Правила открытия ип: Как открыть ИП в 2021 году пошаговая инструкция для начинающих

13.14.1. Создание исходящих правил межсетевого экрана в расширенной зоне

Правила исходящего брандмауэра поддерживаются только на виртуальных маршрутизаторах.

Исходящий трафик исходит из частной сети в общедоступную, например Интернет. По умолчанию исходящий трафик блокируется, поэтому исходящий трафик из гостевой сети в Интернет запрещен. Однако вы можете контролировать исходящий трафик в расширенной зоне, создав правила выходного брандмауэра.Когда применяется исходящее правило брандмауэра, трафик, специфичный для этого правила, разрешается, а оставшийся трафик блокируется. Когда все правила брандмауэра удалены, применяется политика по умолчанию — Блокировать.

Рассмотрим следующие сценарии применения исходящих правил брандмауэра:

• Разрешить исходящий трафик от указанного исходного CIDR. Исходный CIDR является частью CIDR гостевой сети.

• Разрешите исходящий трафик с протоколом назначения TCP, UDP, ICMP или ВСЕ.

• Разрешите исходящий трафик с протоколом назначения и диапазоном портов. Диапазон портов указывается для TCP, UDP или для типа и кода ICMP.

Чтобы настроить исходящее правило брандмауэра:

1. Войдите в пользовательский интерфейс CloudStack как администратор или конечный пользователь.

2. На левой панели навигации выберите Сеть.

3. В режиме «Выбор» выберите «Гостевые сети», затем щелкните нужную гостевую сеть.

4. Чтобы добавить правило выхода, щелкните вкладку Правила выхода и заполните следующие поля, чтобы указать, какой тип трафика разрешен для отправки из экземпляров ВМ в этой гостевой сети:

   • CIDR : (только добавление с помощью CIDR) Чтобы отправлять трафик только на IP-адреса в определенном блоке адресов, введите CIDR или список CIDR, разделенных запятыми. CIDR — это базовый IP-адрес пункта назначения. Например, 192.168.0.0/22. Чтобы разрешить все CIDR, установите значение 0.0,0.0 / 0.

   • Протокол : сетевой протокол, который виртуальные машины используют для отправки исходящего трафика. Протоколы TCP и UDP обычно используются для обмена данными и связи с конечными пользователями. Протокол ICMP обычно используется для отправки сообщений об ошибках или данных мониторинга сети.

   • Начальный порт, конечный порт : (только TCP, UDP) Диапазон прослушивающих портов, которые являются адресатом исходящего трафика. Если вы открываете один порт, используйте один и тот же номер в обоих полях.

   • Тип ICMP, код ICMP : (только ICMP) Тип отправляемого сообщения и код ошибки.

5. Щелкните Добавить.

По умолчанию весь входящий трафик на общедоступный IP-адрес отклоняется брандмауэром. Чтобы разрешить внешний трафик, вы можете открыть порты брандмауэра, указав правила брандмауэра. Вы можете дополнительно указать один или несколько CIDR для фильтрации исходных IP-адресов. Это полезно, если вы хотите разрешить только входящие запросы с определенных IP-адресов.

Правила брандмауэра можно создать на вкладке «Брандмауэр» в пользовательском интерфейсе сервера управления. Эта вкладка не отображается по умолчанию, если установлен CloudStack. Чтобы отобразить вкладку «Брандмауэр», администратор CloudStack должен установить для параметра глобальной конфигурации firewall.rule.ui.enabled значение «true».

Чтобы создать правило брандмауэра:

1. Войдите в пользовательский интерфейс CloudStack как администратор или конечный пользователь.

2. На левой панели навигации выберите Сеть.

3. Щелкните имя сети, с которой вы хотите работать.

4. Щелкните Просмотр IP-адресов.

5. Щелкните IP-адрес, с которым хотите работать.

6. Щелкните вкладку Конфигурация и введите следующие значения.

   • Источник CIDR . (Необязательно) Чтобы принимать трафик только с IP-адресов в определенном адресном блоке, введите CIDR или список CIDR, разделенных запятыми.Пример: 192.168.0.0/22. Оставьте пустым, чтобы разрешить все CIDR.

   • Протокол . Протокол связи, используемый на открытых портах.

   • Начальный порт и конечный порт . Порт (ы), которые вы хотите открыть на брандмауэре. Если вы открываете один порт, используйте один и тот же номер в обоих полях.

   • Тип ICMP и код ICMP . Используется, только если для протокола задано значение ICMP. Укажите тип и код, требуемые протоколом ICMP для заполнения заголовка ICMP.Обратитесь к документации ICMP для получения дополнительных сведений, если вы не уверены, что вводить.

