Портмаппинг (проброс портов, DNAT)

PreviousНастройка публичного IP-адреса на компьютере в локальной сети NextИнтеграция NGFW и SkyDNS

Last updated 3 months ago

Was this helpful?

Портмаппинг (проброс портов, DNAT)

Сервер предоставляет доступ к опубликованному в интернете веб-ресурсу (сервису, сетевой службе) на устройстве в локальной сети с серым IP-адресом. Ресурс публикуется путем трансляции (проброса) любого неиспользуемого сетевого порта на публичном IP-адресе сервера Ideco NGFW на порт ресурса, работающего на устройстве в локальной сети. При этом все обращения из внешних сетей на публичный адрес сервера Ideco по транслируемому порту перенаправляются на публикуемый порт данного ресурса. Эта технология называется DNAT, portmapper или port forwarding.

Для настройки портмаппинга в Ideco NGFW добавьте правило в разделе Правила трафика -> Файрвол -> DNAT. При создании правила укажите адреса сервера, публикуемой машины и сетевого порта, с которого и на который осуществляется трансляция сетевых запросов извне.

Создайте разрешающее FORWARD-правило, если:

В таблице FORWARD есть запрещающее прохождение трафика правило. В этом случае поместите созданное правило выше запрещающего;
Нужна проверка трафика профилями безопасности. В этом случае укажите в правиле нужные профили Контроля приложений или Предотвращения вторжений. Укажите при создании правила назначение (адрес устройства в локальной сети) и порт назначения.

Не рекомендуется использовать проброс портов для публикации веб- и почтовых серверов (80, 443 порты). Для их публикации воспользуйтесь .

Особенности создания правил DNAT в версии 18

В предыдущих версиях профили безопасности настраивались в отдельных разделах. В версии 18 и система настраиваются в правилах Файрвола;
Для проверки трафика модулем Контроль приложений и системой Предотвращения вторжений необходимо создать FORWARD-правило с включенными настройками профилей безопасности;
В случае проблем с доступом до публикуемой службы проверьте Отчеты и журналы -> События безопасности -> Журнал IPS и при необходимости отредактируйте правила нужного профиля .

Создание правил DNAT и FORWARD в Файрволе Ideco NGFW

Пример:

Публичный адрес сервера Ideco - 1.2.3.4;
Публикуемая служба - SSH, работающая на 22 TCP-порте;
Адрес компьютера в локальной сети, где запущена служба, к которой нужен доступ извне - 10.0.0.2.

Для настройки трансляции запросов к службе извне через сервер Ideco NGFW на устройство в локальной сети перейдите в раздел Правила трафика -> Файрвол -> DNAT и нажмите Добавить.

Заполните поля в соответствии с характеристиками, указанными в примере:

Вид правила в таблице после сохранения:

Проверьте наличие запрещающих правил в таблице FORWARD. При необходимости создайте правило, разрешающее трафик:

Поместите созданное правило выше запрещающего трафик:

Если вы хотите, чтобы трафик проверялся профилями безопасности, включите в созданном правиле соответствующие настройки:

Настройки Файрвола применяются сразу при создании правил.

Частые ошибки

Если включен режим Разрешить интернет всем, правила Файрвола, включая таблицу DNAT, не работают;
Если в одной локальной сети находятся пользователи и сервер с опубликованным при помощи DNAT-правила ресурсом, вероятна асимметричная маршрутизация. Информация о способах устранения асимметричной маршрутизации трафика представлена в .

Рекомендации

Проверять работу правила DNAT следует из внешней сети. Если необходим доступ из локальной сети, используйте обратный прокси-сервер для публикации веб-ресурсов;
Порт на внешнем интерфейсе сервера, с которого транслируются запросы, не всегда совпадает с публикуемым портом самой службы. Например, для предотвращения автоматических попыток подключения вредоносного ПО на популярный сервис внешние запросы транслируются на порт 4489, а в локальную сеть - на порт 3389;
Для защиты от нежелательных подключений к публикуемой службе при создании правила укажите в поле Источник IP-адрес или подсеть, с которой разрешено подключаться к этой службе;
Если осуществляется трансляция на один и тот же номер порта локального сервера, заполнять поле Сменить порт назначения не обязательно. Система автоматически переадресует запрос на соответствующий порт устройства в локальной сети.

Устранение неполадок

Убедитесь, что клиент, на которого осуществляется проброс портов, отвечает на эхо-запросы ping к внешним ресурсам. Основным шлюзом на данном устройстве следует указать локальный IP-адрес Ideco NGFW, либо прописать маршрут;
При правильной настройке публикуемая служба отвечает клиенту во внешней сети через тот же внешний интерфейс сервера, с которого изначально пришел запрос. Настройте правильный адрес SNAT для опубликованного сервиса с помощью создания правил в таблице SNAT, если в созданном правиле в поле Назначение указан публичный IP-адрес сервера для приема подключений извне, а также в случае переопределения автоматических правил NAT;
Правило трансляции запросов на сервере не работает, если брандмауэр Windows или другие программы защиты блокируют соединения с внешних адресов в интернете. Для диагностики убедитесь, что настройки встроенного брандмауэра Windows или сторонних файрволов и антивирусов разрешают целевое соединение. Например, для проверки настроек брандмауэра на устройстве Windows перейдите в Панель управления -> Брандмауэр Защитника Windows -> Дополнительные параметры -> Правила для входящих подключений / Правила для исходящих подключений;
Правило портмаппинга пробрасывает трафик из внешней сети на хост в локальной сети. Трафик запроса ресурса из этой же локальной сети при обращении на внешний адрес не будет проброшен правильно. Во избежание асимметричной маршрутизации при диагностике сетевыми утилитами подключайтесь из внешних для NGFW сетей, а внутри локальной сети обращайтесь к сервису по его IP-адресу в локальной сети. Альтернативный вариант - вынесите ресурс в отдельную локальную сеть, DMZ и обращайтесь к ресурсу из локальной сети клиентов по внешнему IP-адресу.

