Политики для двунаправленного (Two-Way) NAT, используя метод pinholing

Цель

Создать политики для доступа к серверу, расположенному за NAT, используя метод pinholing, т.е. используя IP-адрес межсетевого экрана.

Топология сети

увеличить изображение
Рис. 7.1.

Описание практической работы

Проверка отсутствия конфликта по портам

Метод pinholing некоторые производители называют SAT.

К веб-серверу будут обращаться по IP-адресу МЭ 1, поэтому следует гарантировать отсутствие конфликта по портам с удаленным администрированием МЭ 1. Это можно сделать несколькими способами.

1. Указать номер порта для удаленного администрирования, отличный от номера порта веб-сервера.

   Веб-интерфейс:

   System -> Remote Management -> Advanced Settings

   

   
   увеличить изображение
   Рис. 7.2.

   Командная строка:

   set Settings RemoteMgmtSettings WWWSrv_HTTPPort=82 WWWSrv_HTTPSPort=444
2. Указать номер порта для доступа к веб-серверу, отличный от номера порта для удаленного администрирования. При этом номер порта на самом веб-сервере можно не изменять, достаточно создать новый httр-сервис с номером порта, отличным от порта удаленного администрирования. Будем предполагать, что используется второй способ.

   Веб-интерфейс:

   Object -> Services -> Add

   Name http_8080

   

   
   увеличить изображение
   Рис. 7.3.

   Командная строка:

   add Service ServiceTCPUDP http_8080 DestinationPorts=8080 SourcePorts=0-65535

Объекты Адресной Книги

Чтобы иметь возможность использовать в качестве адреса веб-сервера IP-адреса интерфейсов, к которым подсоединены сети, а также для того, чтобы в правилах фильтрования доступ к веб-серверу описать с помощью единственного правила, создадим дополнительные объекты в Адресной Книге.

Веб-интерфейс:

Object -> Address Book -> nat

увеличить изображение
Рис. 7.4.

Командная строка:

cc Address AddressFolder nat

add IP4Group web_pinholing Members =lan/lan_ip, wan1/wan1_ip

Группа интерфейсов

Объединить интерфейсы в Группу, чтобы несколько интерфейсов можно было указывать одним параметром в Правилах фильтрования.

Веб-интерфейс:

Interfaces -> Interface Group -> Add

увеличить изображение
Рис. 7.5.

Командная строка:

add Interface InterfaceGroup web_int Members=lan,wan1

Правила фильтрования

Создать два правила фильтрования с действием SAT. В первом правиле качестве сервиса указать http, во втором правиле – https. Интерфейсом получателя должен быть core. Адрес получателя – IP-адреса интерфейсов, которые будут указываться клиентом в качестве веб-сервера. В нашем случае это группа интерфейсов web_int.

Создать правило фильтрования с действием Allow.

Веб-интерфейс:

Rules -> IP Rules -> Add -> IP Rule Folder

Name pinholing

Rules -> IP Rules -> pinholing -> Add

увеличить изображение
Рис. 7.6.

На вкладке SAT указать адрес веб-сервера и порт, который он слушает. Если необходимо, чтобы веб-сервер слушал несколько портов, например, 80 (http) и 443 (https), то требуется два правила SAT.

увеличить изображение
Рис. 7.7.

увеличить изображение
Рис. 7.8.

Командная строка:

сc IPRuleFolder <N folder>

add IPRule Action=SAT SourceInterface=web_int SourceNetwork=all-nets DestinationInterface=core DestinationNetwork=nat/web_pinholing Service=http SATTranslateToIP=dmz/web_server SATAllToOne=Yes SATTranslateToPort=80 Name=web_80

add IPRule Action=SAT SourceInterface=web_int SourceNetwork=all-nets DestinationInterface=core DestinationNetwork=nat/web_pinholing Service=https SATTranslateToIP=dmz/web_server SATAllToOne=Yes SATTranslateToPort=443 Name=web_443

add IPRule Action=Allow SourceInterface=web_int SourceNetwork=all-nets DestinationInterface=core DestinationNetwork=nat/web_pinholing Service=http-all Name=web

Проверка конфигурации

Заходим браузером по IP-адресу МЭ 1 и сконфигурированному номеру порта.

увеличить изображение
Рис. 7.9.