NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
В последнем наборе правил оба правила определяют трансляцию адреса назначения, и только одно<br />
из них будет выполняться. При попытке внутреннего соединения с публичным адресом WEBсервера,<br />
данный запрос будет перенаправлен на сервер внутренней сети. При других обращениях к<br />
публичному адресу WEB-сервера, запросы будут перенаправляться на приватный адрес публично<br />
доступного WEB-сервера.<br />
Следует еще раз напомнить, что для того чтобы все представленные выше правила были выполнены,<br />
требуется наличие соответствующих правил с действием «Allow».<br />
7.4.7. SAT-правила и FwdFast-правила<br />
Статическое преобразование адресов можно использовать совместно с FwdFast-правилами, однако<br />
обратный трафик должен быть точно передан и транслирован.<br />
Следующие правила служат примером выполнения статического преобразования адресов с<br />
использованием FwdFast-правил в отношении WEB-сервера, размещенного во внутренней сети.<br />
# Действие<br />
Интерфейс<br />
источника<br />
Сеть<br />
источника<br />
Интерфейс<br />
назначения<br />
Сеть<br />
назначения Параметры<br />
1 SAT any all-nets core wan_ip http SETDEST wwwsrv 80<br />
2 SAT lan wwwsrv any all-nets 80 -> All SETSRC wan_ip 80<br />
3 FwdFast any all-nets core wan_ip http<br />
4 FwdFast lan wwwsrv any all-nets 80 -> All<br />
К данному набору правил необходимо добавить NAT-правило, чтобы разрешить всем соединениям<br />
внутренней сети доступ в Интернет.<br />
# Действие<br />
Интерфейс<br />
источника<br />
Сеть<br />
источника<br />
Интерфейс<br />
назначения<br />
Сеть<br />
назначения Параметры<br />
1 NAT lan lannet any all-nets All<br />
Последовательность выполнения представленных правил такова:<br />
• Внешний трафик к wan_ip:80 соответствует правилам 1 и 3 и будет перенаправлен на wwwsrv.<br />
Первый пункт выполняется правильно.<br />
• Обратный трафик с wwwsrv:80 соответствует правилам 2 и 4, и его адрес источника будет<br />
преобразован в wan_ip:80. Второй пункт выполняется правильно.<br />
• Внутренний трафик к wan_ip:80 соответствует правилам 1 и 3 и будет перенаправлен на wwwsrv.<br />
Третий пункт выполняется почти правильно. Пакеты поступят на wwwsrv, но обратный трафик от<br />
wwwsrv:80 к компьютерам внутренней сети будет направлен напрямую. Такой механизм не будет<br />
работать корректно, т.к. пакеты будут интерпретированы как поступившие с несоответствующего<br />
адреса.<br />
Поменяем последовательность выполнения правил, поставив NAT-правило между SAT-правилами и<br />
FwdFast-правилами.<br />
# Действие<br />
Интерфейс<br />
источника<br />
Сеть<br />
источника<br />
Интерфейс<br />
назначения<br />
Сеть<br />
назначения Параметры<br />
1 SAT any all-nets core wan_ip http SETDEST wwwsrv 80<br />
2 SAT lan wwwsrv any all-nets 80 -> All SETSRC wan_ip 80<br />
3 NAT lan lannet any all-nets All<br />
4 FwdFast any all-nets core wan_ip http<br />
5 FwdFast lan wwwsrv any all-nets 80 -> All<br />
Посмотрим, что изменится.<br />
• Внешний трафик к wan_ip:80 соответствует правилам 1 и 3 и будет перенаправлен на wwwsrv.<br />
Первый пункт выполняется правильно.<br />
• Обратный трафик с wwwsrv:80 соответствует правилам 2 и 3, поэтому ответы будут динамически<br />
транслироваться. Вследствие этого порт источника изменится на совершенно другой порт, который<br />
не будет работать.<br />
346