7. Щелкните Добавить.

13.14.3. Перенаправление портов

Служба переадресации портов — это набор правил переадресации портов, которые определяют политику. Затем к одной или нескольким гостевым виртуальным машинам применяется служба переадресации портов. Затем гостевая виртуальная машина управляет входящим сетевым доступом в соответствии с политикой, определенной службой переадресации портов. Вы можете дополнительно указать один или несколько CIDR для фильтрации исходных IP-адресов.Это полезно, если вы хотите разрешить пересылку только входящих запросов с определенных IP-адресов.

Гостевая виртуальная машина может быть в любом количестве служб переадресации портов. Службы переадресации портов могут быть определены, но не имеют участников. Если гостевая виртуальная машина является частью более чем одной сети, правила переадресации портов будут работать, только если они определены в сети по умолчанию.

Вы не можете использовать переадресацию портов для открытия портов для эластичного IP-адреса. При использовании эластичного IP-адреса внешний доступ вместо этого контролируется с помощью групп безопасности.См. Группы безопасности.

Чтобы настроить переадресацию портов:

1. Войдите в пользовательский интерфейс CloudStack как администратор или конечный пользователь.

2. Если вы еще этого не сделали, добавьте диапазон общедоступных IP-адресов в зону в CloudStack. См. Добавление зоны и модуля в Руководстве по установке.

3. Добавьте один или несколько экземпляров ВМ в CloudStack.

4. На левой панели навигации щелкните Сеть.

5. Щелкните имя гостевой сети, в которой работают виртуальные машины.

7. Щелкните вкладку Конфигурация.

8. В узле «Переадресация портов» на схеме нажмите «Просмотреть все».

9. Заполните следующее:

   • Общественный порт . Порт, на который будет адресован общедоступный трафик на IP-адресе, полученном на предыдущем шаге.

   • Частный порт . Порт, на котором экземпляр прослушивает перенаправленный общедоступный трафик.

   • Протокол . Протокол связи, используемый между двумя портами

10. Щелкните Добавить.

Правила брандмауэра IP — База данных SQL Azure и Azure Synapse Analytics

• 16.11.2021
• Читать 12 минут

Оцените свой опыт

да Нет

Любой дополнительный отзыв?

Отзыв будет отправлен в Microsoft: при нажатии кнопки «Отправить» ваш отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.

Представлять на рассмотрение

Спасибо.

В этой статье

ОТНОСИТСЯ К: База данных SQL Azure Azure Synapse Analytics

При создании нового сервера в базе данных SQL Azure или Azure Synapse Analytics с именем mysqlserver , например, брандмауэр уровня сервера блокирует весь доступ к общедоступной конечной точке для сервера (который доступен по адресу mysqlserver.database.windows.net ). Для простоты База данных SQL используется для обозначения как базы данных SQL, так и Azure Synapse Analytics.

Важно

В этой статье , а не , применяется к управляемому экземпляру Azure SQL . Дополнительные сведения о конфигурации сети см. В разделе Подключение приложения к управляемому экземпляру SQL Azure.

Azure Synapse поддерживает только правила брандмауэра IP на уровне сервера. Он не поддерживает правила брандмауэра IP на уровне базы данных.

Как работает межсетевой экран

Попытки подключения из Интернета и Azure должны пройти через брандмауэр, прежде чем они достигнут вашего сервера или базы данных, как показано на следующей диаграмме.

Правила брандмауэра IP на уровне сервера

Эти правила позволяют клиентам получить доступ ко всему вашему серверу, то есть ко всем базам данных, управляемым сервером. Правила хранятся в базе данных master . У вас может быть максимум 128 правил брандмауэра IP на уровне сервера для сервера. Если у вас включен параметр Разрешить службам и ресурсам Azure доступ к этому серверу , это считается одним правилом брандмауэра для сервера.

Вы можете настроить правила брандмауэра IP на уровне сервера с помощью портала Azure, PowerShell или инструкций Transact-SQL.

• Чтобы использовать портал или PowerShell, вы должны быть владельцем подписки или участником подписки.
• Чтобы использовать Transact-SQL, необходимо подключиться к базе данных master как основной логин на уровне сервера или как администратор Azure Active Directory. (Правило брандмауэра IP на уровне сервера должно сначала быть создано пользователем с разрешениями уровня Azure.)

Примечание

По умолчанию во время создания нового логического SQL-сервера на портале Azure для параметра Разрешить службам и ресурсам Azure доступ к этому серверу установлено значение Нет .

