Estou tentando encaminhar uma porta específica no meu firewall WatchGuard para um host interno em uma VLAN específica. Minha configuração é aproximadamente a seguinte:
INTERNET
vv
WatchGuard
vv--------vv--------vv
[VLAN1] [VLAN2] [VLAN3]
vv
Server
Configurei uma regra SNAT de Any-External
para o endereço IP do servidor interno sem tradução de porta. Em seguida, adicionei uma política de firewall com
- Ação: Permitir
- um filtro personalizado na porta tcp: 10000
- de qualquer fonte
- para minha regra snat
Tudo isso é recomendado pelo documentação , mas ao tentar acessá-lo de um ip externo, a porta permanece filtrada e registrada como não tratada (sendo xxx o cliente externo e yyy o ip do firewall):
Process=firewall Disposition=Deny Policy=Unhandled External Packet-00 Source IP=xx.xx.xx.xx Destination IP=yy.yy.yy.yy Source Interface=0-External Destination Interface=0-External Source Port=19852 Destination Port=10000 Protocol=webmin/tcp
Tenho andado a brincar com a tradução de portas, configurações de interface mais específicas para o SNAT e o proxy, em vez de ações de filtro, mas não consigo fazê-lo funcionar. O que estou perdendo?
Editar (2015-06-16): aqui estão as minhas telas de configuração:
Verificação de porta da rede interna:
$ nmap -sT -p 10000 192.168.79.100
[...]
PORT STATE SERVICE
10000/tcp open snet-sensor-mgmt
[...]
Porta Verifique a partir da rede externa (no ip yyy da conexão com a internet, xxx sendo uma porta de gerenciamento aberta conhecida):
user@extServer:~# nmap -sT -p xxx,10000 yyy.yyy.yyy.yyy
[...]
PORT STATE SERVICE
8089/tcp open unknown
10000/tcp filtered snet-sensor-mgmt
[...]