Necessita de esclarecimento para as políticas NAS do assistente Sonicwall “Public Server”

Question

Necessita de esclarecimento para as políticas NAS do assistente Sonicwall “Public Server”

#1 resposta do (1 votos)

0

Eu usei o assistente "Servidor público" SonicWall TZ105 para adicionar políticas de NAT a um servidor interno (não-DMZ), mas não entendi a necessidade de todas as políticas personalizadas resultantes:

#   Source                     Destin.                 Service               Interface
    Original      Translated   Original   Translated   Original  Translated  In   Out
--  ------------  -----------  ---------  -----------  --------- ----------- ---  ---
1   Firewalled    MyServer     MyServer   MyServer     MyServer  Original    Any  Any
    Subnets       Public       Public     Private      Services

2   MyServer      MyServer     Any        Original     MyServer  Original    Any  X1
    Private       Public                               Services

3   Any           Original     MyServer   MyServer     MyServer  Original    Any  Any
                               Public     Private      Services

4   Any           WAN          Any        Original     Any       Original    X0   X1
                  Primary IP

A política 4 parece ser a regra geral que permite que todos os hosts internos acessem a Internet usando o IP público / WAN.

A política 3 parece permitir que conexões de entrada acessem o servidor, o que eu definitivamente preciso, já que é o que estou tentando realizar.

A política 2 parece garantir que todas as conexões de saída pelos serviços do servidor são mapeadas para o endereço IP da WAN correto? Se tivermos apenas um endereço IP, isso é necessário? Sem essa regra, as conexões de saída do servidor não seriam simplesmente mapeadas com a regra nº 4?

A política 1 parece corresponder às tentativas de hosts internos de alcançar o servidor usando o IP da WAN e mapear o endereço IP de volta para o endereço IP interno, impedindo que o tráfego interno saia da rede interna? Isso está correto? Em caso afirmativo, qual é a importância de tal regra, uma vez que a rede interna tem DNS e o nome do host será resolvido para o endereço IP privado em nossa rede. Esta regra entraria em vigor se o SSLVPN fosse usado para acessar a rede e acessar o serviço?

Como temos vários servidores protegidos por esse firewall, tentamos manter a tela das políticas o mais organizada possível e gostaríamos de evitar a adição de políticas como 1 e 2, se já estiverem efetivamente cobertas por políticas como 4 e nosso DNS interno servidor. Não espero que recebamos mais endereços IP.

networking firewall router nat

por simpleuser 22.02.2015 / 20:09

1 resposta

Tags networking firewall router nat

stencils de arquitetura do sistema para omnigraffle? [fechadas] Não é possível conectar-se ao compartilhamento de arquivos remoto do Windows 7 PC para o Windows 2012 Server

score 1 · Accepted Answer

Na ordem que você listou:

Política 4: Você está correto.

Política 3: você está correto.

Política 2: Você está bem correto. Se você tiver apenas um IP público, todo o tráfego será NATed para ele. Esta é uma regra explícita que é útil quando você tem um intervalo de IPs públicos e serviços diferentes em IPs diferentes.

Política 1: essa regra é uma regra de NAT suspensa que redireciona os clientes internos de volta ao IP privado, como você indicou. Se um cliente interno usar um servidor DNS diferente do seu, eles não receberão o endereço interno, eles receberão o IP público. É por isso que essa regra é necessária.

Você pode conseguir passar sem a Política 1 e 2, mas pode não valer a pena se você fizer alterações.