Правила брандмауэра IP на уровне базы данных

Правила брандмауэра IP на уровне базы данных позволяют клиентам получать доступ к определенным (безопасным) базам данных. Вы создаете правила для каждой базы данных (включая базу данных master ), и они хранятся в отдельной базе данных.

• Вы можете создавать правила брандмауэра IP на уровне базы данных для основных и пользовательских баз данных и управлять ими только с помощью операторов Transact-SQL и только после настройки первого брандмауэра на уровне сервера.
• Если вы укажете диапазон IP-адресов в правиле IP-брандмауэра на уровне базы данных, который выходит за пределы диапазона в правиле IP-брандмауэра на уровне сервера, только те клиенты, у которых есть IP-адреса в диапазоне уровня базы данных, могут получить доступ к базе данных.
• У вас может быть максимум 128 правил брандмауэра IP на уровне базы данных для базы данных. Дополнительные сведения о настройке правил брандмауэра IP на уровне базы данных см. В примере ниже в этой статье и в разделе sp_set_database_firewall_rule (база данных SQL Azure).

Рекомендации по настройке правил межсетевого экрана

По возможности рекомендуется использовать правила брандмауэра IP на уровне базы данных. Такой подход повышает безопасность и делает вашу базу данных более переносимой. Используйте для администраторов правила брандмауэра IP на уровне сервера.Также используйте их, когда у вас есть много баз данных с одинаковыми требованиями к доступу, и вы не хотите настраивать каждую базу данных по отдельности.

Сравнение правил брандмауэра IP на уровне сервера и уровня базы данных

Следует ли полностью изолировать пользователей одной базы данных от другой базы данных?

Если да , используйте правила брандмауэра IP на уровне базы данных для предоставления доступа. Этот метод позволяет избежать использования правил брандмауэра IP на уровне сервера, которые разрешают доступ через брандмауэр ко всем базам данных.Это уменьшит глубину вашей защиты.

Нужен ли пользователям IP-адресов доступ ко всем базам данных?

Если да , используйте правила брандмауэра IP на уровне сервера, чтобы уменьшить количество раз, которое вам нужно настраивать правила брандмауэра IP.

Есть ли у человека или группы, которые настраивают правила брандмауэра IP, доступ только через портал Azure, PowerShell или REST API?

В таком случае необходимо использовать правила брандмауэра IP на уровне сервера.Правила брандмауэра IP на уровне базы данных можно настроить только с помощью Transact-SQL.

Запрещается ли человеку или группе, которые настраивают правила брандмауэра IP, иметь высокоуровневые разрешения на уровне базы данных?

Если да, используйте правила брандмауэра IP на уровне сервера. Для настройки правил брандмауэра IP на уровне базы данных с помощью Transact-SQL вам потребуется как минимум разрешение CONTROL DATABASE на уровне базы данных.

Управляет ли человек или группа, которые настраивают или проверяют правила брандмауэра IP централизованно, правилами брандмауэра IP для многих (возможно, сотен) баз данных?

В этом сценарии передовой опыт определяется вашими потребностями и средой.Правила брандмауэра IP на уровне сервера, возможно, проще настроить, но сценарий может настраивать правила на уровне базы данных. И даже если вы используете правила IP-брандмауэра на уровне сервера, вам может потребоваться аудит правил IP-брандмауэра на уровне базы данных, чтобы увидеть, создают ли пользователи с разрешением CONTROL в базе данных правила IP-брандмауэра на уровне базы данных.

Могу ли я использовать сочетание правил брандмауэра IP на уровне сервера и на уровне базы данных?

Да. Некоторым пользователям, например администраторам, могут потребоваться правила брандмауэра IP на уровне сервера.Другим пользователям, например пользователям приложения базы данных, могут потребоваться правила брандмауэра IP на уровне базы данных.

Соединения из Интернета

Когда компьютер пытается подключиться к вашему серверу из Интернета, брандмауэр сначала проверяет исходный IP-адрес запроса на соответствие правилам брандмауэра IP на уровне базы данных для базы данных, которую запрашивает соединение.

• Если адрес находится в диапазоне, указанном в правилах брандмауэра IP на уровне базы данных, соединение предоставляется базе данных, содержащей правило.
• Если адрес не входит в диапазон правил брандмауэра IP на уровне базы данных, брандмауэр проверяет правила брандмауэра IP на уровне сервера. Если адрес находится в диапазоне, заданном правилами брандмауэра IP на уровне сервера, соединение разрешается. Правила брандмауэра IP на уровне сервера применяются ко всем базам данных, управляемым сервером.
• Если адрес не входит в диапазон правил брандмауэра IP на уровне базы данных или сервера, запрос на соединение не выполняется.

