Я использовал мастер SonicWall TZ105 "Public Server" для добавления политик NAT для внутреннего (не DMZ) сервера, но я не понимаю необходимости всех пользовательских политик, которые в результате:

#   Source                     Destin.                 Service               Interface
    Original      Translated   Original   Translated   Original  Translated  In   Out
--  ------------  -----------  ---------  -----------  --------- ----------- ---  ---
1   Firewalled    MyServer     MyServer   MyServer     MyServer  Original    Any  Any
    Subnets       Public       Public     Private      Services

2   MyServer      MyServer     Any        Original     MyServer  Original    Any  X1
    Private       Public                               Services

3   Any           Original     MyServer   MyServer     MyServer  Original    Any  Any
                               Public     Private      Services

4   Any           WAN          Any        Original     Any       Original    X0   X1
                  Primary IP

Политика 4, по-видимому, является общим правилом, которое позволяет всем внутренним хостам получать доступ к Интернету с использованием общедоступного /WAN IP.

Кажется, политика 3 позволяет входящим соединениям получать доступ к серверу, что мне определенно необходимо, поскольку именно это я и пытаюсь выполнить.

Кажется, что политика 2 гарантирует, что любые исходящие соединения служб сервера сопоставлены с правильным IP-адресом глобальной сети? Если у нас есть только один IP-адрес, нужно ли это? Без этого правила не будут ли исходящие соединения сервера просто сопоставляться с правилом № 4?

Кажется, что политика 1 совпадает с попытками внутренних хостов достичь сервера с использованием IP-адреса WAN и отображает IP-адрес обратно на внутренний IP-адрес, предотвращая выход внутреннего трафика из внутренней сети? Это верно? Если это так, насколько важно такое правило, учитывая, что во внутренней сети есть DNS, и имя хоста будет преобразовано в частный IP-адрес в нашей сети. Будет ли это правило вступать в силу, если SSLVPN используется для доступа к сети и доступа к услуге?

Поскольку у нас есть несколько серверов за этим брандмауэром, я стараюсь сохранить экран политик как можно более загроможденным, и хотел бы избежать добавления политик, таких как 1 и 2, если они уже эффективно охвачены политиками, такими как 4 и наш внутренний DNS-сервер. Я не ожидаю, что мы получим дополнительные IP-адреса.

1 ответ1

1

В указанном вами порядке:

Политика 4: Вы правы.

Политика 3: Вы правы.

Политика 2: Вы в значительной степени правы. Если у вас есть только один публичный IP-адрес, весь трафик будет направлен на него. Это явное правило, которое полезно, когда у вас есть несколько общедоступных IP-адресов и разные службы на разных IP-адресах.

Политика 1: Это правило является шпилечным правилом NAT, которое перенаправляет внутренних клиентов обратно на частный IP, как вы указали. Если внутренний клиент использует сервер DNS, отличный от вашего, он не получит внутренний адрес, он получит публичный IP-адрес. Вот почему это правило необходимо.

Вы могли бы обойтись без Политики 1 и 2, но это может не стоить проблем в будущем, если вы внесете изменения.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .