WatchGuard Port Forwarding / NAT Estático

2

Estou tentando encaminhar uma porta específica no meu firewall WatchGuard para um host interno em uma VLAN específica. Minha configuração é aproximadamente a seguinte:

 INTERNET
    vv
WatchGuard
    vv--------vv--------vv
  [VLAN1]   [VLAN2]   [VLAN3]
              vv
            Server

Configurei uma regra SNAT de Any-External para o endereço IP do servidor interno sem tradução de porta. Em seguida, adicionei uma política de firewall com

  • Ação: Permitir
  • um filtro personalizado na porta tcp: 10000
  • de qualquer fonte
  • para minha regra snat

Tudo isso é recomendado pelo documentação , mas ao tentar acessá-lo de um ip externo, a porta permanece filtrada e registrada como não tratada (sendo xxx o cliente externo e yyy o ip do firewall):

Process=firewall  Disposition=Deny  Policy=Unhandled External Packet-00  Source IP=xx.xx.xx.xx  Destination IP=yy.yy.yy.yy  Source Interface=0-External  Destination Interface=0-External  Source Port=19852  Destination Port=10000  Protocol=webmin/tcp

Tenho andado a brincar com a tradução de portas, configurações de interface mais específicas para o SNAT e o proxy, em vez de ações de filtro, mas não consigo fazê-lo funcionar. O que estou perdendo?

Editar (2015-06-16): aqui estão as minhas telas de configuração:

Verificação de porta da rede interna:

$ nmap -sT -p 10000 192.168.79.100
[...]
PORT      STATE SERVICE
10000/tcp open  snet-sensor-mgmt
[...]

Porta Verifique a partir da rede externa (no ip yyy da conexão com a internet, xxx sendo uma porta de gerenciamento aberta conhecida):

user@extServer:~# nmap -sT -p xxx,10000 yyy.yyy.yyy.yyy
[...]
PORT      STATE    SERVICE
8089/tcp  open     unknown
10000/tcp filtered snet-sensor-mgmt
[...]
    
por Lars 10.06.2015 / 11:59

2 respostas

1

Acontece que o meu provedor forneceu dois endereços IP para a conexão (sem me notar) e que eu estava falando com o errado o tempo todo. A porta de gerenciamento estava vinculada a todas as interfaces (portanto, estava aberta), mas a porta externa vinculada não era.

Nota para si: verifique os IPs.

com shoutouts para @ B.Z. para rubberducking

    
por 17.06.2015 / 10:17
2

Se você usou 'Any-External' na regra SNAT, então você fez o erro aqui.

Selecione o (s) endereço (s) IP externo (s), que você realmente usará para esta regra SNAT em vez do alias 'Any-External' e as coisas começarão a funcionar.

Ainda assim, você pode usar "Any-External" na regra de filtragem.

O problema está na compreensão do alias 'Any-External'. Todos os endereços IP configurados nas suas portas no firewall são cobertos pelo 'Firebox' do Alias, enquanto o 'Any-External' começa além do endereço IP do gateway do seu provedor. Você poderia criar portas externas de um Alias - que funcionariam bem nas regras do SNAT, mas não no 'Any-External'.

    
por 12.06.2015 / 18:31