WatchGuard，外部 IP，不同端口

Question 1

WatchGuard 上的 SNAT 实际上分为两个部分，以便于使用。然而，这给习惯于使用单步处理 SNAT 解决方案的用户带来了理解设置的问题。

第一步是 SNAT 操作。它们仅定义外部到内部 IP 地址转换和您想要转换到的内部端口的不同可能组合。这只是您设置的可能性列表，如别名。它们都不是活动的，直到您在防火墙规则中使用它。

对于 RDP 连接，您可以设置如下 SNAT 操作：

Name: Ext_123-RDP_101
SNAT Members: 123.123.123.123 -> 10.10.10.101:3389 

Name: Ext_123-RDP_102
SNAT Members: 123.123.123.123 -> 10.10.10.102:3389 

Name: Ext_123-RDP_103
SNAT Members: 123.123.123.123 -> 10.10.10.103:3389

这就是翻译部分。接下来，您需要设置防火墙规则。由于保持 RDP 端口开放从来都不是明智之举，因此我将使用经过身份验证的用户（通过https://防火墙 IP:4100) 属于组“Allow-RDP”。

您将需要 3 条规则，这些规则将使用您已定义的 SNAT 操作。由于端口 3111-311x 没有标准服务，因此您将创建一个名为 SNAT-RDP 的自定义模板并添加 TCP 端口范围 3111-3113，然后根据此模板创建 3 条新的防火墙规则。

Name the new rules something like 'RDP-IN-101', 'RDP-IN-102' and 'RDP-IN-103'

'RDP-IN-101':
In the FROM: field put the authenticated users name (if it is for the access to his own PC) 
       or the 'Allow-RDP' groupname (if it is for the access to a shared computer).
In the TO: field put the Ext_123-RDP_101 SNAT Action

'RDP-IN-102':
In the FROM: field put the authenticated users name (if it is for the access to his own PC) 
       or the 'Allow-RDP' groupname (if it is for the access to a shared computer).
In the TO: field put the Ext_123-RDP_102 SNAT Action

'RDP-IN-103':
In the FROM: field put the authenticated users name (if it is for the access to his own PC) 
       or the 'Allow-RDP' groupname (if it is for the access to a shared computer).
In the TO: field put the Ext_123-RDP_103 SNAT Action

为了对发生的事情进行一些控制，您还应该打开这些规则的日志记录。

但就这样了。上传到 FB 并享受吧。

在这种情况下，SNAT 操作实际上并不是简化。但是，如果您有一些更通用的 SNAT（例如，对于某些服务器），则对于从一个外部 IP 地址连接到该服务器的所有规则，您只需要一个“可重复使用”的 SNAT 操作。当端口转换也加入游戏时，SNAT 操作不是“可重复使用的”，因此您看不到它的好处。

Answer

WatchGuard 上的 SNAT 实际上分为两个部分，以便于使用。然而，这给习惯于使用单步处理 SNAT 解决方案的用户带来了理解设置的问题。

第一步是 SNAT 操作。它们仅定义外部到内部 IP 地址转换和您想要转换到的内部端口的不同可能组合。这只是您设置的可能性列表，如别名。它们都不是活动的，直到您在防火墙规则中使用它。

对于 RDP 连接，您可以设置如下 SNAT 操作：

Name: Ext_123-RDP_101
SNAT Members: 123.123.123.123 -> 10.10.10.101:3389 

Name: Ext_123-RDP_102
SNAT Members: 123.123.123.123 -> 10.10.10.102:3389 

Name: Ext_123-RDP_103
SNAT Members: 123.123.123.123 -> 10.10.10.103:3389

这就是翻译部分。接下来，您需要设置防火墙规则。由于保持 RDP 端口开放从来都不是明智之举，因此我将使用经过身份验证的用户（通过https://防火墙 IP:4100) 属于组“Allow-RDP”。

您将需要 3 条规则，这些规则将使用您已定义的 SNAT 操作。由于端口 3111-311x 没有标准服务，因此您将创建一个名为 SNAT-RDP 的自定义模板并添加 TCP 端口范围 3111-3113，然后根据此模板创建 3 条新的防火墙规则。

Name the new rules something like 'RDP-IN-101', 'RDP-IN-102' and 'RDP-IN-103'

'RDP-IN-101':
In the FROM: field put the authenticated users name (if it is for the access to his own PC) 
       or the 'Allow-RDP' groupname (if it is for the access to a shared computer).
In the TO: field put the Ext_123-RDP_101 SNAT Action

'RDP-IN-102':
In the FROM: field put the authenticated users name (if it is for the access to his own PC) 
       or the 'Allow-RDP' groupname (if it is for the access to a shared computer).
In the TO: field put the Ext_123-RDP_102 SNAT Action

'RDP-IN-103':
In the FROM: field put the authenticated users name (if it is for the access to his own PC) 
       or the 'Allow-RDP' groupname (if it is for the access to a shared computer).
In the TO: field put the Ext_123-RDP_103 SNAT Action

为了对发生的事情进行一些控制，您还应该打开这些规则的日志记录。

但就这样了。上传到 FB 并享受吧。

在这种情况下，SNAT 操作实际上并不是简化。但是，如果您有一些更通用的 SNAT（例如，对于某些服务器），则对于从一个外部 IP 地址连接到该服务器的所有规则，您只需要一个“可重复使用”的 SNAT 操作。当端口转换也加入游戏时，SNAT 操作不是“可重复使用的”，因此您看不到它的好处。

Question 2

如果我理解正确的话，如果您想使用 RDP 访问这些内部服务器，则需要执行以下操作：

123.123.123.123:3111 -> 10.10.10.101:3389
123.123.123.123:3112 -> 10.10.10.102:3389
123.123.123.123:3113 -> 10.10.10.103:3389

RDP 使用端口 TCP/UDP 3389，您可以通过在 Watchguard 中使用端口转发进行 NAT 来实现这一点。阅读以下内容：https://en.wikipedia.org/wiki/Remote_Desktop_Protocol

请参阅此处的说明：

配置静态 NAT

如何在 Watchguard XTM 2 上配置端口转发？

Answer