Perlu klarifikasi untuk kebijakan NAS penyihir Sonicwall "Public Server"

0

Saya menggunakan panduan "Server Publik" SonicWall TZ105 untuk menambahkan kebijakan NAT untuk server internal (non-DMZ), tetapi saya tidak mengerti perlunya semua kebijakan Kustom yang dihasilkan:

#   Source                     Destin.                 Service               Interface
    Original      Translated   Original   Translated   Original  Translated  In   Out
--  ------------  -----------  ---------  -----------  --------- ----------- ---  ---
1   Firewalled    MyServer     MyServer   MyServer     MyServer  Original    Any  Any
    Subnets       Public       Public     Private      Services

2   MyServer      MyServer     Any        Original     MyServer  Original    Any  X1
    Private       Public                               Services

3   Any           Original     MyServer   MyServer     MyServer  Original    Any  Any
                               Public     Private      Services

4   Any           WAN          Any        Original     Any       Original    X0   X1
                  Primary IP

Kebijakan 4 tampaknya menjadi aturan umum yang memungkinkan semua host internal untuk mengakses internet menggunakan IP publik / WAN.

Kebijakan 3 tampaknya memungkinkan koneksi masuk untuk mengakses server, yang pasti saya butuhkan karena itulah yang ingin saya capai.

Kebijakan 2 tampaknya memastikan bahwa koneksi keluar oleh layanan server dipetakan ke alamat IP WAN yang benar? Jika kita hanya memiliki satu alamat IP, apakah ini perlu? Tanpa aturan ini, bukankah koneksi keluar server hanya akan dipetakan dengan aturan # 4?

Kebijakan 1 tampaknya cocok dengan upaya host internal untuk mencapai server menggunakan IP WAN dan memetakan alamat IP kembali ke alamat IP internal, mencegah lalu lintas internal meninggalkan jaringan internal? Apakah itu benar? Jika demikian, seberapa penting aturan seperti itu mengingat bahwa jaringan internal memiliki DNS dan nama host akan menyelesaikan ke alamat IP pribadi di jaringan kami. Apakah aturan ini akan berlaku jika SSLVPN digunakan untuk mengakses jaringan dan mengakses layanan?

Karena kami memiliki beberapa server di balik firewall ini, saya mencoba untuk menjaga layar kebijakan tidak berantakan mungkin, dan ingin menghindari menambahkan kebijakan seperti 1 dan 2 jika mereka sudah secara efektif dicakup oleh kebijakan seperti 4 dan server DNS internal kami. Saya tidak berharap kita akan mendapatkan alamat IP tambahan.

pengguna sederhana
sumber

Jawaban:

1

Dalam urutan yang Anda cantumkan:

Kebijakan 4: Anda benar.

Kebijakan 3: Anda benar.

Kebijakan 2: Anda benar sekali. Jika Anda hanya memiliki satu IP publik, semua lalu lintas akan diabdikan untuk itu. Ini adalah aturan eksplisit yang membantu ketika Anda memiliki rentang IP publik dan layanan yang berbeda pada IP yang berbeda.

Kebijakan 1: Aturan ini adalah aturan NAT hairpin yang mengarahkan kembali klien internal ke IP pribadi, seperti yang Anda tunjukkan. Jika klien internal menggunakan server DNS berbeda dari Anda, mereka tidak akan mendapatkan alamat internal, mereka akan mendapatkan IP publik. Itu sebabnya aturan ini diperlukan.

Anda mungkin bisa bertahan tanpa Kebijakan 1 dan 2, tetapi mungkin tidak sepadan dengan kesulitan di jalan jika Anda membuat perubahan.

Jim G.
sumber