WatchGuardポートフォワーディング/静的NAT
WatchGuardファイアウォールの特定のポートを特定のVLANの内部ホストに転送しようとしています。私の設定はおおまかに次のとおりです。
INTERNET
vv
WatchGuard
vv--------vv--------vv
[VLAN1] [VLAN2] [VLAN3]
vv
Server
Any-Externalからポート変換なしの内部サーバーのIPアドレスへのSNATルールを設定しました。次に、ファイアウォールポリシーを追加しました
- アクション:許可
- ポートのカスタムフィルターtcp:10000
- anyソースから
- 私のsnatルールに
これはすべて documentation で推奨されているとおりですが、外部IPからアクセスしようとすると、ポートはフィルタリングされたままになり、未処理としてログに記録されます(xxxは外部クライアント、yyyはファイアウォールのIP) :
Process=firewall Disposition=Deny Policy=Unhandled External Packet-00 Source IP=xx.xx.xx.xx Destination IP=yy.yy.yy.yy Source Interface=0-External Destination Interface=0-External Source Port=19852 Destination Port=10000 Protocol=webmin/tcp
私はポート変換、フィルターアクションの代わりにSNATとプロキシのより具体的なインターフェース設定をいじっていますが、それを機能させることができません。何が足りないのですか?
編集(2015-06-16):これが私の設定画面です:
内部ネットワークからのポートチェック:
$ nmap -sT -p 10000 192.168.79.100
[...]
PORT STATE SERVICE
10000/tcp open snet-sensor-mgmt
[...]
外部ネットワークからのポートチェック(インターネット接続のip yyyで、xxxは既知の開いている管理ポートです):
user@extServer:~# nmap -sT -p xxx,10000 yyy.yyy.yyy.yyy
[...]
PORT STATE SERVICE
8089/tcp open unknown
10000/tcp filtered snet-sensor-mgmt
[...]
私のISPが(私に気付かずに)接続に2つのIPアドレスを提供し、私がずっと間違ったアドレスと話していたことがわかりました。管理ポートはすべてのインターフェイスにバインドされていましたが(したがって開いていました)、バインドされた外部ポートはバインドされていませんでした。
自己メモ:IPを再確認してください。
ラバーダックの@B.Z。への叫び声付き
SNATルールで「Any-External」を使用した場合は、ここでエラーが発生しました。
エイリアス「Any-External」の代わりに、このSNATルールに実際に使用する外部IPアドレスを選択すると、動作が開始されます。
それでも、フィルタールールで「Any-External」を使用できます。
問題は、エイリアス「Any-External」の理解にあります。ファイアウォールのポートに設定されているすべてのIPアドレスは、エイリアス「Firebox」でカバーされますが、「Any-External」は、プロバイダーのゲートウェイIPアドレスで始まります。エイリアス「external-ports」を作成できます。これはSNATルールでは正常に機能しますが、「Any-External」では機能しません。