PreviousНастройка публичного IP-адреса на компьютере в локальной сети NextИнтеграция NGFW и SkyDNS

Last updated 3 months ago

Was this helpful?

Создайте разрешающее FORWARD-правило, если:

В таблице FORWARD есть запрещающее прохождение трафика правило. В этом случае поместите созданное правило выше запрещающего;
Нужна проверка трафика профилями безопасности. В этом случае укажите в правиле нужные профили Контроля приложений или Предотвращения вторжений. Укажите при создании правила назначение (адрес устройства в локальной сети) и порт назначения.

Особенности создания правил DNAT в версии 18

В предыдущих версиях профили безопасности настраивались в отдельных разделах. В версии 18 и система настраиваются в правилах Файрвола;
Для проверки трафика модулем Контроль приложений и системой Предотвращения вторжений необходимо создать FORWARD-правило с включенными настройками профилей безопасности;
В случае проблем с доступом до публикуемой службы проверьте Отчеты и журналы -> События безопасности -> Журнал IPS и при необходимости отредактируйте правила нужного профиля .

Создание правил DNAT и FORWARD в Файрволе Ideco NGFW

Пример:

Публичный адрес сервера Ideco - 1.2.3.4;
Публикуемая служба - SSH, работающая на 22 TCP-порте;
Адрес компьютера в локальной сети, где запущена служба, к которой нужен доступ извне - 10.0.0.2.

Заполните поля в соответствии с характеристиками, указанными в примере:

Вид правила в таблице после сохранения:

Поместите созданное правило выше запрещающего трафик:

Настройки Файрвола применяются сразу при создании правил.

Частые ошибки

Если включен режим Разрешить интернет всем, правила Файрвола, включая таблицу DNAT, не работают;
Если в одной локальной сети находятся пользователи и сервер с опубликованным при помощи DNAT-правила ресурсом, вероятна асимметричная маршрутизация. Информация о способах устранения асимметричной маршрутизации трафика представлена в .

Рекомендации

Проверять работу правила DNAT следует из внешней сети. Если необходим доступ из локальной сети, используйте обратный прокси-сервер для публикации веб-ресурсов;
Порт на внешнем интерфейсе сервера, с которого транслируются запросы, не всегда совпадает с публикуемым портом самой службы. Например, для предотвращения автоматических попыток подключения вредоносного ПО на популярный сервис внешние запросы транслируются на порт 4489, а в локальную сеть - на порт 3389;
Для защиты от нежелательных подключений к публикуемой службе при создании правила укажите в поле Источник IP-адрес или подсеть, с которой разрешено подключаться к этой службе;
Если осуществляется трансляция на один и тот же номер порта локального сервера, заполнять поле Сменить порт назначения не обязательно. Система автоматически переадресует запрос на соответствующий порт устройства в локальной сети.

Устранение неполадок

Убедитесь, что клиент, на которого осуществляется проброс портов, отвечает на эхо-запросы ping к внешним ресурсам. Основным шлюзом на данном устройстве следует указать локальный IP-адрес Ideco NGFW, либо прописать маршрут;
При правильной настройке публикуемая служба отвечает клиенту во внешней сети через тот же внешний интерфейс сервера, с которого изначально пришел запрос. Настройте правильный адрес SNAT для опубликованного сервиса с помощью создания правил в таблице SNAT, если в созданном правиле в поле Назначение указан публичный IP-адрес сервера для приема подключений извне, а также в случае переопределения автоматических правил NAT;
Правило трансляции запросов на сервере не работает, если брандмауэр Windows или другие программы защиты блокируют соединения с внешних адресов в интернете. Для диагностики убедитесь, что настройки встроенного брандмауэра Windows или сторонних файрволов и антивирусов разрешают целевое соединение. Например, для проверки настроек брандмауэра на устройстве Windows перейдите в Панель управления -> Брандмауэр Защитника Windows -> Дополнительные параметры -> Правила для входящих подключений / Правила для исходящих подключений;
Правило портмаппинга пробрасывает трафик из внешней сети на хост в локальной сети. Трафик запроса ресурса из этой же локальной сети при обращении на внешний адрес не будет проброшен правильно. Во избежание асимметричной маршрутизации при диагностике сетевыми утилитами подключайтесь из внешних для NGFW сетей, а внутри локальной сети обращайтесь к сервису по его IP-адресу в локальной сети. Альтернативный вариант - вынесите ресурс в отдельную локальную сеть, DMZ и обращайтесь к ресурсу из локальной сети клиентов по внешнему IP-адресу.