0
Корзина пуста
Назад к статьям

[ESR] Пример настройки проброса портов на маршрутизаторах ESR

Для начала нужно создать объекты, которыми будем оперировать дальше в конфигурации.

Создаем порт

object-group service HTTP

  port-range 8080

exit

 

Создаем IP адреса аплинка и сервера, до которого планируем пробросить порт

object-group network UPLINK

  ip address-range X.X.X.X   - где X.X.X.X белый IP маршрутизатора без маски

exit

object-group network SERVER

  ip address-range Y.Y.Y.Y где Y.Y.Y.Y белый IP серввера без маски

exit

 

Объявляем зоны безопасности

security zone untrusted

exit

security zone trusted

exit

 

Создаем бридж (нужно, если планируем использовать одну серую сеть на нескольких портах)

bridge 1

  vlan 2  (опционально)

  security-zone trusted

  ip address Y.Y.Y.Y/24

  enable

exit

 

interface gigabitethernet 1/0/1

  description "UPLINLK"

  security-zone untrusted

  ip address X.X.X.X/n   -где n – размер маски подсети белой подсети

exit

interface gigabitethernet 1/0/2

  mode switchport

  security-zone trusted

  switchport access vlan 2 (опционально, если этот vlan был объявлен в bridge 1)

exit

 

Настроим firewall для прохождения трафика к серверу по порту 8080

security zone-pair untrusted trusted

  rule 1

    action permit

    match protocol tcp

    match destination-address SERVER

    match destination-port HTTP

    enable

  exit

exit

 

Создадим правило, разрешающее любой исходящий трафик из локальной сети в сторону интернета

security zone-pair trusted untrusted

  rule 1

    action permit

    match protocol any

    match source-address any

    match destination-address any

    enable

  exit

exit

 

Создадим правило, позволяющее прохождение локального трафика без ограничений.

security zone-pair trusted trusted

  rule 1

    action permit

    match protocol any

    match source-address any

    match destination-address any

    enable

  exit

exit

  • Если в будущем планируются какие любо ограничения локального трафика, рекомендуется задать номер правила побольше, например 10, чтобы правила, создаваемые в будущем, можно было легко поставить приоритетом выше или ниже только что созданного правила.

 

Создадим пул адресов, на который будет транслироваться трафик

nat destination

  pool SERVER

    ip address Y.Y.Y.Y

  exit

 

  *Если необходимо обращаться на белый IP по одному порту (например 8080), но в локальной сети попадать на сервер на другой порт (например 80), в пуле нужно указать номер порта назначения.
Если требуется пробросить порт симметрично, то писать «ip port 80» нужно

  pool SERVER

    ip address Y.Y.Y.Y

    ip port 80

  exit

 

  Создадим правило проброса портов

*Для проброса tcp и udp портов с одинаковым значением придется создать два отдельных правила для tcp и udp соответственно.

  ruleset DNAT

    from zone untrusted

    rule 1

      match protocol tcp

      match destination-address UPLINK

      match destination-port HTTP

      action destination-nat pool SERVER

      enable

    exit

 

Настроим исходящий NAT       

nat source

  ruleset factory

    to zone untrusted

    rule 1

      action source-nat interface

      enable

    exit

  exit

exit

 

закрыть