Как включить переадресацию портов и разрешить доступ к серверу через SonicWall

  1. Обзор сценария

Как включить переадресацию портов и разрешить доступ к серверу через SonicWall

05/15/2019   8500   200981 05/15/2019 8500 200981

ОПИСАНИЕ:

В этой статье описывается, как получить доступ к внутреннему устройству или серверу за брандмауэром SonicWall. Этот процесс также известен как открытие портов, NAT и переадресация портов.

Для этого процесса доступ к устройству может быть любым из следующих:

  • Веб сервер
  • FTP сервер
  • Почтовый сервер
  • Терминальный сервер
  • DVR (цифровой видеорегистратор)
  • АТС
  • SIP-сервер
  • Айпи камера
  • принтер
  • Сервер приложений
  • Любые пользовательские роли сервера
  • Игровые приставки

Не хочешь читать? Смотреть вместо !

ПРИЧИНА:

По умолчанию SonicWall запрещает весь входящий трафик, который не является частью связи, которая началась с внутреннего устройства, такого как что-то в зоне LAN. Это необходимо для защиты внутренних устройств от злонамеренного доступа, однако часто необходимо открывать определенные части сети, такие как серверы, для внешнего мира.

Для этого SonicWall требуется правило доступа брандмауэра, чтобы разрешить трафик из общедоступного Интернета во внутреннюю сеть, а также политика преобразования сетевых адресов (NAT) для направления трафика на правильное устройство.

РАЗРЕШАЮЩАЯ СПОСОБНОСТЬ:

Открытие портов / включение переадресации портов для разрешения трафика из Интернета на сервер за SonicWall с использованием SonicOS включает в себя следующие шаги:

  1. Создание необходимых адресных объектов
  2. Создание соответствующих политик NAT, которые могут включать в себя входящие, исходящие и петлевые
  3. Создание необходимых правил доступа к брандмауэру

Эти шаги также позволят вам включить трансляцию адресов портов с изменением или без изменения соответствующих IP-адресов.

СОВЕТ: Мастер публичного сервера - это простой и простой способ предоставить публичный доступ к внутреннему Серверу через SonicWall СОВЕТ: Мастер публичного сервера - это простой и простой способ предоставить публичный доступ к внутреннему Серверу через SonicWall. Мастер общедоступных серверов упростит три вышеуказанных шага, запросив у вас информацию и автоматически создав необходимые параметры.

Нажмите Быстрая настройка в верхнем меню навигации.
Вы можете узнать больше о мастере публичного сервера, прочитав Как открыть порты с помощью SonicWall Public Server Wizard ,

ПРЕДУПРЕЖДЕНИЕ ПРЕДУПРЕЖДЕНИЕ . Устройство защиты SonicWall управляется по протоколу HTTP (порт 80) и HTTPS (порт 443), при этом по умолчанию включено управление HTTPS. Если вы используете один или несколько IP-адресов WAN для переадресации портов HTTP / HTTPS на сервер, то вы должны изменить порт управления на неиспользуемый порт или изменить порт при переходе на ваш сервер через NAT или другим способом.

Если вы используете один или несколько IP-адресов WAN для переадресации портов HTTP / HTTPS на сервер, то вы должны изменить порт управления на неиспользуемый порт или изменить порт при переходе на ваш сервер через NAT или другим способом

Обзор сценария

Следующие подробные сведения разрешают HTTPS-трафик из Интернета на сервер в локальной сети. После завершения настройки пользователи Интернета могут получить доступ к серверу через публичный IP-адрес глобальной сети SonicWall. Хотя приведенные ниже примеры показывают зону LAN и HTTPS (порт 443), они могут применяться к любой зоне и любому необходимому порту. Аналогично, IP-адрес WAN может быть заменен любым общедоступным IP-адресом, который направляется на SonicWall, например общедоступным диапазоном, предоставляемым провайдером.

СОВЕТ: Если ваш пользовательский интерфейс выглядит не так, как на скриншоте в этой статье, вам может потребоваться обновить прошивку до последней версии прошивки для вашего устройства СОВЕТ: Если ваш пользовательский интерфейс выглядит не так, как на скриншоте в этой статье, вам может потребоваться обновить прошивку до последней версии прошивки для вашего устройства. Чтобы узнать больше об обновлении прошивки, пожалуйста, смотрите Процедура обновления образа микропрограммы устройства SonicWall UTM с текущими настройками.