Примечание

Чтобы получить доступ к базе данных SQL Azure с локального компьютера, убедитесь, что брандмауэр в вашей сети и локальном компьютере разрешает исходящую связь через TCP-порт 1433.

Подключения изнутри Azure

Чтобы приложения, размещенные в Azure, могли подключаться к вашему серверу SQL, необходимо включить подключения Azure. Чтобы включить подключения Azure, должно быть правило брандмауэра с начальным и конечным IP-адресами, установленным на 0.0.0.0.

Когда приложение из Azure пытается подключиться к серверу, брандмауэр проверяет, разрешены ли соединения Azure, подтверждая существование этого правила брандмауэра. Это можно включить непосредственно из колонки портала Azure, переключив Разрешить службам и ресурсам Azure доступ к этому серверу с на НА в настройках брандмауэров и виртуальных сетей .При переключении параметра в положение ON создается правило брандмауэра для входящего трафика для IP 0.0.0.0 — 0.0.0.0 с именем AllowAllWindowsAzureIps . Правило можно просмотреть в представлении sys.firewall_rules вашей главной базы данных. Используйте PowerShell или Azure CLI, чтобы создать правило брандмауэра с начальным и конечным IP-адресами, равными 0.0.0.0, если вы не используете портал.

Важно

Этот параметр настраивает брандмауэр, чтобы разрешить все подключения из Azure, включая подключения из подписок других клиентов.Если вы выберете эту опцию, убедитесь, что ваш логин и права пользователя ограничивают доступ только авторизованным пользователям.

Разрешения

Чтобы иметь возможность создавать правила брандмауэра IP для Azure SQL Server и управлять ими, вам потребуется:

Создание правил IP-брандмауэра и управление ими

Вы создаете первый параметр брандмауэра на уровне сервера с помощью портала Azure или программно с помощью Azure PowerShell, Azure CLI или Azure REST API. Вы можете создавать дополнительные правила брандмауэра IP на уровне сервера и управлять ими с помощью этих методов или Transact-SQL.

Важно

Правила брандмауэра IP на уровне базы данных могут создаваться и управляться только с помощью Transact-SQL.

Для повышения производительности правила брандмауэра IP на уровне сервера временно кэшируются на уровне базы данных. Чтобы обновить кеш, см. DBCC FLUSHAUTHCACHE.

Подсказка

Вы можете использовать аудит базы данных для аудита изменений брандмауэра на уровне сервера и базы данных.

Используйте портал Azure для управления правилами брандмауэра IP на уровне сервера

Чтобы установить правило брандмауэра IP на уровне сервера на портале Azure, перейдите на страницу обзора своей базы данных или сервера.

На странице обзора базы данных

1. Чтобы установить правило брандмауэра IP на уровне сервера на странице обзора базы данных, выберите Установить брандмауэр сервера на панели инструментов, как показано на следующем рисунке.

   Откроется страница настроек брандмауэра для сервера.

2. Выберите Добавить IP-адрес клиента на панели инструментов, чтобы добавить IP-адрес компьютера, который вы используете, а затем выберите Сохранить . Правило брандмауэра IP на уровне сервера создается для вашего текущего IP-адреса.

Со страницы обзора сервера

Откроется страница обзора вашего сервера. Он показывает полное имя сервера (например, mynewserver20170403.database.windows.net ) и предоставляет параметры для дальнейшей настройки.

1. Чтобы установить правило уровня сервера на этой странице, выберите Firewall в меню Settings слева.

2. Выберите Добавить IP-адрес клиента на панели инструментов, чтобы добавить IP-адрес компьютера, который вы используете, а затем выберите Сохранить .Правило брандмауэра IP на уровне сервера создается для вашего текущего IP-адреса.

Использование Transact-SQL для управления правилами брандмауэра IP

В следующем примере проверяются существующие правила, включается диапазон IP-адресов на сервере Contoso и удаляется правило брандмауэра IP:

  ВЫБРАТЬ * ИЗ sys.firewall_rules ORDER BY name;
  

Затем добавьте правило брандмауэра IP на уровне сервера.

  ВЫПОЛНИТЬ sp_set_firewall_rule @name = N'ContosoFirewallRule ',
   @start_ip_address = '192.168.1.1 ', @end_ip_address =' ​​192.168.1.10 '
  

Чтобы удалить правило брандмауэра IP на уровне сервера, выполните хранимую процедуру sp_delete_firewall_rule . В следующем примере удаляется правило ContosoFirewallRule :

  EXECUTE sp_delete_firewall_rule @name = N'ContosoFirewallRule '
  

Использование PowerShell для управления правилами брандмауэра IP на уровне сервера

Важно

Модуль PowerShell Azure Resource Manager по-прежнему поддерживается базой данных SQL Azure, но вся разработка сейчас ведется для Az.Модуль sql. Для этих командлетов см. AzureRM.Sql. Аргументы команд в модулях Az и AzureRm практически идентичны.

