WatchGuard,外部 IP,不同端口

WatchGuard,外部 IP,不同端口

我有几个外部 IP 地址,但我想使用一个,并将其 NAT 到不同的 PC。

它看起来应该是这样的。

123.123.123.123 这是我的 IP,我想在其不同端口上连接 3 台 PC,例如 3111、3112、3113。

我知道如何对内部端口进行 NAT,但我不知道如何设置,以便可以通过这些端口上的 RDP 连接到该 IP。

123.123.123.123:3111 -> 10.10.10.101
123.123.123.123:3112 -> 10.10.10.102
123.123.123.123:3113 -> 10.10.10.103

有什么想法吗?我认为这可能是 SNAT 的问题(但在外部 IP 上没有可设置的端口),或者可能是策略的问题?

抱歉我的信息有点混乱,无论如何我希望你能理解我。

此致

答案1

WatchGuard 上的 SNAT 实际上分为两个部分,以便于使用。然而,这给习惯于使用单步处理 SNAT 解决方案的用户带来了理解设置的问题。

第一步是 SNAT 操作。它们仅定义外部到内部 IP 地址转换和您想要转换到的内部端口的不同可能组合。这只是您设置的可能性列表,如别名。它们都不是活动的,直到您在防火墙规则中使用它。

对于 RDP 连接,您可以设置如下 SNAT 操作:

Name: Ext_123-RDP_101
SNAT Members: 123.123.123.123 -> 10.10.10.101:3389 

Name: Ext_123-RDP_102
SNAT Members: 123.123.123.123 -> 10.10.10.102:3389 

Name: Ext_123-RDP_103
SNAT Members: 123.123.123.123 -> 10.10.10.103:3389 

这就是翻译部分。接下来,您需要设置防火墙规则。由于保持 RDP 端口开放从来都不是明智之举,因此我将使用经过身份验证的用户(通过https://防火墙 IP:4100) 属于组“Allow-RDP”。

您将需要 3 条规则,这些规则将使用您已定义的 SNAT 操作。由于端口 3111-311x 没有标准服务,因此您将创建一个名为 SNAT-RDP 的自定义模板并添加 TCP 端口范围 3111-3113,然后根据此模板创建 3 条新的防火墙规则。

Name the new rules something like 'RDP-IN-101', 'RDP-IN-102' and 'RDP-IN-103'

'RDP-IN-101':
In the FROM: field put the authenticated users name (if it is for the access to his own PC) 
       or the 'Allow-RDP' groupname (if it is for the access to a shared computer).
In the TO: field put the Ext_123-RDP_101 SNAT Action

'RDP-IN-102':
In the FROM: field put the authenticated users name (if it is for the access to his own PC) 
       or the 'Allow-RDP' groupname (if it is for the access to a shared computer).
In the TO: field put the Ext_123-RDP_102 SNAT Action

'RDP-IN-103':
In the FROM: field put the authenticated users name (if it is for the access to his own PC) 
       or the 'Allow-RDP' groupname (if it is for the access to a shared computer).
In the TO: field put the Ext_123-RDP_103 SNAT Action

为了对发生的事情进行一些控制,您还应该打开这些规则的日志记录。

但就这样了。上传到 FB 并享受吧。

在这种情况下,SNAT 操作实际上并不是简化。但是,如果您有一些更通用的 SNAT(例如,对于某些服务器),则对于从一个外部 IP 地址连接到该服务器的所有规则,您只需要一个“可重复使用”的 SNAT 操作。当端口转换也加入游戏时,SNAT 操作不是“可重复使用的”,因此您看不到它的好处。

答案2

如果我理解正确的话,如果您想使用 RDP 访问这些内部服务器,则需要执行以下操作:

123.123.123.123:3111 -> 10.10.10.101:3389
123.123.123.123:3112 -> 10.10.10.102:3389
123.123.123.123:3113 -> 10.10.10.103:3389

RDP 使用端口 TCP/UDP 3389,您可以通过在 Watchguard 中使用端口转发进行 NAT 来实现这一点。阅读以下内容:https://en.wikipedia.org/wiki/Remote_Desktop_Protocol

请参阅此处的说明:

配置静态 NAT

如何在 Watchguard XTM 2 上配置端口转发?

相关内容