Использование ФПСУ-IP для смены порта назначения трафика, направляемого в адрес абонента |
В качестве назначения MAP в правиле межсетевого экрана можно ставить одиночный адрес, равный MAP-адресу с установкой порта назначения. При такой настройке ФПСУ-IP будет менять порт назначения у всех пакетов, подпадающих под действие правила, на указанный администратором. Рассмотрим пример использования ФПСУ-IP для переназначения порта у пакетов, отправленных в адрес внутреннего сервера. ФПСУ-IP получает пакет в адрес сервера 192.168.10.10 на порт 80 и изменяет порт получателя на 1080. Таким образом, входящие клиентские соединения можно перенаправлять на другой порт сервера. Рисунок 3 - Схема перенаправления пакетов на другой порт сервера В настройках конфигурации ФПСУ-IP порта 1 (IP- адрес 10.10.10.1) необходимо описать хост или подсеть, в которую входит хост 192.168.0.1, отправляющий запросы серверу, как абонента порта. В настройках конфигурации ФПСУ-IP порта 2 (IP- адрес 10.10.10.2) должен быть описан в качестве абонента сервер 192.168.10.10 или подсеть, в которой расположен сервер, принимающий запросы клиентов. Переназначение номеров портов входящих соединений клиентов задается правилом трафика межсетевого экрана, в котором указывается: •в поле опции MAP, IP-адрес назначения и новый порт; •IP-адрес отправителя в списке отправителей, пакеты которого требуется отслеживать и изменять порт назначения; •только один IP-адрес сервера в списке назначений правила; •служба, распространяющая действие правила только на пакеты TCP/UDP порта номер 80; •правило разрешается (accept, активно). Конфигурация ФПСУ-IP должна содержать следующие установки: Порт 1 Адрес Маска VLAN 010.010.010.001 255.255.255.000 Нет
АБОНЕНТЫ Адрес 192.168.000.001 Хост Имя 192.168.000.001 Режим работы Ретрансляция Режим партнера Данного порта Ретрансляция Через ФПСУ Другого порта Ретрансляция Через ФПСУ Работа разрешена
Адрес 192.168.000.000 Маска 255.255.255.000 Имя 192.168.000.000 Режим работы Ретрансляция Режим партнера Данного порта Ретрансляция Через ФПСУ Другого порта Ретрансляция Через ФПСУ Работа разрешена
Порт 2 Адрес Маска VLAN 010.010.010.002 255.255.255.000 Нет АБОНЕНТЫ Адрес 192.168.010.010 Хост Имя 192.168.010.010 Режим работы Ретрансляция Режим партнера Данного порта Ретрансляция Через ФПСУ Другого порта Ретрансляция Через ФПСУ Работа разрешена Правила межсетевого экрана для этого абонента map_port Межсетевой экран ФПСУ-IP должен быть задействован. Должны быть созданы и задействованы следующие правила межсетевого экрана: 1.Правило, разрешающее любые входящие соединения по протоколу TCP/UDP с портом назначения 80, для указанных соединений порт назначения преобразуется по заданному правилу MAP на номер 1080. В правиле межсетевого экрана во вкладке «Назначение» должен быть указан один и только один адрес назначения, адрес сервера. Во вкладке «Источник» может быть явно указан хост или подсеть, отправляющие запросы. Если вкладка «Источник» пустая, ФПСУ-IP будет принимать и менять порт у любых входящих соединений с сервером и портом назначения 80. Во вкладке «Общие» в поле «MAP» указывается тот же IP-адрес сервера, что и во вкладке назначения, и новый порт 1080, на который должны перенаправляться запросы. Данное правило применяется на порту 2 ФПСУ-IP к абоненту сервер, указанному как хост; 2.Правило, запрещающее любые входящие и исходящие соединения, обязательно присутствует последним правилом в правилах МЭ при активации межсетевого экрана.
Межсетевой экран активен: Да
Правила трафика
1. map_port Общие Действие : Accept Map : 192.168.010.010 1080 Время работы : Любое Лог : Не вести лог Активно : Да Источник : Любой Назначение Адрес : 192.168.010.010 192.168.010.010 Служба TCP/UDP
2. Block other traffic Общие Действие : Drop Время работы : Любое Лог : Не вести лог Активно : Да Источник : Любой Назначение : Любой Служба : Любая
Службы
1. TCP/UDP Общие Описание : Протокол : TCP/UDP Порт источника : Любой Порт назначения : 80 (World Wide Web HTTP) |