Доступ из внешней сети без NAT
При необходимости (как правило, когда Ideco UTM расположен внутри локальной сети, а не на границе с интернетом) возможно:
Организовать прямой доступ к ресурсам внешних по отношению к Ideco UTM сетей без использования NAT;
Разрешить доступ из внешних относительно Ideco UTM сетей в локальную сеть с прямым обращением к локальным IP-адресам.
Для примера разберем настройку Ideco UTM для доступа без NAT в следующей конфигурации сети:
1. Настройте сетевые интерфейсы в разделе Сервисы -> Сетевые интерфейсы на Ideco UTM:
Итоговые правила файрвола выглядят так:
local - интерфейс для доступа в пользовательскую локальную сеть;
external - интерфейс для доступа в пользовательскую внешнюю сеть пользователей.
2. Перейдите в раздел Сервисы -> Маршрутизация и создайте правила для доступа к IP-адресам пользователей, которые находятся за маршрутизаторами:
Для Локальных сетей:
Адрес назначения - адрес локальной сети за маршрутизатором (
10.0.1.0/24
);Шлюз - адрес машрутизатора (
10.0.0.10
).
Для Внешних сетей:
Источник - Любой;
Адрес назначения - адрес внешней сети за маршрутизатором (
192.168.1.0/24
);Шлюз - адрес машрутизатора (
192.168.0.10
).
3. Перейдите в раздел Правила трафика -> Файрвол -> FORWARD и создайте правило для доступа хостов из внешней сети 192.168.1.0/24
до IP-адресов пользователей локальной сети 10.0.1.0/24
:
4. Перейдите в раздел Правила трафика -> Файрвол -> SNAT и отключите опцию Автоматический SNAT локальных сетей.
5. Перейдите в раздел Пользователи -> Учетные записи и включите опцию Постоянная авторизация для пользователей локальной сети 10.0.1.0/24
. Устройства локальной сети должны быть авторизованы на UTM:
Учитывайте риски подобного доступа с точки зрения информационной безопасности. Не предоставляйте доступ для внешних сетей и хостов, в безопасности которых не уверены.
Правила трафика Ideco UTM будут работать только для трафика, приходящего из внешней сети в локальную сеть.
Last updated