Назад | Перейти на главную страницу

Маршрутизация трафика межсетевого экрана Sonicwall TZ190 через имя и порт HTTP-хоста

Хорошо, я не уверен, правильно ли я задал вопрос, так что помилуй. Моя сеть растет на работе, и мне трудно управлять правилами брандмауэра. У меня проблема в 2 раза:

  1. У меня работает 4 сервера, и с течением времени добавляется больше сервисов, в прошлом мне удавалось нормально маршрутизировать трафик, так как либо. две службы, которым требуется один и тот же порт, находились на одном сервере, и я мог позволить IIS решить эту проблему, или b. если они были на разных машинах, они использовали разные порты, то есть http, https, ftp и т. д.
  2. Пользователи упрямы и отказываются запоминать нестандартные номера портов, чтобы добраться до внутренних серверов извне. (одна идея, которая у меня была, заключалась в том, что если бы у меня были две службы, которым нужен один и тот же протокол (http), я бы изменил порт на одной, чтобы иметь возможность направлять этот трафик на правильный сервер)

Я признаю, что это небольшая компания, и я здесь единственный администратор, и хотя я чувствую, что я компетентен, весь мой предыдущий опыт был с крупными компаниями, и я в основном выполнял одну задачу в течение всего дня. Теперь, когда я делаю все, я понимаю, насколько это вредно для моего уровня знаний. Так что, если есть что-то глупое и простое, что я упустил из виду, прошу прощения за то, что потратил ваше время. В любом случае, спасибо за поиск и любую помощь, которую вы можете предложить.

Одно замечание, хотя среда - это все окна, поэтому Linux не может быть решением, и мне сказали разобраться в этом и не тратить деньги, если бы я мог, я уже нашел другие брандмауэры, которые утверждают, что делают то, что мне нужно. но я уверен, что либо sonicwall, либо каким-то образом использует локальный DNS-сервер для маршрутизации запросов на внутренние IP-адреса. (К вашему сведению, я был администратором AD в течение 5 лет до этой работы, и мои самые слабые навыки - это DNS и маршрутизация межсетевого экрана).

Еще раз спасибо за любую помощь.

Если это услуги, к которым внешние пользователи получают доступ через соединение WAN, то лучшим / дешевым решением в вашем случае является получение дополнительных IP-адресов WAN от вашего интернет-провайдера. Любой другой способ, который я могу придумать, потребует дополнительного оборудования / программного обеспечения (выполнение функций балансировки нагрузки). TZ190 не может этого сделать (даже не уверен, что любой устройств сетевой безопасности Sonicwall).

Ваш интернет-провайдер, скорее всего, будет взимать с вас дополнительную плату в размере x долларов в месяц за IP-адрес или за блок IP-адресов. Чтобы дать вам представление, Cox и Comcast берут 5 долларов в месяц за дополнительный IP-адрес при бизнес-кабельном соединении. Затем вы можете настроить IP-адреса на своем программном обеспечении и перенаправить порты по мере необходимости.

... и мне сказали разобраться и не тратить деньги ...

Если эти сервисы критически важны для бизнеса, мы надеемся, что они будут в порядке, потратив чуть больше месяца на дополнительные IP-адреса.

Хорошо, поскольку вы уже используете нестандартные порты, это "звучит" так, как будто получение дополнительных IP-адресов не может быть вариантом в верхней части списка.

Вот подход, который может работать прямо в том, что у вас уже есть:

Настройте несколько виртуальных хостов или подкаталогов на вашем основном веб-сервере с портом 80 с перенаправлениями в качестве страниц по умолчанию. Пример:

  • site2.yourdomain.com перенаправляет на server2.yourdomain.com:8080
  • www.youdomain.com/site3 перенаправляет на server3.youdomain.com:81