EdgeOS umożliwia przekierowywanie portów w najbardziej podstawowy sposób, tj. podajemy port, protokół, adres IP hosta wewnątrz sieci, opcjonalnie możemy podać port wewnętrzny. Są jednak 2 sytuacje, w których taka konfiguracja jest niewystarczająca:
1) MultiWAN
W Port Forwarding możemy wybrać tylko jeden interfejs WAN, co komplikuje sprawę, gdy posiadamy kilka łącz z publicznym IP i chcemy mieć możliwość używania przekierowanych portów na obu z nich (np gdy jedno z łącz padnie).
Założenia:
WAN1 - eth0
WAN2 - pppoe1
Przekierowanie portu 8000 tcp/udp na hosta 10.0.1.10
W pierwszej kolejności otwieramy port na świat. W tym celu udajemy się do Firewall/NAT -> Firewall Polices . Interesuje nas reguła WAN_IN, czyli to co przychodzi z zewnątrz ale nie dotyczy usług postawionych na routerze. Wchodzimy w Action -> Edit Ruleset i dodajemy nową regułę:
Cytat Description - nazwa własna
Enabled - zaznaczamy
Action - Accept
Protocol - Both TCP and UDP
Destination -> Port - 8000
Zapisujemy, przesuwamy regułę by nie była ostatnia (musi być ponad "Drop invalid state" i klikamy Save Rule Order.
Następnie przechodzimy na zakładkę NAT i klikamy w Add Destination NAT Rule i uzupełniamy kolejno:
Cytat Description - nazwa własna
Enable - zaznaczamy
Inbound Interface - wybieramy port dla WAN1 czyli zgodnie z przykładem eth0
Translations -> Address: adres hosta, na który ma zostać przekierowane połączenie
Translations -> Port: port, na który ma zostać przekierowane połączenie*
Protocol - Both TCP and UDP
Dest Port - port zewnętrzny, który został wystawiony na świat i na które przychodzi połączenie
*to odpowiednik Forwarded Port (w Tomato będzie to Int Port), czyli port wewnętrzny. Może on być oczywiście inny niż zewnętrzny.
Zapisujemy. Teraz dokładnie to samo musimy zrobić dla drugiego WAN. By ułatwić sobie pracę możemy wybrać świeżo utworzoną regułę, kliknąć Action -> Copy. To powieli nam regułę, którą następnie musimy edytować i poprawić pole "Inbound Interface".
Gotowe.
2) Wystawienie portu dla wybranego adresu IP lub grupy IP
W Tomato ten problem nie istnieje - na zakładce Port Forwarding mamy możliwość podania "Src Address", dla którego port ma być otwarty. W EdgeOS twórcy o tym nie pomyśleli, więc musimy sobie radzić w inny sposób. Wystawmy więc panel administracyjny Synology dla wybranej grupy IP.
Założenia:
WAN - eth0
Przekierowanie portu 5000 na hosta 192.168.10.84
Na początek przechodzimy do Firewall/NAT -> Firewall/NAT Groups i dodajemy nową grupę adresów IP.
Następnie otwieramy port na świat - procedura bardzo podobna jak do przykłady wyżej czyli w Firewall/NAT -> Firewall Polices wybieramy WAN_IN -> Action -> Edit Ruleset i dodajemy nową regułę:
Cytat Description - nazwa własna
Enabled - zaznaczamy
Action - Accept
Protocol - TCP
Destination -> Port - 5000
Source -> Address Group - wybieramy wcześniej utworzoną grupę*
*jeżeli zamiast grupy chcemy podać pojedynczy adres IP to możemy go wpisać w pole Source -> Address
Zapisujemy i przesuwamy regułę by nie była ostatnia (musi być ponad "Drop invalid state" i klikamy Save Rule Order.
Następnie przechodzimy do zakładki NAT -> Add Destination NAT Rule i uzupełniamy ją w dokładnie taki sam sposób jak we wcześniejszym przykładzie.
Zapisujemy zmiany i gotowe. Od tej porty możemy łączyć się na port 5000 tylko ze wskazanych (zaufanych) adresów IP.
Pozdrawiam
Edytowany przez shibby dnia 08-01-2021 09:55
Proxmox VE: i7-7700T, 64GB RAM, 3x2TB SSD, 1x1TB SSD, 512GB NVMe, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology DS920+
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
|