Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
Каталог
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Страницы: 1
RSS
Переезжаем с Sophos UTM 9.7 и CkGen2Plus на UDM-Pro-Max., UniFi Network
 
С учетом всех изменений в прошивке сети у нас теперь файрвол на основе зон. Мне нужно понять, что мне нужно сделать, чтобы импортировать настройки с CKGen2Plus, включая устройства Unifi, на UDM-Pro-Max. Вторая проблема в том, что в Sophos настроены DNAT с группами, поэтому публичные IP-адреса, приходящие снаружи, объединены в группы, а сервисы (SQL-сервисы) тоже объединены в группы. Когда смотрю на настройку DNAT на моем UDM-Pro в домашней лаборатории, кажется, что я не могу создавать группы, я использую последнюю EA-версию сетевого приложения на моем UDM-Pro в домашней лаборатории. Стоит ли мне делать что-то другое и не использовать DNAT? Вот как выглядит правило на Sophos.
 
Я сейчас тестирую свою домашнюю лабораторию UDM-Pro с последней версией прошивки и сетевого приложения. Заметил настройку DNAT и попробовал ее применить, но всё еще не уверен, сработает ли это. Я проверил AI, но он пока ничего не знает о самых новых версиях прошивки, поэтому не может предоставить мне информацию, основанную на том, что сейчас доступно. :( Вот к чему я пришел с DNAT (картинка ниже). В другом посте здесь, на старой версии прошивки, кто-то спрашивал о том же самом; тогда DNAT, кажется, еще не было, ему посоветовали использовать переадресацию портов, но, поскольку я использую Zone Firewall, интересно, если бы мне пришлось использовать переадресацию портов, не лучше ли создать правило в зоне External?

Вот изображение созданного мною DNAT. https://img.community.ui.comhttps://community.ui.com/45f8cd82-23f5-450f-bc1c-fdf05f182fc0 Переведенный IP-адрес — мой WAN IP, а 172.16.8.10 — это SQL-сервер в локальной сети. Спасибо.
 
Извини, проигнорируй информацию выше, просто перезапроверил себя, да, похоже, dnat требует новую запись для каждого публичного IP... Кажется, долгая ручная работа, если их у тебя тонны :/
 
Подсеть /32 — это всего лишь один IP-адрес, так что ты, вероятно, можешь просто ввести их, не указывая подсеть /32. Ты, конечно, добавил дополнительные статические адреса на WAN-интерфейс, да?
 
Похоже, Ubiquiti не поддерживает /32 подсети. Потому что, когда я ввожу IP-адреса в формате /32 и нажимаю "Добавить", появляется сообщение: "Пожалуйста, убедитесь, что все настройки брандмауэра введены правильно".
 
Так, по UDM-Pro мне следует использовать NAT, а не DNAT?
 
Если зайти в Настройки > Профили > Сетевые объекты, то можно добавить необходимые группы, указав туда публичные IP-адреса. А потом, перейдя в Маршрутизация > NAT, чтобы создать правила, можно выбрать тип Источник/Назначение как Объекты и выбрать созданные выше группы.
Страницы: 1
Читают тему (гостей: 1)