В следующем примере PowerShell используется для установки правила брандмауэра IP на уровне сервера:

  New-AzSqlServerFirewallRule -ResourceGroupName "myResourceGroup" `
    -ServerName $ servername `
    -FirewallRuleName "ContosoIPRange" -StartIpAddress "192.168.1.0" -EndIpAddress "192.168.1.255"
  

Использование интерфейса командной строки для управления правилами брандмауэра IP на уровне сервера

В следующем примере используется интерфейс командной строки для установки правила брандмауэра IP на уровне сервера:

  az sql server firewall-rule create --resource-group myResourceGroup --server $ servername \
-n ContosoIPRange --start-ip-адрес 192.168.1.0 --end-ip-адрес 192.168.1.255
  

Использование REST API для управления правилами брандмауэра IP на уровне сервера

Устранение неполадок брандмауэра базы данных

Примите во внимание следующие моменты, когда доступ к базе данных SQL Azure работает не так, как вы ожидаете.

• Конфигурация локального межсетевого экрана:

  Прежде чем ваш компьютер сможет получить доступ к базе данных SQL Azure, вам может потребоваться создать исключение брандмауэра на вашем компьютере для TCP-порта 1433. Чтобы установить соединения внутри границы облака Azure, вам может потребоваться открыть дополнительные порты.Дополнительные сведения см. В разделе «База данных SQL: внешняя и внутренняя» в статье «Порты за пределами 1433 для ADO.NET 4.5 и База данных SQL Azure».

• Трансляция сетевых адресов:

  Из-за преобразования сетевых адресов (NAT) IP-адрес, используемый вашим компьютером для подключения к базе данных SQL Azure, может отличаться от IP-адреса в параметрах IP-конфигурации вашего компьютера. Чтобы просмотреть IP-адрес, который ваш компьютер использует для подключения к Azure:

  1. Авторизуйтесь на портале.
  2. Перейдите на вкладку Настроить на сервере, на котором размещена ваша база данных.
  3. Текущий IP-адрес клиента отображается в разделе Разрешенные IP-адреса . Выберите Добавить для Разрешенных IP-адресов , чтобы разрешить этому компьютеру доступ к серверу.

• Изменения в разрешенном списке еще не вступили в силу:

  Изменения в конфигурации брандмауэра базы данных SQL Azure могут вступить в силу с задержкой до пяти минут.

• Логин не авторизован, или был использован неверный пароль:

  Если логин не имеет разрешений на сервере или пароль неверен, соединение с сервером отклоняется. Создание настройки брандмауэра дает клиентам возможность только попытаться подключиться к вашему серверу. Клиент по-прежнему должен предоставить необходимые учетные данные безопасности. Дополнительные сведения о подготовке учетных записей см. В разделе Управление и предоставление доступа к базе данных.

• Динамический IP-адрес:

  Если у вас есть подключение к Интернету, использующее динамическую IP-адресацию, и вам не удается пройти через брандмауэр, попробуйте одно из следующих решений:

  • Узнайте у своего интернет-провайдера диапазон IP-адресов, назначенный вашим клиентским компьютерам, имеющим доступ к серверу. Добавьте этот диапазон IP-адресов в качестве правила брандмауэра IP.
  • Получите статический IP-адрес для своих клиентских компьютеров.Добавьте IP-адреса в качестве правил брандмауэра IP.

Следующие шаги

и NAT на MX

1. Последнее обновление

2. Сохранить как PDF

1. Перенаправление портов
   1. Обзор
   2. Конфигурация
   3. Дополнительные соображения
      1. Перенаправление L2TP / IPsec UDP-портов
      2. Перенаправление TCP 443/80
2. 1: 1 NAT
   1. Обзор
   2. Дополнительная конфигурация
   3. Дополнительная конфигурация
      1. 1: 1 NAT и несколько восходящих каналов MX
      2. 1: 1 NAT и балансировка нагрузки
      3. 1: 1 NAT и фильтрация содержимого
      4. Маршрутизация шпилькой
   4. Примеры конфигураций
      1. Базовая (небезопасная) конфигурация
      2. Подробная (безопасная) ) Конфигурация
3. 1: Многие NAT
   1. Обзор
   2. Конфигурация
4. Устранение неполадок

Серверы за брандмауэром часто должны быть доступны из Интернета.Это можно сделать, реализовав перенаправление портов , 1: 1 NAT (преобразование сетевых адресов) или 1: многие NAT на устройстве безопасности MX. В этой статье обсуждается, когда целесообразно настраивать каждый из них, как настраивать каждый и соответствующие ограничения.

