Настроить переадресацию портов
Для доступа к серверам, находящимся за межсетевым экраном, можно настроить переадресацию портов (проброс портов, port forwarding). Это позволяет получать доступ к серверу, не зная внутреннего IP-адреса сервера. Пользователи также могут подключаться, используя только те порты, которые были выбраны.
Настройка доступа к серверу по SSH:
- Создание виртуального IP-адреса.
- Создание группы виртуальных IP-адресов.
- Настройка политики безопасности.
Создать виртуальный IP-адрес
Графический интерфейс
Консольный интерфейс
Чтобы создать виртуальный IP-адрес (VIP):
- Перейдите в раздел Policy & Objects → Virtual IPs и создайте новый виртуальный IP-адрес.
- В качестве External IP Address/Range укажите IP-адрес вашего межсетевого экрана, а в качестве Mapped IP Address/Range внутренний адрес сервера.
- Включите Port Forwarding. Для Protocol установите значение на TCP, для External Service Port любой свободный порт, для Map to Port установите порт, на котором работает служба SSH вашего сервера. По умолчанию это порт
22
.
Для изменения через CLI введите:
config firewall vip
edit "Server SSH"
set comment "connection to server via ssh"
set extip <External IP>
set extintf "wan1"
set portforward enable
set mappedip <Internal IP>
set extport <External port>
set mappedport <Internal port>
next
end
Создать группу виртуальных IP-адресов
Графический интерфейс
Консольный интерфейс
Чтобы добавить виртуальные IP-адреса в виртуальную IP-группу:
- Перейдите в раздел Policy & Objects → Virtual IPs и создайте новую группу.
- Установите новые виртуальные IP-адреса в Members.
Для изменения через CLI введите:
config firewall vipgrp
edit "Server services"
set interface <External Interface>
set member <VIP1> <VIP2>
next
end
Настроить политику безопасности
Графический интерфейс
Консольный интерфейс
Чтобы разрешить доступ к серверу из интернета:
- Перейдите в раздел Policy & Objects → IPv4 Policy и создайте новую политику.
- В качестве Incoming Interface выберите внешний интерфейс, а в качестве Outgoing Interface — внутренний.
- Выберите в качестве Destination Address виртуальный IP-адрес или группу.
Для этой политики NAT отключен, так что сервер видит исходные адреса источников, которые он получает. Это предпочтительный параметр.
Для изменения через CLI введите:
config firewall policy
edit 2
set name "Server Access"
set srcintf <External Interface>
set dstintf <Internal Interface>
set srcaddr all
set dstaddr <VIP>
set action accept
set schedule always
set service ALL
next
end