Ideco NGFW
Скачать PDF
v10
v10
  • Об Ideco UTM
  • Общая информация
    • Лицензирование
    • Источники обновлений данных Ideco UTM
    • Техническая поддержка
  • Установка
    • Создание загрузочного USB flash диска
    • Особенности настроек гипервизоров
    • Процесс установки
    • Первоначальная настройка
  • Настройка
    • Панель мониторинга
    • Пользователи
      • Дерево пользователей
      • Управление пользователями
      • Настройка пользователей
      • Пользователи терминального сервера
      • Авторизация пользователей
        • Авторизация по PPTP
        • Авторизация по PPPoE
        • Авторизация по IP-адресу
        • Авторизация через Ideco Agent
        • Веб авторизация
      • Интеграция с Active Directory
        • Авторизация пользователей Active Directory
        • Ввод сервера в домен
        • Скрипты автоматической авторизации и разавторизации
        • Импорт пользователей
      • Обнаружение устройств
      • Wi-Fi-сети
    • Мониторинг
      • Авторизованные пользователи
      • Журналы
      • Монитор трафика
      • Telegram-бот
      • SNMP
      • Интеграция с Zabbix
      • Syslog
    • Правила доступа
      • Антивирусы веб-трафика
      • Файрвол
      • Контроль приложений
      • Контент-фильтр
        • Описание категорий контент-фильтра
        • Настройка
        • Настройка фильтрации HTTPS
      • Ограничение скорости
      • Администраторы
      • Пользовательские квоты
      • Предотвращение вторжений
      • Объекты
      • Защита от bruteforce-атак
    • Сервисы
      • Туннельные протоколы VPN
        • Подключение пользователей (client-to-site)
          • Ideco VPN-клиент
          • L2TP IPSec
          • SSTP
          • PPTP
          • IPSec IKEv2
          • Личный кабинет пользователя
          • Инструкция по созданию подключения в Windows 7
          • Особенности маршрутизации и организации доступа
          • Подключение по SSTP Wi-Fi роутеров Keenetic
          • Инструкция по запуску PowerShell скриптов
        • Подключение офисов (site-to-site)
          • IPSec
            • Филиалы и главный офис
            • Подключение устройств
            • Подключение пользователей
          • PPTP VPN
          • Входящее подключение Cisco IOS к Ideco UTM по IPSec
          • Исходящее подключение Ideco UTM к Cisco IOS по IPSec
          • Входящее подключение pfSense к Ideco UTM по IPsec
          • Исходящее подключение pfSense к Ideco UTM по IPsec
          • Подключение Keenetic по SSTP
          • Подключение Kerio Control к Ideco UTM по IPSec
          • Подключение Keenetic по IPSec
      • DNS
      • Прокси
        • Прокси сервер
        • Настройка прокси с одним интерфейсом
        • Исключить IP-адреса из обработки прокси сервером
        • Подключение к внешним ICAP-сервисам
      • Сертификаты
        • Загрузка своего SSL-сертификата на сервер
      • DHCP
      • Обратный прокси
      • Настройка дополнительных параметров работы сервера
      • Маршрутизация
    • Отчеты
      • Журнал авторизации
      • Сайты
    • Подключение к провайдеру
      • Настройка подключения по PPTP
      • Настройка подключения по PPPoE
      • Настройка подключения по Ethernet
      • Подключение по 3G и 4G
      • Настройка подключения по L2TP
      • Одновременное подключение к нескольким провайдерам
    • Почтовый сервер
      • Настройка почтового сервера
      • Настройка почтовых клиентов
      • Настройка почтового релея
      • Web-почта
      • Схема фильтрации почтового трафика
      • Переадресация почты
      • Настройка домена у регистратора/держателя зоны
    • Публикация ресурсов
      • Доступ до внешних ресурсов без авторизации
      • Доступ из внешней сети без NAT
      • Публикация веб-приложений (обратный прокси-сервер)
      • Настройка публичного IP-адреса на компьютере в локальной сети
      • Портмаппинг (проброс портов, DNAT)
    • Терминал
    • Интеграция UTM и SkyDNS
  • Обслуживание
    • Управление лицензиями
    • Обновление сервера
    • Регистрация сервера
    • Резервное копирование и восстановление данных
    • Режим удаленного помощника
    • Удаленный доступ для управления сервером
    • Личный кабинет
  • Популярные рецепты
    • Популярные рецепты
      • Доступ в удаленные сети через роутер в локальной сети
      • Что делать если ваш IP попал в черные списки DNSBL
      • Что делать если не работает Интернет
      • Как восстановить доступ к Ideco UTM
      • Проверка настроек фильтрации с помощью security ideco
      • Выбор аппаратной платформы для Ideco UTM
      • Поддержка устаревших алгоритмов шифрования
      • Настройка программы Proxifier для прямых подключений к прокси серверу
      • Блокировка популярных ресурсов
      • Настройка прозрачной авторизации на Astra linux
      • Перенос данных и настроек на другой сервер
  • Ссылки
    • Статьи по тегам
  • changelog
    • Версия Ideco UTM 10.X
    • Версия Ideco UTM 9.X
    • Версия Ideco UTM 8.X
    • Версия Ideco UTM 7.Х.Х
      • Версия Ideco UTM 7.9.X
      • Версия Ideco UTM 7.8.X
      • Версия Ideco UTM 7.7.X
      • Версия Ideco UTM 7.6.Х
      • Версия Ideco UTM 7.5.Х
      • Версия Ideco UTM 7.4.X
Powered by GitBook
On this page
  • Создание правил DNAT в файрволе Ideco UTM
  • Частые ошибки
  • Рекомендации
  • Устранение неполадок