Перенаправление портов

Обзор

Перенаправление портов берет определенные порты TCP или UDP, предназначенные для интернет-интерфейса устройства безопасности MX, и перенаправляет их на определенные внутренние IP-адреса.Это лучше всего подходит для пользователей, у которых нет пула общедоступных IP-адресов. Эта функция может перенаправлять разные порты на разные внутренние IP-адреса, что позволяет нескольким серверам быть доступными с одного и того же общедоступного IP-адреса.

Рисунок 1. Пример конфигурации переадресации портов

Рис. 2. Иллюстрация конфигурации переадресации порта

Конфигурация

1. Перейдите в Безопасность и SD-WAN> Брандмауэр .
2. Щелкните Добавьте правило переадресации портов , чтобы создать новый порт переадресации.
3. Настройте следующее:

• Описание : Предоставьте описание правила
• Восходящий канал: Слушайте общедоступный IP-адрес Интернета 1, Интернета 2 или обоих
• Протокол : TCP или UDP
• Общедоступный порт : Порт назначения трафика, поступающего по WAN
• LAN IP : Локальный IP-адрес, на который будет перенаправляться трафик
• Локальный порт : Порт назначения для перенаправленного трафика, который будет отправлен из MX на указанный хост в LAN; если вы просто хотите перенаправить трафик без перевода порта, он должен быть таким же, как и публичный порт
• Разрешенные удаленные IP-адреса : Удаленные IP-адреса или диапазоны, которым разрешен доступ к внутреннему ресурсу через это правило переадресации портов

Дополнительные соображения

Перенаправление портов UDP L2TP / IPsec

Если настроена переадресация порта для портов UDP 500 или 4500 на конкретный сервер, MX будет перенаправлять весь трафик VPN-соединения между узлами и L2TP / IPsec клиента, отличного от Meraki, на IP-адрес LAN, указанный в переадресации порта.

Перенаправление TCP 443/80

Если настроена переадресация портов для портов 443 или 80, возможно, вы не сможете получить доступ к локальной странице состояния через IP-адрес WAN MX.

Примечание. Это не влияет на возможность доступа клиента локальной сети или межсетевого взаимодействия к локальной странице состояния.

1: 1 NAT

Обзор

1: 1 NAT предназначен для пользователей с несколькими общедоступными IP-адресами, доступными для использования, и для сетей с несколькими серверами за брандмауэром, такими как два веб-сервера и два почтовых сервера.Сопоставление NAT 1: 1 можно настроить только с IP-адресами, которые не принадлежат устройству безопасности MX. Он также может транслировать общедоступные IP-адреса в подсетях, отличных от адреса интерфейса WAN, если интернет-провайдер направляет трафик для подсети к интерфейсу MX. Каждое добавленное преобразование является правилом «один к одному», что означает, что трафик, предназначенный для общедоступного IP-адреса, может идти только на один внутренний IP-адрес. В рамках каждого преобразования пользователь может указать, какие порты будут перенаправлены на внутренний IP-адрес. При добавлении портов для NAT допустимы диапазон портов или список портов, разделенных запятыми.

Рис. 1. Пример конфигурации NAT 1: 1

Рис. 2. Иллюстрация конфигурации NAT 1: 1

Конфигурация

1. Перейдите в Безопасность и SD-WAN> Брандмауэр
2. Щелкните Добавьте сопоставление NAT 1: 1 для создания сопоставления
3. Настройте следующее:

• Имя : описательное имя правила
• Public IP : IP-адрес, который будет использоваться для доступа к внутреннему ресурсу из WAN
• LAN IP : IP-адрес сервера или устройства, на котором размещен внутренний ресурс, который вы хотите сделать доступным в WAN
.
• Uplink : физический интерфейс WAN, на который будет поступать трафик
• Разрешенные входящие соединения: Порты, к которым это сопоставление будет предоставлять доступ, и удаленные IP-адреса, которым будет разрешен доступ к ресурсу.Чтобы включить входящее соединение, нажмите Разрешить больше подключений и введите следующую информацию:
  • Протокол : выберите из TCP , UDP , ICMP ping или любой
  • Порты : введите порт или диапазон портов, которые будут перенаправлены на хост в локальной сети; вы можете указать несколько портов или диапазонов через запятую
  • Удаленные IP-адреса : введите диапазон IP-адресов WAN, которым разрешено устанавливать входящие соединения на указанном порту или диапазоне портов; вы можете указать несколько диапазонов IP-адресов WAN через запятую

Примечание:

• Вы можете переместить настроенное правило вверх или вниз в списке, перетащив символ ✥ .Щелкните X , чтобы полностью удалить правило.
• Создание правила NAT 1: 1 не разрешает автоматически входящий трафик на общедоступный IP-адрес, указанный в сопоставлении NAT. По умолчанию все входящие подключения запрещены. Вам нужно будет настроить Разрешенные входящие соединения , как описано выше, чтобы разрешить входящий трафик.

