Доступ из внешней сети без NAT

При необходимости (как правило, когда Ideco UTM расположен внутри локальной сети, а не на границе с интернетом) возможно:

  • Организовать прямой доступ к ресурсам внешних по отношению к Ideco UTM сетей без использования NAT;

  • Разрешить доступ из внешних относительно Ideco UTM сетей в локальную сеть с прямым обращением к локальным IP-адресам.

Для примера разберем настройку Ideco UTM для доступа без NAT в следующей конфигурации сети:

1. Настройте сетевые интерфейсы в разделе Сервисы -> Сетевые интерфейсы на Ideco UTM:

Итоговые правила файрвола выглядят так:

  • local - интерфейс для доступа в пользовательскую локальную сеть;

  • external - интерфейс для доступа в пользовательскую внешнюю сеть пользователей.

2. Перейдите в раздел Сервисы -> Маршрутизация и создайте правила для доступа к IP-адресам пользователей, которые находятся за маршрутизаторами:

  • Для Локальных сетей:

    • Адрес назначения - адрес локальной сети за маршрутизатором (10.0.1.0/24);

    • Шлюз - адрес машрутизатора (10.0.0.10).

  • Для Внешних сетей:

    • Источник - Любой;

    • Адрес назначения - адрес внешней сети за маршрутизатором (192.168.1.0/24);

    • Шлюз - адрес машрутизатора (192.168.0.10).

3. Перейдите в раздел Правила трафика -> Файрвол -> FORWARD и создайте правило для доступа хостов из внешней сети 192.168.1.0/24 до IP-адресов пользователей локальной сети 10.0.1.0/24:

4. Перейдите в раздел Правила трафика -> Файрвол -> SNAT и отключите опцию Автоматический SNAT локальных сетей.

5. Перейдите в раздел Пользователи -> Учетные записи и включите опцию Постоянная авторизация для пользователей локальной сети 10.0.1.0/24. Устройства локальной сети должны быть авторизованы на UTM:

Учитывайте риски подобного доступа с точки зрения информационной безопасности. Не предоставляйте доступ для внешних сетей и хостов, в безопасности которых не уверены.

Правила трафика Ideco UTM будут работать только для трафика, приходящего из внешней сети в локальную сеть.

Last updated