Как опубликовать локальный сервер через портмаппинг

В начало  Назад  Далее

Инструкция по созданию правила DNAT в Firewall'е Ideco:

1.Настроить авторизацию по IP для локального сервера. Сервер должен быть авторизован на Ideco ICS и иметь доступ к сети Интернет для того чтобы порт был проброшен на него.
2.Создать правило портмаппинг (DNAT) в разделе "Системном Firewall" в Веб-интерфейсе (в пользовательском правило работать не будет).
Например, если адрес локального веб-сервера 192.168.1.2, а внешний адрес у сервера Ideco ICS 87.00.00.77, то создаёте следующее правило:

portmapping1

3.Применить настройки, нажав кнопку интерфейса в виде зеленой галочки "перезапустить фаервол".

 
* Примечание: Если вы хотите опубликовать другую службу, то в место 80 нужно написать порт этой службы, (например, для SMTP это 25)

Замечание:

Для того, чтобы из локальной сети тоже можно было подключаться на внешний IP-адрес необходимо:

1.На сервере в локальной сети добавить дополнительный IP-адрес из отдельной непересекающейся сети. (например, если у вас сеть 10.0.0.1/255.255.255.0, то 10.0.1.2/255.255.255.0). Если доступ по существующему IP-адресу в локальной сети не предполагается, то можно просто заменить существующий адрес на новый.
2.На локальной сетевой карте сервера Ideco настроить дополнительный IP-адрес из выбранной подсети (например, 10.0.1.1/255.255.255.0).
3.Настроить авторизацию по IP для нового IP-адреса (10.0.1.2).
4.Создать правило портмаппинг (DNAT) в разделе "Системный Firewall" в Веб-интерфейсе.
пример, если адрес локального сервера 10.0.1.2, а у ideco 87.00.00.77, то делаете создаёте следующее правило:

portmapping3
По сути это означает, что для этого сервера мы выделили отдельную не пересекающуюся подсеть. В идеале для этого нужен отдельный сетевой интерфейс, но в этом конкретном случае такое решение приемлемо.

 

Что делать если у вас нет статического IP адреса ?

 

Создаёте правило аналогичное первому только в графе Destination указываете 0.0.0.0 и маска соответственно тоже 0.0.0.0, а в поле "Входящий интерфейс" указываете имя интерфейса (можно посмотреть в веб-интерфейсе, в разделе "Пользователи", в графе "Логин" у Внешнего интерфейса), например Eeth2 или Eppp3:

portmapping_iface

 

Обязательно убедитесь что:

Компьютер, который публикуется в интернете (в нашем примере это 10.0.1.2 или 192.168.1.2) должен быть авторизован на Ideco ICS и иметь доступ к сети Интернет. То есть внешняя сеть в профиле (сеть ALL) должна быть доступна клиенту. Убедитесь что с клиента есть пинг на внешние ресурсы. Так же обратите внимание на пункт в профиле в свойствах правила внешней сети (ALL) "запретить доступ при превышении лимита" - если она стоит то при превышении баланса пользователя проавило DNAT перестанет работать.
Брэндмауэр windows или другие программы защиты не блокируют соединения к системе с внешних адресов в интернете, что иногда случается и диагностировать сразу эту проблему не получается. В таких случаях на шлюзе правило работает и трафик перенаправляется на сервер в локальной сети, но он отвергает подключение, что для клиента, подключающегося извне, выглядит как отказ в соединении или отсутсвие связи с сервером, и может показаться что правило DNAT на Ideco ICS не работает. Для диагностики, на короткий срок для проверки, отключите все брандмауэры и антивирусы на целевом компьютере.
При создании правила не указан src-порт. Эту ошибку часто допускают при создании правил DNAT. Указывать нужно только dst-порт и порт локального сервера. См. скриншоты выше.
Если вы осуществляете проброс с порта 3389 на порт 3389 локального сервера (один и тот же порт), то можно не писать 3389 в поле "Порт:" рядом с полем "Переадресовать на адрес:", а оставить там 0 или пустое значение. Система автоматически переадресует запрос на соответствующий порт локального сервера.