Дополнительные соображения

1: 1 NAT и несколько восходящих каналов MX

Если первичный восходящий канал MX не совпадает с восходящим каналом 1: 1 NAT, исходящий трафик от устройства LAN NAT 1: 1 по умолчанию будет выходить из первичного восходящего канала MX. Чтобы предотвратить асинхронную маршрутизацию, можно установить предпочтение восходящего канала, которое указывает на тот же восходящий канал, настроенный для NAT 1: 1. Этот параметр конфигурации можно найти в Security & SD-WAN> SD-WAN & Traffic Shaping> Flow Preferences.

Пример:

• MX первичный восходящий канал — WAN 1

• 1: 1 NAT сопоставляется с WAN 2 Uplin k / IP

• Вы хотите, чтобы весь исходящий интернет-трафик, полученный от устройства LAN NAT 1: 1, использовал WAN 2

NAT 1: 1 и балансировка нагрузки

Если MX настроен для балансировки нагрузки трафика через несколько интерфейсов WAN, исходящий трафик от устройства LAN NAT 1: 1 по умолчанию будет выходить из обоих интерфейсов WAN.Чтобы предотвратить асинхронную маршрутизацию, можно создать конфигурацию предпочтений восходящего канала, как показано в примере выше.

NAT 1: 1 и фильтрация содержимого

Когда правило NAT 1: 1 настроено для данного IP-адреса LAN, исходящий трафик этого устройства будет отображаться на общедоступный IP-адрес, настроенный в правиле 1: 1 NAT, а не на первичный IP-адрес WAN для MX. Исключения могут возникать, когда MX выполняет некоторые функции фильтрации содержимого, которые включают его веб-прокси. В этом случае исходящий веб-трафик, инициированный устройством локальной сети NAT 1: 1, будет использовать основной восходящий канал как обычно.

Маршрутизация шпильки

Трафик, поступающий из LAN MX, предназначенный для общедоступного IP-адреса, настроенного в разделе NAT 1: 1, будет маршрутизироваться на частный IP-адрес, связанный с настроенным сопоставлением.

В этом процессе MX примет пакет в LAN и перезапишет заголовок IPv4. Переписанный заголовок будет получен из интерфейса IP / MAC MX или уровня 3, в котором находится целевой клиент, а также предназначен для частного IP / MAC клиента, сопоставленного с NAT 1: 1.

Эта практика действительно добавляет сложности и может быть легко реализована с помощью статических записей DNS, где это применимо.

Примеры конфигураций

Базовая (небезопасная) конфигурация

Можно настроить базовую, но небезопасную конфигурацию NAT 1: 1 для пересылки всего трафика внутреннему клиенту. Это следует настраивать, когда необходимо быстро выполнить NAT 1: 1, но это не рекомендуется из соображений безопасности. Когда все порты перенаправлены клиенту, злоумышленники, использующие сканер портов, могут нацеливаться на уязвимые службы или получить доступ к внутреннему серверу.

Рисунок 1. Пример небезопасной конфигурации NAT 1: 1

Рис. 2. Иллюстрация небезопасной конфигурации NAT 1: 1

Подробная (безопасная) конфигурация

Более продвинутая конфигурация должна включать несколько правил и использовать вторичный восходящий канал для обеспечения избыточности для веб-сервера. Если один из восходящих каналов выходит из строя, вторичный восходящий канал по-прежнему работает, чтобы обеспечить удаленное подключение к внутреннему серверу.Правила NAT 1: 1 также должны быть настроены для ограничения доступа определенных удаленных IP-адресов к определенным службам, таким как RDP.

Рисунок 1. Пример безопасной конфигурации NAT 1: 1

Рис. 2. Пример конфигурации безопасного NAT 1: 1

1: Многие NAT

Обзор

A 1: Многие конфигурации NAT позволяют MX перенаправлять трафик с настроенного общедоступного IP-адреса на внутренние серверы.Однако, в отличие от правила NAT 1: 1, 1: Many NAT позволяет одному общедоступному IP-адресу преобразовываться в несколько внутренних IP-адресов на разных портах. Для каждого определения 1: Многие IP должен быть указан один общедоступный IP-адрес, затем можно настроить несколько правил переадресации портов для перенаправления трафика на разные устройства в локальной сети для каждого порта. Как и в случае NAT 1: 1, определение 1: Many NAT не может использовать IP-адрес, принадлежащий MX.

