[ESR] Пример настройки проброса портов на маршрутизаторах ESR
Создаем порт
object-group service HTTP
port-range 8080
exit
Создаем IP адреса аплинка и сервера, до которого планируем пробросить порт
object-group network UPLINK
ip address-range X.X.X.X - где X.X.X.X белый IP маршрутизатора без маски
exit
object-group network SERVER
ip address-range Y.Y.Y.Y где Y.Y.Y.Y белый IP серввера без маски
exit
Объявляем зоны безопасности
security zone untrusted
exit
security zone trusted
exit
Создаем бридж (нужно, если планируем использовать одну серую сеть на нескольких портах)
bridge 1
vlan 2 (опционально)
security-zone trusted
ip address Y.Y.Y.Y/24
enable
exit
interface gigabitethernet 1/0/1
description "UPLINLK"
security-zone untrusted
ip address X.X.X.X/n -где n – размер маски подсети белой подсети
exit
interface gigabitethernet 1/0/2
mode switchport
security-zone trusted
switchport access vlan 2 (опционально, если этот vlan был объявлен в bridge 1)
exit
Настроим firewall для прохождения трафика к серверу по порту 8080
security zone-pair untrusted trusted
rule 1
action permit
match protocol tcp
match destination-address SERVER
match destination-port HTTP
enable
exit
exit
Создадим правило, разрешающее любой исходящий трафик из локальной сети в сторону интернета
security zone-pair trusted untrusted
rule 1
action permit
match protocol any
match source-address any
match destination-address any
enable
exit
exit
Создадим правило, позволяющее прохождение локального трафика без ограничений.
security zone-pair trusted trusted
rule 1
action permit
match protocol any
match source-address any
match destination-address any
enable
exit
exit
- Если в будущем планируются какие любо ограничения локального трафика, рекомендуется задать номер правила побольше, например 10, чтобы правила, создаваемые в будущем, можно было легко поставить приоритетом выше или ниже только что созданного правила.
Создадим пул адресов, на который будет транслироваться трафик
nat destination
pool SERVER
ip address Y.Y.Y.Y
exit
*Если необходимо обращаться на белый IP по одному порту (например 8080), но в локальной сети попадать на сервер на другой порт (например 80), в пуле нужно указать номер порта назначения.
Если требуется пробросить порт симметрично, то писать «ip port 80» нужно
pool SERVER
ip address Y.Y.Y.Y
ip port 80
exit
Создадим правило проброса портов
*Для проброса tcp и udp портов с одинаковым значением придется создать два отдельных правила для tcp и udp соответственно.
ruleset DNAT
from zone untrusted
rule 1
match protocol tcp
match destination-address UPLINK
match destination-port HTTP
action destination-nat pool SERVER
enable
exit
Настроим исходящий NAT
nat source
ruleset factory
to zone untrusted
rule 1
action source-nat interface
enable
exit
exit
exit
Источник:
docs.eltex-co.ru