Was this helpful?

  1. Настройка
  2. Публикация ресурсов

Портмаппинг (проброс портов, DNAT)

PreviousНастройка публичного IP-адреса на компьютере в локальной сетиNextТерминал

Last updated 2 months ago

Was this helpful?

Часто нужно настроить сервер таким образом, чтобы он предоставлял доступ к сетевой службе, работающей на сетевом устройстве в локальной сети с приватным (серым) IP-адресом, то есть опубликовать сервис (или сетевую службу) в сети Интернет.

Публикация службы, доступной в локальной сети, работает путем трансляции (проброса) любого неиспользуемого сетевого порта на внешнем (публичном) IP-адресе сервера Ideco UTM на порт соответствующего сервиса, работающего на сетевом устройстве в локальной сети.

При этом, все обращения из внешних сетей на публичный адрес сервера Ideco по транслируемому порту будут перенаправлены на публикуемый порт службы, работающей на сетевом устройстве в локальной сети. Также эта технология называется DNAT, portmapper, port forwarding.

Техническая реализация заключается в создании правила в таблице DNAT файрвола Ideco UTM с указанием адресов сервера, публикуемой машины и сетевого порта, с которого и на который будет осуществляться трансляция сетевых запросов извне.

Не рекомендуется использовать проброс портов для публикации веб и почтовых серверов (80, 443 порты). Для их публикации воспользуйтесь . Таким образом, ваши сервера будут лучше защищены от атак из сети Интернет.

В версии Ideco UTM 9.10, DNAT возможен только на IP-адреса, находящиеся в одной локальной сети с Ideco UTM. Если вам необходимо осуществить проброс портов в другую локальную сеть находящуюся за роутером, необходимо сделать DNAT на роутер и DNAT-правило на роутере до нужного хоста.

Создание правил DNAT в файрволе Ideco UTM

Рассмотрим конкретный пример, в котором:

  • Публичный адрес сервера Ideco - 1.2.3.4.

  • Публикуемая служба - SSH, работающая на 22 TCP-порту.

  • Адрес компьютера в локальной сети, на котором запущена служба, и к которой нужно получить доступ извне - 10.0.0.2.

Чтобы настроить трансляцию запросов к этой службе извне через сервер Ideco UTM на устройство в локальной сети зайдите в веб-интерфейсе Ideco UTM в раздел Правила трафика -> Файрвол -> DNAT(перенаправление портов) и создайте правило трансляции портов (DNAT), нажав на (+) в правом верхнем углу экрана.

