я вижу отказы через «Внутреннюю политику»? Спасибо.

ftp, http разрешены через политику TCP - NAS

2013-10-04 23:50:29 Разрешить 192.168.10.1 192.168.10.13 ftp / tcp 2555 21 0-Внешний 0-Дополнительный мост разрешен 60 63 (TCP - NAS-00) proc_id = "firewall" rc = "100" dst_ip_nat = "192.168.60.4" tcp_info = "смещение 10 S 2686556654 win 5840" Трафик 2013-10-04 23:50:29 Разрешить 192.168.10.1 192.168.10.13 http / tcp 4722 80 0-Внешний 0-Разрешен дополнительный мост 60 63 ( TCP - NAS-00) proc_id = "firewall" rc = "100" dst_ip_nat = "192.168.60.4" tcp_info = "смещение 10 S 2687441010 win 5840" Трафик

Порт 8000 запрещен

2013-10-04 23:50:29 Запретить 192.168.10.1 192.168.10.13 8000 / tcp 4019 8000 0-Внешний 0-Дополнительный мост заблокировал порты 60 63 (Внутренняя политика) proc_id = "firewall" rc = "101" dst_ip_nat = " 192.168.60.4 "tcp_info =" смещение 10 S 2698964068 win 5840 "Трафик 2013-10-04 23:50:32 Запретить 192.168.10.1 192.168.10.13 8000 / tcp 4019 8000 0-Внешний 0-Дополнительный мост заблокировал порты 60 63 (Внутренний Policy) proc_id = "firewall" rc = "101" dst_ip_nat = "192.168.60.4" tcp_info = "смещение 10 S 2698964068 win 5840" Трафик

webcache, rdp разрешены через политику TCP - NAS

2013-10-04 23:50:32 Разрешить 192.168.10.1 192.168.10.13 webcache / tcp 4135 8080 0-Внешний 0-Разрешен дополнительный мост 60 63 (TCP - NAS-00) proc_id = "firewall" rc = "100" dst_ip_nat = "192.168.60.4" tcp_info = "смещение 10 S 2689599964 win 5840" Трафик 2013-10-04 23:50:32 Разрешить 192.168.10.1 192.168.10.13 rdp / tcp 3896 3389 0-Внешний 0-Разрешен дополнительный мост 60 63 ( TCP - NAS-00) proc_id = "firewall" rc = "100" dst_ip_nat = "192.168.60.4" tcp_info = "смещение 10 S 2702431472 win 5840" Трафик

В диспетчере политик выберите «Настройка» -> «Защита от угроз по умолчанию» -> «Заблокированные порты».

Упомянутые там порты не могут пройти через брандмауэр, даже если вы добавите разрешающие им правила. Порт 8000 есть по умолчанию. Удалите это оттуда.