Настроить переадресацию портов

Последнее изменение: 21 февраля 2024

Настроить переадресацию портов

Для доступа к серверам, находящимся за межсетевым экраном, можно настроить переадресацию портов (проброс портов, port forwarding). Это позволяет получать доступ к серверу, не зная внутреннего IP-адреса сервера. Пользователи также могут подключаться, используя только те порты, которые были выбраны.

Настройка доступа к серверу по SSH:

1. Создание виртуального IP-адреса.
2. Создание группы виртуальных IP-адресов.
3. Настройка политики безопасности.

Создать виртуальный IP-адрес⁠

Графический интерфейс

Чтобы создать виртуальный IP-адрес (VIP):

1. Перейдите в раздел Policy & Objects → Virtual IPs и создайте новый виртуальный IP-адрес.
2. В качестве External IP Address/Range укажите IP-адрес вашего межсетевого экрана, а в качестве Mapped IP Address/Range внутренний адрес сервера.
3. Включите Port Forwarding. Для Protocol установите значение на TCP, для External Service Port любой свободный порт, для Map to Port установите порт, на котором работает служба SSH вашего сервера. По умолчанию это порт 22.

Консольный интерфейс

Для изменения через CLI введите:

    config firewall vip
        edit "Server SSH"
            set comment "connection to server via ssh"
            set extip <External IP>
            set extintf "wan1"
            set portforward enable
            set mappedip <Internal IP>
            set extport <External port>
            set mappedport <Internal port>
        next
    end

Создать группу виртуальных IP-адресов⁠

Графический интерфейс

Чтобы добавить виртуальные IP-адреса в виртуальную IP-группу:

1. Перейдите в раздел Policy & Objects → Virtual IPs и создайте новую группу.
2. Установите новые виртуальные IP-адреса в Members.

Консольный интерфейс

Для изменения через CLI введите:

    config firewall vipgrp
        edit "Server services"
            set interface <External Interface>
            set member <VIP1> <VIP2>
        next
    end

Настроить политику безопасности⁠

Графический интерфейс

Чтобы разрешить доступ к серверу из интернета:

1. Перейдите в раздел Policy & Objects → IPv4 Policy и создайте новую политику.
2. В качестве Incoming Interface выберите внешний интерфейс, а в качестве Outgoing Interface — внутренний.
3. Выберите в качестве Destination Address виртуальный IP-адрес или группу.

Для этой политики NAT отключен, так что сервер видит исходные адреса источников, которые он получает. Это предпочтительный параметр.

Консольный интерфейс

Для изменения через CLI введите:

    config firewall policy
        edit 2
            set name "Server Access"
            set srcintf <External Interface>
            set dstintf <Internal Interface>
            set srcaddr all
            set dstaddr <VIP>
            set action accept
            set schedule always
            set service ALL
        next
    end