关于 Watchguard XTM 策略不允许某些流量通过的问题。我在策略管理器中设置了名为“TCP - NAS”的策略,允许所有 TCP 端口从外部到 SNAT(从 192.168.10.13 -> 192.168.60.4),但我不明白为什么它会阻止某些流量(如下所示)。
XTM 设置为混合路由模式,外部 IP 为 192.168.10.13。NAS 设置为 192.168.60.4。我想允许来自 XTM 外部的流量进入 NAS,这样当人们尝试访问 192.168.10.13 时,就会到达 192.168.60.4。
鉴于该策略允许所有端口,并且作为第一项策略位于顶部(我已关闭自动排序模式),有人可以向我解释为什么我会通过“内部策略”看到拒绝吗?谢谢。
ftp、http 允许通过策略 TCP - NAS
2013-10-04 23:50:29 允许 192.168.10.1 192.168.10.13 ftp/tcp 2555 21 0-外部 0-可选桥接 允许 60 63 (TCP - NAS-00) proc_id="firewall" rc="100" dst_ip_nat="192.168.60.4" tcp_info="offset 10 S 2686556654 win 5840" 流量 2013-10-04 23:50:29 允许 192.168.10.1 192.168.10.13 http/tcp 4722 80 0-外部 0-可选桥接 允许 60 63 (TCP - NAS-00) proc_id="防火墙" rc="100" dst_ip_nat="192.168.60.4" tcp_info="偏移量 10 S 2687441010 win 5840" 流量
端口 8000 被拒绝
2013-10-04 23:50:29 拒绝 192.168.10.1 192.168.10.13 8000/tcp 4019 8000 0-外部 0-可选桥接阻止端口 60 63(内部策略) proc_id="firewall" rc="101" dst_ip_nat="192.168.60.4" tcp_info="offset 10 S 2698964068 win 5840" 流量 2013-10-04 23:50:32 拒绝 192.168.10.1 192.168.10.13 8000/tcp 4019 8000 0-外部 0-可选桥接阻止端口 60 63(内部策略) proc_id="防火墙" rc="101" dst_ip_nat="192.168.60.4" tcp_info="偏移量 10 S 2698964068 win 5840" 流量
通过策略 TCP - NAS 允许 webcache、rdp
2013-10-04 23:50:32 允许 192.168.10.1 192.168.10.13 webcache/tcp 4135 8080 0-外部 0-可选桥接 允许 60 63 (TCP - NAS-00) proc_id="firewall" rc="100" dst_ip_nat="192.168.60.4" tcp_info="offset 10 S 2689599964 win 5840" 流量 2013-10-04 23:50:32 允许 192.168.10.1 192.168.10.13 rdp/tcp 3896 3389 0-外部 0-可选桥接 允许 60 63 (TCP - NAS-00) proc_id="防火墙" rc="100" dst_ip_nat="192.168.60.4" tcp_info="偏移量 10 S 2702431472 win 5840" 流量
答案1
在策略管理器中,转到设置 -> 默认威胁防护 -> 阻止端口。
此处提到的端口无法通过防火墙,即使您添加了允许它们通过的规则也是如此。默认情况下,端口 8000 在那里。从那里将其删除。