Назад | Перейти на главную страницу

Проблема с HTTP-трафиком, который перехватывается межсетевым экраном

В данный момент у меня сильно болит голова с брандмауэром нашей компании, в настоящее время мы меняем провайдеров (новая линия аренды и новый блок статических IP-адресов), и я настраиваю правила брандмауэра (мы используем Межсетевой экран NETGEAR ProSafe VPN FVX538).

Брандмауэр виден изнутри на 1.1.1.2 (например, только все IP-адреса), и мы можем настроить его через веб-администратора на портах 80 и 443. Весь трафик из наше здание выходит на 123.123.123.102, но когда вы идете в 123.123.123.102 IP (изнутри или вне сети), отображается страница администратора брандмауэра. Это не совсем то, что мы хотим!

Я пробовал добавить правила брандмауэра для HTTP-трафика на 123.123.123.102 для перенаправления на один из наших веб-серверов по адресу 1.1.1.9, но когда я добавляю это правило, запросы к 123.123.123.102 просто повесьте. Если я изменю свое правило на 123.123.123.103, он работает нормально, но администратор NETGEAR все еще виден на 123.123.123.102 - проблема не решена.

В настоящий проблема в том, что это означает, что мы не можем указать наш домен example.com к 123.123.123.102, потому что администратор NETGEAR будет показывать, а не наш сайт, но мы необходимость этот домен разрешить 123.123.123.102 потому что вся почта вне нашего здания будет приходить с этого IP-адреса (спам-фильтры нашего клиента не пропускают нашу почту - обратные проблемы с DNS).

Я бьюсь головой о стол: это ДОЛЖНО быть возможно, или как компания, у которой есть единственный IP-адрес, сможет разрешить веб-трафик? Кто-нибудь может помочь? Извините, если вопросы не имеют большого смысла - мне всегда трудно выразить подобные вопросы!

Обновление / Что я пробовал

Похоже, что прошивка межсетевого экрана глючна. Вы проверили, установлена ​​ли у вас последняя версия прошивки?

Вы можете попробовать включить удаленное управление, ограничив доступ к некоторым фиктивным IP-адресам (127.0.0.1 подойдет) и измените номер порта. На этом этапе можно будет установить нужные правила входящей переадресации.

Обратите внимание, что у вас могут быть обратные записи DNS, которые указывают 123.123.123.102 на example.com, чтобы ваша почта работала, при этом все еще сохраняя записи DNS пересылки, которые указывают example.com и www.example.com где-то еще ... но я бы постарался по возможности избегайте этой ситуации.

Есть 2 причины, по которым страница администратора маршрутизатора отображается на порту 80.

  • вы подключили WAN (соединение вашего интернет-провайдера) к порту LAN (вероятно, маловероятно, поскольку вам пришлось бы установить общедоступный IP-адрес на интерфейсе LAN)
  • порт удаленного управления установлен на порт 80 (проверьте в разделе Администрирование -> Удаленное управление)

Отключите удаленное управление или переместите его на другой порт. Ударьте по голове, затем предложите шоколад. Повторяйте цикл, пока он не отключит удаленное управление. Тогда пожалуйтесь своему продавцу на глючную прошивку.

Изменить, новый ответ: Удалите все специальные правила стиля пересылки и поставьте 1.1.1.9 в зоне DMZ, чтобы вместо этого перенаправлялись все внешние вызовы.

Изменить, правильный ответ: Подключитесь к нужному устройству. (см. комментарии)