Доступ из внешней сети без NAT
Last updated
Was this helpful?
Last updated
Was this helpful?
При необходимости (как правило, когда Ideco UTM расположен внутри локальной сети, а не на границе с Интернетом) возможно организовать прямой доступ к некоторым ресурсам внешних по отношению к Ideco UTM сетей без использования NAT.
Для примера разберем настройку файрвола для доступа без NAT к IP-адресу: 10.0.0.1 (в общем случае это также может быть сеть или диапазон IP-адресов).
1. Выключите параметр Автоматический SNAT локальных сетей в Правила трафика -> Файрвол.
2. В файрволе в таблице SNAT создайте правило с действием Не производить SNAT для данного IP-адреса назначения.
3. Следующим правилом создайте правила SNAT для своей локальной сети (чтобы остальные хосты работали через NAT)
Итоговые правила файрвола выглядят так:
Внимание! Учитывайте риски подобного доступа с точки зрения информационной безопасности. Не предоставляйте доступ для сетей и хостов в безопасности которых не уверены.
При необходимости можно разрешить доступ с хостов или из сетей расположенных во внешней относительно Ideco UTM сети в локальную сеть с прямым обращением к локальным IP-адресам.
Для примера разберем настройку файрвола разрешающую хосту 10.0.0.1 доступ к локальной сети.
1. В консоли UTM (доступ по SSH) ввести команду:
mcedit /usr/bin/ideco-firewall-static
2. Между строками:
iptables -A FORWARD -m state --state INVALID -j smart_drop
iptables -A FORWARD -j forward_sys_rules
Вписать строки:
iptables -A FORWARD -d 10.0.0.1 -j ACCEPT
iptables -A FORWARD -s 10.0.0.1 -j ACCEPT
3. Сохраните файл
4. Перезагрузите Ideco UTM
Внимание! После обновления Ideco UTM в некоторых случаях процедуру данной ручной настройки придется повторить.