Рис. 1. Пример 1: Конфигурация многих NAT

Рисунок 2.Иллюстрация 1: множество конфигураций NAT

Конфигурация

1. Перейдите в Безопасность и SD-WAN> Брандмауэр
2. Щелкните Добавьте сопоставление NAT 1: 1 для создания сопоставления
3. Настройте следующее:

• Общедоступный IP-адрес: IP-адрес, который будет использоваться для доступа к внутреннему ресурсу из глобальной сети
• Uplink: Физический интерфейс WAN, на который будет поступать трафик
• Правила: A 1: Многие записи NAT будут созданы с одним связанным правилом переадресации.Чтобы добавить дополнительные правила, щелкните Добавить правило переадресации портов в существующее правило или правила для конкретной записи 1: Многие.
  • Описание : Описание правила
  • Протокол : TCP или UDP
  • Общедоступный порт : Порт назначения трафика, поступающего по WAN
  • LAN IP : Локальный IP-адрес, на который будет перенаправляться трафик
  • Локальный порт : Порт назначения для перенаправленного трафика, который будет отправлен с MX на указанный хост в LAN.Если вы просто хотите перенаправить трафик без преобразования порта, он должен быть таким же, как и публичный порт
  • Разрешенные удаленные IP-адреса : Удаленные IP-адреса или диапазоны, которым разрешен доступ к внутреннему ресурсу через это правило переадресации портов

Устранение неисправностей

Для получения информации об устранении проблем с переадресацией портов и правилами NAT см. в этой статье .

— как убедиться, что порт SSH открыт только для определенного IP-адреса?

Другие ответы используют в своих примерах iptables -I , что часто не то, что вам следует использовать.

iptables выполнит первое подходящее правило, поэтому порядок правил очень важен. -I — это команда «вставить», и ее следует использовать с параметром индекса, чтобы указать, где в списке принадлежит данное правило. -A — это команда «добавить», которая добавит правило в конец списка.

В некоторых дистрибутивах (возможно, во всех) использование -I без параметра индекса добавит правило к первому индексу, делая его первым проверяемым правилом. В этом сценарии, если последняя команда, которую вы выполняете, будет iptables -I INPUT -s tcp 0.0.0.0/0 -j DROP , тогда iptables сбросит весь трафик, независимо от того, есть ли у вас какие-либо правила ACCEPT позже в цепочке. .

Вот пример настройки правила, которое разрешает SSH только с одного IP:

Пуск без правил:

  #> iptables -nL
Цепочка INPUT (политика ACCEPT)
target prot opt ​​источник назначения

Цепочка ВПЕРЕД (политика ПРИНЯТЬ)
target prot opt ​​источник назначения

Цепочка ВЫХОДА (политика ПРИНЯТЬ)
target prot opt ​​источник назначения
  

Добавьте новый параметр «Разрешить SSH от 1.2.3.4 «правило:

#> iptables -A INPUT -p tcp -s 1.2.3.4 --dport 22 -j ACCEPT

Заблокировать SSH со всех остальных IP:

#> iptables -A INPUT -p tcp -s 0.0.0.0/0 --dport 22 -j DROP

Теперь ваша цепочка INPUT будет выглядеть так:

  Цепочка ВВОД (политика ПРИНЯТЬ)
target prot opt ​​источник назначения
ПРИНЯТЬ tcp - 1.2.3.4 0.0.0.0/0 tcp dpt: 22
DROP tcp - 0,0.0,0 / 0 0,0.0.0/0 tcp dpt: 22
  

Позже, если вам нужно добавить второй IP-адрес в белый список, вы можете использовать параметр -I , чтобы поместить его перед правилом черного списка.

#> iptables -I INPUT 2 -p tcp -s 4.3.2.1 --dport 22 -j ACCEPT

  Цепочка ВВОД (политика ПРИНЯТЬ)
target prot opt ​​источник назначения
ПРИНЯТЬ tcp - 1.2.3.4 0.0.0.0/0 tcp dpt: 22
ПРИНЯТЬ tcp - 4.3.2.1 0.0.0.0/0 tcp dpt: 22
DROP tcp - 0.0.0.0/0 0.0.0.0/0 tcp dpt: 22
  

Обратите внимание, что при использовании -I INPUT 2 было добавлено новое правило как правило номер 2 и перенесено правило DROP на номер 3.