Настройка переадресации портов

Для доступа к серверам, находящимся за межсетевым экраном, можно настроить переадресацию портов (проброс портов, port forwarding). Это позволяет получать доступ к серверу, не зная внутреннего IP-адреса сервера. Пользователи также могут подключаться, используя только те порты, которые были выбраны. Для примера настроим доступ к серверу по SSH.

Создание виртуального IP-адреса

Графический интерфейс

Чтобы создать виртуальный IP-адрес (VIP):

  1. Перейдите в раздел Policy & Objects → Virtual IPs и создайте новый виртуальный IP-адрес.
  2. В качестве External IP Address/Range укажите IP-адрес вашего межсетевого экрана, а в качестве Mapped IP Address/Range внутренний адрес сервера.
  3. Включите Port Forwarding. Для Protocol установите значение на TCP, для External Service Port любой свободный порт, для Map to Port установите порт, на котором работает служба SSH вашего сервера. По-умолчанию это порт 22.

Консольный интерфейс

Для изменения через CLI введите:

config firewall vip
    edit "Server SSH"
        set comment "connection to server via ssh"
        set extip <External IP>
        set extintf "wan1"
        set portforward enable
        set mappedip <Internal IP>
        set extport <External port>
        set mappedport <Internal port>
    next
end

Создание группы виртуальных IP-адресов

Графический интерфейс

Чтобы добавить виртуальные IP-адреса в виртуальную IP-группу:

  1. Перейдите в раздел Policy & Objects → Virtual IPs и создайте новую группу.
  2. Установите новые виртуальные IP-адреса в Members.

Консольный интерфейс

Для изменения через CLI введите:

config firewall vipgrp
    edit "Server services"
        set interface <External Interface>
        set member <VIP1> <VIP2>
    next
end

Настройка политики безопасности

Графический интерфейс

Чтобы разрешить доступ к серверу из интернета:

  1. Перейдите в раздел Policy & Objects → IPv4 Policy и создайте новую политику.
  2. В качестве Incoming Interface выберите внешний интерфейс, а в качестве Outgoing Interface – внутренний.
  3. Выберите в качестве Destination Address виртуальный IP-адрес или группу.

Для этой политики NAT отключен, так что сервер видит исходные адреса источников, которые он получает. Это предпочтительный параметр.

Консольный интерфейс

Для изменения через CLI введите:

config firewall policy
       edit 2
        set name "Server Access"
        set srcintf <External Interface>
        set dstintf <Internal Interface>
        set srcaddr all
        set dstaddr <VIP>
        set action accept
        set schedule always
        set service ALL
    next
end