Ve výchozím nastavení dědí všechny Edge pravidla brány firewall, nastavení stavové brány firewall, nastavení sítě a ochrany před floodingem a konfigurace přístupu Edge z přidruženého profilu.
- V podnikovém portálu přejděte do nabídky .
- Zvolte Edge, jehož nastavení firewallu chcete přepsat, a klikněte na záložku Firewall.
- Pokud chcete upravit pravidla zděděného profilu a nastavení brány firewall pro Edge, zaškrtněte pole Potlačit (Override).
Poznámka: Pravidla potlačení se objeví v oblasti Potlačení na úrovni Edge (Edge Overrides). Pravidla potlačení na úrovni Edge jsou prioritou před pravidly pro Edge zděděnými z Profilu. Jakékoli hodnoty nastavení pro potlačení pravidel, které jsou stejné také u pravidel brány firewall na úrovni profilu, budou mít před danými pravidly profilu přednost.
- Na úrovni Edge můžete konfigurovat pravidla předávání portů a NAT 1:1 IPv4 nebo IPv6 jednotlivě tak, že přejdete na Dodatečná nastavení (Additional Settings) > Příchozí seznamy ACL (Inbound ACL). Další informace naleznete v tématu Pravidla pro předávání portů a Nastavení NAT 1:1.
Poznámka: Ve výchozím nastavení bude veškerý příchozí provoz blokován, pokud nebudou nakonfigurována pravidla předávání portů a NAT 1:1.u brány firewall. Vnější IP adresa bude vždy WAN IP nebo IP adresa z podsítě WAN IP.Poznámka: Při konfiguraci pravidel předávání portů IPv6 a NAT 1:1 můžete zadat pouze globální nebo unicastovou IP adresu a nemůžete zadat místní adresu odkazu.
Pravidla předávání portů a NAT 1:1 u brány firewall
Pravidla předávání portů a NAT 1:1 u brány firewall dokáží internetovým klientům zajistit přístup k serverům připojeným k rozhraní LAN pro Edge. Přístup lze zajistit pomocí pravidel pro předávání portů nebo podle pravidel překladu síťových adres NAT 1:1.
Pravidla pro předávání portů
Pravidla pro předávání portů umožňují určit pravidla pro předávání přenášených dat ze specifického portu sítě WAN do zařízení (IP adresa LAN nebo port sítě LAN) v místní podsíti. Případně můžete také omezit příchozí data podle IP adresy nebo podsítě. Pravidla předávání portů lze nakonfigurovat v případě vnější IP adresy, která je ve stejné podsíti jako IP adresa sítě WAN. Pokud poskytovatel internetových služeb směruje přenášená data do podsítě na straně Zařízení SD-WAN Edge, můžete také překládat vnější IP adresy v podsítích, které se liší od adresy rozhraní sítě WAN.
Na následujícím snímku najdete konfiguraci předávání portů.
V části Pravidla předávání portů (Port Forwarding Rules) můžete konfigurovat pravidla předávání portů s adresou IPv4 nebo IPv6 kliknutím na tlačítko +Přidat (+Add) a poté zadáním následujících údajů.
- Do textového pole Název (Name) zadejte (volitelně) název pravidla.
- Z rozevírací nabídky Protokol (Protocol) vyberte protokol předávání portů TCP nebo UDP.
- Z rozevírací nabídky Rozhraní (Interface) vyberte rozhraní pro příchozí data.
- Do textového pole Vnější IP adresa (Outside IP) zadejte adresu IPv4 nebo IPv6, na které je hostitel (aplikace) dostupný z vnější sítě.
- Do textového pole Porty WAN (WAN Ports) zadejte port WAN nebo rozsah portů oddělených symbolem mínus „-“ (například 20-25).
- Do textových polí IP adresa sítě LAN (LAN IP) a Port LAN (LAN Port) zadejte IP adresu IPv4 nebo IPv6 a číslo portu LAN, kam budou žádosti předávány.
- Z rozevírací nabídky Segment vyberte segment, do kterého bude IP adresa LAN patřit.
- V textovém poli Vzdálená IP adresa / podsíť (Remote IP/subnet) zadejte IP adresu příchozích přenášených dat, které chcete přeposílat na interní server. Pokud žádnou IP adresu nezadáte, povolíte tím neomezený provoz.
- Vyberte zaškrtávací pole Protokolování (Log) pro aktivaci protokolování pro toto pravidlo.
- Klikněte na tlačítko Uložit změny (Save Changes).
Nastavení NAT 1:1
Nastavení se používá k mapování vnější IP adresy podporované Zařízení SD-WAN Edge na server připojený k rozhraní LAN pro Edge (jako je například webový nebo poštovní server). Pokud poskytovatel internetových služeb směruje přenášená data do podsítě na straně Zařízení SD-WAN Edge, můžete také překládat vnější IP adresy v podsítích, které se liší od adresy rozhraní sítě WAN. Každé mapování probíhá mezi jednou IP adresou mimo bránu firewall pro konkrétní rozhraní sítě WAN a jednou IP adresou sítě LAN za bránou firewall. V rámci každého mapování můžete určit, které porty budou předány na vnitřní IP adresu. Pomocí symbolu + na pravé straně můžete přidat dodatečná nastavení NAT 1:1.
Na následujícím snímku najdete konfiguraci NAT 1:1.
V části Pravidla 1:1 NAT (1:1 NAT Rules) můžete konfigurovat pravidla 1:1 NAT s adresou IPv4 nebo IPv6 kliknutím na tlačítko +Přidat (+Add) a poté zadáním následujících údajů.
- Do textového pole Název (Name) zadejte název pravidla.
- Do textového pole Vnější IP adresa (Outside IP) zadejte IP adresu IPv4 nebo IPv6, na které je hostitel dostupný z vnější sítě.
- Z rozevírací nabídky Rozhraní (Interface) vyberte rozhraní sítě WAN, na které bude vnější IP adresa vázána.
- Do textového pole Vnitřní IP adresa (LAN) (Inside (LAN) IP) zadejte skutečnou IP adresu IPv4 nebo IPv6 (LAN) hostitele.
- Z rozevírací nabídky Segment vyberte segment, do kterého bude IP adresa LAN patřit.
- Pokud chcete povolit, aby provoz z klienta LAN do internetu byl NATed na vnější IP adresu, zaškrtněte pole Odchozí provoz (Outbound Traffic).
- Do příslušných polí zadejte detaily zdroje povoleného provozu (protokol, porty, vzdálená IP adresa / podsíť (Remote IP/subnet)) pro potřeby mapování.
- Vyberte zaškrtávací pole Protokolování (Log) pro aktivaci protokolování pro toto pravidlo.
- Klikněte na tlačítko Uložit změny (Save Changes).