WatchGuard端口转发/静态NAT
我试图将WatchGuard防火墙上的特定端口转发到特定VLAN中的内部主机。 我的设置大致如下:
INTERNET vv WatchGuard vv--------vv--------vv [VLAN1] [VLAN2] [VLAN3] vv Server 我已经从Any-External设置了一个SNAT规则到没有端口转换的内部服务器的IP地址。 然后,我添加了防火墙策略
- 行动: 允许
- 端口tcp:10000上的自定义filter
- 来自任何来源
- 到我的狙击规则
这一切都是由文档build议的,但是当试图从外部IP访问它时,端口仍然被过滤并logging为未处理(xxx是外部客户端,yyy是防火墙的ip):
Process=firewall Disposition=Deny Policy=Unhandled External Packet-00 Source IP=xx.xx.xx.xx Destination IP=yy.yy.yy.yy Source Interface=0-External Destination Interface=0-External Source Port=19852 Destination Port=10000 Protocol=webmin/tcp
我一直在玩端口翻译,SNAT和代理的更具体的接口设置,而不是filter操作,但我根本无法得到它的工作。 我错过了什么?
- SSH隧道到Docker容器
- 如何在Docker容器中公开端口
- Arris NVG599上的端口转发导致“检测到针孔冲突”
- 我可以将端口转发到build立的反向ssh隧道吗?
- iptables https透明代理与privoxy?
编辑(2015-06-16):这是我的configuration屏幕:
内部networking端口检查:
$ nmap -sT -p 10000 192.168.79.100 [...] PORT STATE SERVICE 10000/tcp open snet-sensor-mgmt [...]
端口从外部networking检查(在Internet连接的IP上,xxx是已知的开放pipe理端口):
user@extServer:~# nmap -sT -p xxx,10000 yyy.yyy.yyy.yyy [...] PORT STATE SERVICE 8089/tcp open unknown 10000/tcp filtered snet-sensor-mgmt [...]
如果你在SNAT规则中使用了“任何外部的”,那么你在这里犯了错误。
select外部IP地址(es),你将实际使用这个SNAT规则,而不是别名“任何外部”,事情将开始工作。
仍然可以在过滤规则中使用“任意外部”。
问题在于对别名“任意 – 外部”的理解。 在防火墙的端口上configuration的所有IP地址都由Alias的“Firebox”覆盖,而“Any-External”则以您的提供商的网关IP地址开始。 你可以创build一个别名的“外部端口” – 这将比在SNAT规则中正常工作,但不是“任何外部”。
原来,我的ISP提供了两个IP地址给连接(没有注意到我),而且我一直在跟错误的那个对话。 pipe理端口绑定到所有接口(因此它是开放的),但绑定的外部端口不是。
注意自我:仔细检查IP地址。
对于rubberducking而言,要大声吼叫@BZ