WatchGuard端口转发/静态NAT

Question

我正在尝试将WatchGuard防火墙上的特定端口转发到特定VLAN中的内部主机。我的设置大致如下：

 INTERNET
    vv
WatchGuard
    vv--------vv--------vv
  [VLAN1]   [VLAN2]   [VLAN3]
              vv
            Server

我已经设置了一个从Any-External到内部服务器IP地址的SNAT规则，而不需要端口转换。然后，我添加了一个防火墙策略

• 行动:允许
• 端口tcp:10000上的自定义筛选器
• 从任何来源
• 到我的圈套里

这都是文档推荐的，但是当尝试从外部ip访问它时，端口保持过滤，并被记录为未处理(xxx是外部客户端，也是防火墙的ip )：

Process=firewall  Disposition=Deny  Policy=Unhandled External Packet-00  Source IP=xx.xx.xx.xx  Destination IP=yy.yy.yy.yy  Source Interface=0-External  Destination Interface=0-External  Source Port=19852  Destination Port=10000  Protocol=webmin/tcp

我一直在玩端口转换，SNAT和proxy的更具体的接口设置，而不是过滤器操作，但我根本无法让它工作。我遗漏了什么？

编辑(2015-06-16)：以下是我的配置屏幕：

来自内部网络的端口检查：

$ nmap -sT -p 10000 192.168.79.100
[...]
PORT      STATE SERVICE
10000/tcp open  snet-sensor-mgmt
[...]

来自外部网络的端口检查(在internet连接的ip上，xxx是一个已知的开放管理端口)：

user@extServer:~# nmap -sT -p xxx,10000 yyy.yyy.yyy.yyy
[...]
PORT      STATE    SERVICE
8089/tcp  open     unknown
10000/tcp filtered snet-sensor-mgmt
[...]

Answer 1

事实证明，我的ISP为连接提供了两个IP地址(没有注意到我)，而且我一直在与错误的IP地址交谈。管理端口绑定到所有接口(因此它是打开的)，但绑定的外部端口不是。

给自己的注意:双重检查IP。

@B.Z.呼喊@B.Z.

Answer 2

如果您在SNAT规则中使用了“任意外部”，那么您在这里犯了错误。

选择外部IP地址(Es)，它将实际用于此SNAT规则，而不是别名“Any- external”，一切都将开始工作。

您仍然可以在筛选规则中使用“任意外部”。

问题在于对别名“任意外部”的理解。在防火墙上的端口上配置的所有IP地址-es都由别名“Firebox”覆盖，而“任意-外部”则从您的提供者的网关IP地址开始。您可以创建一个别名“外部端口”--这比在SNAT规则中工作得更好，但不是“任何外部的”。