Исходя из первоначальной задачи, правило будет выглядеть как на скриншоте ниже:

После сохранения созданного правила, его итоговый вид в таблице будет выглядеть следующим образом:

Настройки файрвола применяются сразу при создании правила.

Частые ошибки

  • Если на хосте в локальной сети, куда осуществляется проброс порта, шлюзом по умолчанию прописан не Ideco UTM, то установить подключение не получится. Нужно, либо указать шлюзом по умолчанию IP-адрес локального интерфейса Ideco UTM, либо, если подключение происходит с какого-то определённого IP-адреса (сети), то на устройстве прописать маршрут, чтобы ответы для этого IP-адреса (сети) направлялись через IP-адрес локального интерфейса Ideco UTM.

  • Если включен режим Разрешить интернет всем, то правила файрвола, включая таблицу DNAT, не работают.

Рекомендации

  • Проверять работу правила DNAT нужно из внешней сети Интернет. Используйте обратный прокси-сервер для публикации веб-ресурсов, если вам необходим доступ из локальной сети.

  • Порт на внешнем интерфейсе сервера, с которого будут транслироваться запросы, может отличаться от публикуемого порта самой службы. Например, можно транслировать внешние запросы на порт 4489, а в локальную сеть на порт 3389, чтобы воспрепятствовать автоматическим попыткам подключения вредоносного ПО на популярный сервис.

  • Также, в целях защиты от нежелательных подключений к публикуемой службе, при создании правила рекомендуется указывать IP-адрес или подсеть, с которой разрешено подключаться к публикуемой службе в поле Источник.

  • Если осуществляется трансляция на один и тот же номер порта локального сервера, то можно оставить пустым поле Сменить порт назначения. Система автоматически переадресует запрос на соответствующий порт устройства в локальной сети.

Устранение неполадок

  • Убедитесь, что клиент (на которого осуществляется проброс портов) отвечает на эхо-запросы ping к внешним ресурсам. Кроме того, основным шлюзом на данном устройстве должен быть локальный IP-адрес Ideco UTM (либо прописан соответствующий маршрут).

  • Необходимо учитывать, что публикуемая служба должна отвечать клиенту во внешней сети через тот же внешний интерфейс сервера, с которого изначально пришел запрос. Если в созданном правиле в поле Назначение указан публичный IP-адрес сервера для приема подключений извне и, если вы переопределили автоматические правила NAT, создав правила в таблице SNAT, настройте правильный адрес SNAT для опубликованного сервиса.

  • Брэндмауэр Windows или другие программы защиты часто блокируют соединения к системе с внешних адресов в интернете. Поэтому может показаться, что правило трансляции запросов на сервере не работает. Для диагностики отключите все брандмауэры, файрволы и антивирусы на целевом устройстве.

  • Правило портмаппинга будет осуществлять проброс трафика извне на хост в локальной сети. Трафик запроса ресурса из этой же локальной сети при обращении на внешний адрес не будет проброшен правильно. Будет иметь место асимметричная маршрутизация. При диагностике сетевыми утилитами подключайтесь из внешних для UTM сетей. Внутри локальной сети обращайтесь к сервису по его IP-адресу в локальной сети. Альтернативно можно вынести ресурс в отдельную локальную сеть, DMZ, и избежать асимметричной маршрутизации, после чего обращаться к ресурсу из локальной сети клиентов по внешнему IP-адресу. Пример настройки портмаппинга с использованием DMZ-сети для ресурса описан выше.

Аналогичным образом можно пробросить диапазон портов. Для этого в поле Порт назначения укажите нужный диапазон (предварительно создайте соответствующий , например 10000-20000, а в поле Переадресовать на укажите диапазон портов 10000-20000.

Трафик проброшенных портов проверяется модулем . Проверьте логи системы в случае неработоспособности правила и при необходимости добавьте в исключения сработавшее правило.

Объект
Предотвращение вторжений
обратным прокси-сервером