Итак, у меня есть SonicWall TZ 205, обеспечивающий охрану периметра небольшого офиса. Суть моей проблемы в том, что пользователи не могут получить доступ к опубликованным службам через публичный IP когда за этим устройством.
Ситуация:
Есть 3 здесь задействованы зоны и 2 пограничных устройства.
Зона: Старый Интернет
Устройство: Стандартный кабельный модем, предоставляемый интернет-провайдером (выход: Публичный IP в: 192.168.1.1)
Зона: сеть "proto dmz" совместно с несвязанными и неконтролируемыми маршрутизаторами / устройствами
Устройство: TZ 205 GW (выход: 192.168.1.10 в: 10.1.1.254) Зона: Офисная ЛВС
Примечание. На обоих устройствах настроены правила сопоставления портов, которые работают правильно. Кроме того, пока я могу настроить модем, я не могу разместить другие устройства за GW. (считайте их другими арендаторами) Поэтому я не могу воспользоваться очевидным ярлыком и просто назначить общедоступный IP-адрес GW.
Трафик должным образом передается от трафика, исходящего из глобальной сети, к опубликованным хостам в локальной сети и наоборот. Даже трафик из LAN на 192.168.1.10 разрешен правильно.
Однако трафик из локальной сети на общедоступный IP-адрес для внутренних служб (например, https) отбрасывается с сообщением «Атака на землю отброшена». Например.
Источник 192.168.1.10, 28827, X1
Назначение 192.168.1.10, 80
У меня есть общее представление о том, что ищет этот фильтр, но как сказать ему ИСКЛЮЧИТЬ этот конкретный трафик? Я просто не могу понять, где находится настройка или какое правило сделать. Я чувствую, что упускаю что-то очевидное: - \
Брандмауэр считает, что это ЗЕМЕЛЬНАЯ атака, потому что исходный и целевой IP-адрес этих пакетов совпадают. Вы можете решить эту проблему, переведя источник исходящих пакетов на другой адрес, например 192.168.1.11