Come Pubblicare la porta WAN del firewall avendo un unico
by user
Comments
Transcript
Come Pubblicare la porta WAN del firewall avendo un unico
Come Pubblicare la porta WAN del firewall avendo un unico indirizzo pubblico sul router a disposizione. Partendo dalla seguente situazione: LAN Firewall Locale--------Æ LAN FW --------Æ WAN FW Router LAN Router -----ÆInternet WAN Router Immaginiamo di essere nella condizione di avere un solo ip pubblico sulla porta WAN del router, e di avere l’esigenza di dover pubblicare dei servizi dietro la lan o la dmz del firewall. Quindi praticamente avere l’indirizzo pubblico direttamente sulla porta WAN. La presente configurazione prevede come standard di configurazione un doppio NAT. Quindi (esempio): -LAN Firewall: 192.168.4.1 conindirizzi 192.168.4.0/24 -WAN Firewall: 10.0.0.2 con gateway 10.0.0.1 Ricordiamoci di abilitare il NAT sulla WAN del firewall come mostrato in figura. -LAN router 10.0.0.1 WAN router con ip pubblico (statico o dinamico), NAT impostato come SUA Only. In questa situazione si dovrebbe riuscire a navigare senza problemi. Per rendere pubblica la WAN del firewall si deve: -Disabilitare l’eventuale firewall presente sul router utilizzato (il firewall effettivo verrà fatto dallo ZyWALL): Andare sul menù NAT del router (selezionando l’edit detail accanto a SUA Only) e reindirizzare tutte le porte (tramite l’opzioneAll Port del SUA Server): A questo punto tutte le sessioni TCP/UDP dirette verso la WAN del router, vengono reindirizzate verso la portaWAN del firewall (10.0.0.2 nel nostro esempio). Daqui ora apriremo le regole di security e reindirizzeremo i servizi che ci servono direttamente sul firewall. Ricordiamo che avendo più ip pubblici si consilia di: -disabilitare firewall e NAT sul router assenando direttamente l’ip pubblico sulla portaLAN del router e niente sulla WAN; -assegnare un altro ip pubblico sulla porta WAN del firewall indicando come gateway l’ip pubblico del router. In questo caso tutti i servizi punteranno direttamente alla wan pubblica del firewall.