Шаг 1: Создание необходимых адресных объектов

  1. Войдите в SonicWall GUI.
  2. Нажмите « Управление» в верхнем меню навигации.
  3. Нажмите Объекты | Адресные объекты .
  4. Нажмите кнопку Добавить новый объект адреса и создайте два объекта адреса для общедоступного IP-адреса сервера и частного IP-адреса сервера.
  5. Нажмите кнопку ОК, чтобы добавить объект адреса в таблицу объектов адреса SonicWall.

Нажмите кнопку ОК, чтобы добавить объект адреса в таблицу объектов адреса SonicWall

Шаг 2: Создание необходимого сервисного объекта

  1. Нажмите Управление в верхнем меню навигации.
  2. Нажмите Объекты | Сервисные объекты.
  3. Нажмите кнопку Добавить новый объект службы и создайте необходимые объекты службы для требуемых портов.
  4. Убедитесь, что вы знаете правильный протокол для объекта службы (TCP, UDP и т. Д.). Если вы не уверены, какой протокол используется, выполните захват пакета.
  5. Нажмите кнопку ОК, чтобы добавить объект обслуживания в таблицу объектов обслуживания SonicWall.

Нажмите кнопку ОК, чтобы добавить объект обслуживания в таблицу объектов обслуживания SonicWall

Шаг 3: Создание соответствующих политик NAT, которые могут включать в себя входящие, исходящие и петлевые


Политика NAT позволит SonicOS преобразовывать входящие пакеты, предназначенные для общедоступного IP-адреса, в частный IP-адрес и / или определенный порт в другой конкретный порт. Каждый пакет содержит информацию об IP-адресах и портах источника и назначения и с помощью политики NAT SonicOS может проверять пакеты и перезаписывать эти адреса и порты для входящего и исходящего трафика.

  1. Нажмите « Управление» в верхнем меню навигации.
  2. Нажмите Правила | Политика NAT .
  3. Нажмите кнопку Добавить новую политику NAT , и появится всплывающее окно.
  4. Нажмите кнопку Добавить, чтобы добавить политику NAT в таблицу политик SonicWall NAT.

Примечание. При создании политики NAT вы можете установить флажок «Создать рефлексивную политику» . Это создаст обратную Политику автоматически, в примере ниже добавление рефлексивной политики для Политики NAT слева также создаст Политику NAT справа. Этот параметр недоступен при настройке существующей политики NAT, только при создании новой политики.

Loopback NAT Policy
Loopback NAT Policy

Политика обратной связи NAT требуется, когда пользователям в локальной сети / локальной сети необходимо получить доступ к внутреннему серверу через его общедоступный IP-адрес / общедоступное DNS-имя. Эта Политика будет «зацикливаться» на запрос Пользователей о доступе как исходящий от Общедоступного IP-адреса WAN, а затем преобразуется в Частный IP-адрес Сервера. Без Loopback NAT Policy внутренние пользователи будут вынуждены использовать частный IP-адрес сервера для доступа к нему, что, как правило, создает проблемы с DNS.
Если вы хотите получить доступ к этому серверу из других внутренних зон, используя общедоступный IP-адрес, http://1.1.1.1 рассмотрите возможность создания политики обратной связи NAT:

  • Первоначальный источник: Firewalled Subnets
  • Переведенный источник: X1 IP
  • Оригинальный пункт назначения: X1 IP
  • Переведенный пункт назначения : Пример Имя Частный
  • Оригинальный сервис: HTTPS
  • Перевод обслуживания: Оригинал
  • Входящий интерфейс: любой
  • Исходящий интерфейс: любой
  • Комментарий: политика обратной связи
  • Включить политику NAT: проверено
  • Создать рефлексивную политику: не проверено

Шаг 3
Шаг 3. Создание необходимых правил доступа к брандмауэру

  1. Нажмите « Управление» в верхнем меню навигации.
  2. Нажмите Правила | Правила доступа .
  3. Выберите тип просмотра в виде матрицы и выберите WAN для соответствующего правила доступа к зоне . (Это будет Зона, в которой находится частный IP-адрес Сервера.)
  4. Нажмите кнопку Добавить новую запись / Добавить ... и во всплывающем окне создайте требуемое правило доступа, настроив поля, как показано ниже.
  5. Нажмите Add, когда закончите.

Нажмите Add, когда закончите