Вопрос о политике Watchguard XTM, не пропускающей некоторый трафик. У меня есть настройка в диспетчере политик с именем «TCP - NAS», которая разрешает все TCP-порты с внешнего на SNAT из 192.168.10.13 -> 192.168.60.4, но меня озадачивает, почему он блокирует некоторый трафик (показано ниже).
XTM настроен как смешанный режим маршрутизации с внешним IP 192.168.10.13. NAS настроен как 192.168.60.4. Я хочу предоставить трафик, поступающий извне XTM, на NAS, чтобы, когда люди пытались достичь 192.168.10.13, получалось 192.168.60.4.
Учитывая, что политика разрешает все порты и находится наверху как первая политика (я отключил режим автоматического порядка), может ли кто-нибудь объяснить мне, почему я вижу отказы через «Внутреннюю политику»? Спасибо.
ftp, http разрешены через политику TCP - NAS
2013-10-04 23:50:29 Разрешить 192.168.10.1 192.168.10.13 ftp / tcp 2555 21 0-Внешний 0-Дополнительный мост разрешен 60 63 (TCP - NAS-00) proc_id = "firewall" rc = "100" dst_ip_nat = "192.168.60.4" tcp_info = "смещение 10 S 2686556654 win 5840" Трафик 2013-10-04 23:50:29 Разрешить 192.168.10.1 192.168.10.13 http / tcp 4722 80 0-Внешний 0-Разрешен дополнительный мост 60 63 ( TCP - NAS-00) proc_id = "firewall" rc = "100" dst_ip_nat = "192.168.60.4" tcp_info = "смещение 10 S 2687441010 win 5840" Трафик
Порт 8000 запрещен
2013-10-04 23:50:29 Запретить 192.168.10.1 192.168.10.13 8000 / tcp 4019 8000 0-Внешний 0-Дополнительный мост заблокировал порты 60 63 (Внутренняя политика) proc_id = "firewall" rc = "101" dst_ip_nat = " 192.168.60.4 "tcp_info =" смещение 10 S 2698964068 win 5840 "Трафик 2013-10-04 23:50:32 Запретить 192.168.10.1 192.168.10.13 8000 / tcp 4019 8000 0-Внешний 0-Дополнительный мост заблокировал порты 60 63 (Внутренний Policy) proc_id = "firewall" rc = "101" dst_ip_nat = "192.168.60.4" tcp_info = "смещение 10 S 2698964068 win 5840" Трафик
webcache, rdp разрешены через политику TCP - NAS
2013-10-04 23:50:32 Разрешить 192.168.10.1 192.168.10.13 webcache / tcp 4135 8080 0-Внешний 0-Разрешен дополнительный мост 60 63 (TCP - NAS-00) proc_id = "firewall" rc = "100" dst_ip_nat = "192.168.60.4" tcp_info = "смещение 10 S 2689599964 win 5840" Трафик 2013-10-04 23:50:32 Разрешить 192.168.10.1 192.168.10.13 rdp / tcp 3896 3389 0-Внешний 0-Разрешен дополнительный мост 60 63 ( TCP - NAS-00) proc_id = "firewall" rc = "100" dst_ip_nat = "192.168.60.4" tcp_info = "смещение 10 S 2702431472 win 5840" Трафик
В диспетчере политик выберите «Настройка» -> «Защита от угроз по умолчанию» -> «Заблокированные порты».
Упомянутые там порты не могут пройти через брандмауэр, даже если вы добавите разрешающие им правила. Порт 8000 есть по умолчанию. Удалите это оттуда.