Назад | Перейти на главную страницу

Перенаправление портов WatchGuard / Статический NAT

Я пытаюсь перенаправить определенный порт на моем брандмауэре WatchGuard на внутренний хост в определенной VLAN. Моя установка примерно такая:

 INTERNET
    vv
WatchGuard
    vv--------vv--------vv
  [VLAN1]   [VLAN2]   [VLAN3]
              vv
            Server

Я установил правило SNAT из Any-External на IP-адрес внутреннего сервера без трансляции портов. Затем я добавил политику брандмауэра с

Действие: Позволять
настраиваемый фильтр по порту TCP: 10000
из любой источник
к моему схватить правило

Все это рекомендуется документация, но при попытке доступа к нему с внешнего IP-адреса порт остается отфильтрованным и регистрируется как необработанный (xxx - внешний клиент, а yyy - IP-адрес межсетевого экрана):

Process=firewall  Disposition=Deny  Policy=Unhandled External Packet-00  Source IP=xx.xx.xx.xx  Destination IP=yy.yy.yy.yy  Source Interface=0-External  Destination Interface=0-External  Source Port=19852  Destination Port=10000  Protocol=webmin/tcp

Я играл с переводом портов, более конкретными настройками интерфейса для SNAT и прокси вместо действий фильтра, но я просто не могу заставить его работать. Что мне не хватает?

Изменить (2015-06-16): Вот мои экраны конфигурации:

Проверка порта из внутренней сети:

$ nmap -sT -p 10000 192.168.79.100
[...]
PORT      STATE SERVICE
10000/tcp open  snet-sensor-mgmt
[...]

Проверка порта из внешней сети (на ip yyy интернет-соединения, где xxx - известный открытый порт управления):

user@extServer:~# nmap -sT -p xxx,10000 yyy.yyy.yyy.yyy
[...]
PORT      STATE    SERVICE
8089/tcp  open     unknown
10000/tcp filtered snet-sensor-mgmt
[...]

Если вы использовали «Any-External» в правиле SNAT, значит, вы допустили ошибку здесь.

Выберите внешний IP-адрес (а), который вы фактически будете использовать для этого правила SNAT вместо псевдонима Any-External, и все начнет работать.

Тем не менее, вы можете использовать «Any-External» в правиле фильтра.

Проблема в понимании псевдонима Any-External. Все IP-адреса, которые настроены на ваших портах на брандмауэре, покрываются псевдонимом «Firebox», в то время как «Any-External» начинается с IP-адреса шлюза вашего провайдера. Вы можете создать псевдоним «external-ports» - это будет нормально работать в правилах SNAT, но не «Any-External».

Оказывается, мой интернет-провайдер предоставил два IP-адреса для соединения (не заметив меня), и что я все время разговаривал не с тем. Порт управления был привязан ко всем интерфейсам (следовательно, он был открыт), а связанный внешний порт - нет.

Примечание для себя: дважды проверьте IP-адреса.

с приветом @ B.Z. для резиновой утки