NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Примечание<br />
Контактным адресом клиентов, зарегистрированных на proxy-сервере в<br />
зоне DMZ, будет IP-адрес DMZ-интерфейса.<br />
• Правило Allow для исходящего трафика, отправленного от proxy-сервера, находящегося позади<br />
DMZ-интерфейса, удаленным клиентам в сети Интернет.<br />
• Правило Allow для входящего SIP-трафика, направленного от SIP proxy-сервера, находящегося<br />
позади DMZ-интерфейса, на IP-адрес межсетевого экрана NetDefend. Данное правило использует<br />
интерфейс core в качестве интерфейса назначения.<br />
Причиной этого является правило NAT, указанное выше. При получении входящего вызова,<br />
NetDefendOS автоматически определяет локального получателя, выполняет передачу адреса и<br />
перенаправляет SIP-сообщения получателю. Это выполняется на основе статуса внутреннего SIP<br />
ALG.<br />
• Правило Allow для входящего трафика, направленного, например, из сети Интернет, на proxyсервер,<br />
находящийся позади DMZ.<br />
4. Если на proxy-сервере выключена функция Record-Route, необходимо разрешить прямой<br />
обмен сообщениями между клиентами с игнорированием proxy-сервера. При отключенной функции<br />
Record-Route требуются два следующих дополнительных правила:<br />
• Правило NAT для исходящего трафика, направленного от клиентов, находящихся во<br />
внутренней сети, к внешним клиентам и proxy-серверам, например, в сети Интернет. SIP ALG следит<br />
за преобразованием всех адресов в соответствии с правилом NAT. Преобразование выполняется как<br />
на IP-уровне, так и на уровне приложений.<br />
• Правило Allow для входящего SIP-трафика, направленного, например, из сети Интернет на IPадрес<br />
DMZ-интерфейса. Необходимо добавить это правило, так как локальные клиенты будут<br />
натированы с использованием IP-адреса DMZ-интерфейса, когда они регистрируются с proxyсервером,<br />
расположенным в зоне DMZ.<br />
Данное правило использует интерфейс core в качестве интерфейса назначения. При получении<br />
входящего вызова, система NetDefendOS использует регистрационную информацию локального<br />
получателя для автоматического определения этого получателя, выполнения преобразования адреса<br />
и перенаправления SIP-сообщений получателю. Это выполняется на основе внутреннего статуса SIP<br />
ALG.<br />
При включенной функции Record-Route требуются следующие IP-правила:<br />
Действие<br />
(Action)<br />
Интерфейс<br />
источника<br />
(Src<br />
Interface)<br />
Сеть<br />
источника<br />
(Src<br />
Network)<br />
Интерфейс<br />
назначения<br />
(Dest<br />
Interface)<br />
Сеть<br />
назначения<br />
(Dest<br />
Network)<br />
OutboundToProxy NAT lan lannet dmz ip_proxy<br />
OutboundFromProxy Allow dmz ip_proxy wan all-nets<br />
InboundFromProxy Allow dmz ip_proxy core dmz_ip<br />
InboundToProxy Allow wan all-nets dmz ip_proxy<br />
Если функция Record-Route выключена, необходимо добавить следующие IP-правила:<br />
Действие<br />
(Action)<br />
Интерфейс<br />
источника<br />
(Src<br />
Interface)<br />
Сеть<br />
источника<br />
(Src<br />
Network)<br />
Интерфейс<br />
назначения<br />
(Dest<br />
Interface)<br />
Сеть<br />
назначения<br />
(Dest<br />
Network)<br />
OutboundBypassProxy NAT lan lannet wan all-nets<br />
InboundBypassProxy Allow wan all-nets core ipdmz<br />
269