NAT 1-1 CON DOPPIA INTERFACCIA WAN E RANGE DI IP

NAT 1-1 CON DOPPIA INTERFACCIA WAN E RANGE DI IP PUBBLICI (Firmware 2.20)
Dal menù Network/Interface/Ethernet configurare le interfacce WAN e LAN con gli opportuni ip:
L’ apparato per capire se la sua interfaccia WAN è correttamente collegata ad internet va ad effettuare un
PING CHECK verso un indirizzo ip pubblico. Nelle schermate di configurazione delle WAN nella sezione
Connettivity Check andare ad inserire un ip pubblico pingabile (consigliamo di fare un tracert verso internet
e verificare il primo hop pingabile sulla rete dell’ isp, in alternativa un ip di un dns del provider). Di default la
WAN pinga il proprio GW, opzione da non utilizzare in quanto il router potrebbe essere funzionante ma la
linea down:
Andiamo a creare gli oggetti che identificano gli ip privati dei server da pubblicare e gli ip pubblici su cui li
vogliamo mappare sulle rispettive wan (Menù Object/Address):
A questo punto possiamo spostarci nel menù NETWORK/NAT e creare le regole di nat 1-1. In questo caso
faremo delle regole di 1:1 NAT. Procediamo con la creazione della regola per il server FTP su wan1. L’
Incoming Interface è l’ interfaccia pubblica wan1, l’ Original IP è l’ ip pubblico dedicato al server FTP su
wan1 (in questo caso diverso da quello fisicamente assegnato sulla wan1), il Mapped IP è l’ ip interno del
server, come tipo di mappatura scegliamo any in modo che tutte le porte vengano nattate tra ip pubblico e
privato:
Seguiamo la stessa logica per mappare l’ ip da dedicare su wan2 al server FTP:
Stesso discorso per il server WWW, creiamo prima la regola che associa l’ ip dedicato su wan1:
Successivamente la regola per l’ ip dedicato su wan2:
Avremo quindi 4 regole di nat, ognuna delle quali assegnerà un ip pubblico dedicato ai server interni,
fornendo quindi anche ridondanza su entrambe le connettività:
A questo punto dobbiamo aprire le porte sul firewall (Menù Firewall). A seconda della zona in cui abbiamo
posizionato i server andremo a creare delle regole from WAN to LAN1/DMZ (LAN1 nel caso dell’ esempio):
Creiamo la prima regola per il server FTP. Schedule e User possono essere lasciate a default. Source
identifica gli ip di provenienza delle richieste, essendo richieste provenienti dal mondo internet lasciamo
quindi any. Destination è l’ ip interno del server FTP.
Come service specifichiamo l’ FTP, come Access allow, come Log scegliamo log alert. In questo modo in
caso di errori potremo vedere sui log le righe relative a queste richieste evidenziate in rosso:
Stesso discorso per rendere disponibile il server WWW:
Da notare come queste 2 regole “permissive” (1 e 2) debbano essere inserite con priorità maggiore rispetto
alla regola che blocca tutto il traffico dall’ esterno all’ interno (5):
(OPZIONALE)
Le sessioni inizializzate dall’ esterno escono dalla stessa interfaccia wan da cui sono arrivate. Le sessioni
eventualmente inizializzate direttamente dai server escono invece tenendo come riferimento il routing di
default (nattate quindi in uscita con l’ ip attestato fisicamente sulla wan). In alcuni specifici casi (server
SMTP ad esempio) le sessioni inizializzate dall’ interno devono necessariamente uscire con l’ ip pubblico
dedicato ai server.
Dovremo quindi creare delle regole di routing nel Menù Network/Routing/Policy Route. Creiamo la prima
regola per far uscire il server FTP sulla wan1 tramite l’ ip dedicato su wan1. User e Incoming possiamo
lasciare any (l’ incoming in questo esempio è la lan1). Source Address è l’ ip privato del server FTP.
Destination Address sarà any perché andiamo a contattare ip sulla rete internet, DSCP Code, Schedule e
Service li lasciamo a default:
Come Next-Hop Type scegliamo Interface, come Interface scegliamo wan1 (sarà l’ interfaccia di uscita del
nostro traffico da ftp server a internet). Diamo il flag su Auto-Disable (vedremo successivamente l’
importanza dell’ opzione). Nel campo Address Translation come SNAT andiamo a selezionare l’ ip pubblico
dedicato al server FTP sulla wan1. Tutti gli altri campi possono essere lasciati a default:
Creiamo la policy per instradare il traffico del server FTP anche su wan2 con l’ ip dedicato sulla seconda
connessione. La policy sarà pressoché uguale ad eccezione del Next-Hop (wan2) e del campo SNAT (ip
pubblico su wan2 dedicato al server FTP):
Creiamo le policy per il traffico in uscita del server WWW su wan1 con ip dedicato su wan1:
E su wan2 con rispettivo ip dedicato:
Queste saranno le regole di routing dedicate ai nostri server. Dare il flag su “Use Policy Route to Override
Direct Route” per far si che queste regole abbiano precedenza sul routing di default. Anche le regole di
Policy Route vengono lette dall’ alto verso il basso. I nostri server FTP e WWW usciranno quindi sempre
attraverso la wan1 (regole 1 e 3). L’ opzione di Auto-Disable (vista in precedenza) sulla Policy Route
permette invece di “spegnere” temporaneamente la Policy Route se il next-hop (wan1) cade (controllo
della connettività tramite il meccanismo di ping check sulle interfacce wan). Tutto ciò permette al traffico
relativo a queste policy di essere backuppato sulla wan2 (meccanismo che non funzionerebbe in assenza
dell’ Auto-Disable, verrebbero sempre lette infatti la policy con precedenza maggiore, la 1 e la 3):
Possiamo quindi, da una connettività esterna, testare la raggiungibilità del server FTP su entrambe le wan:
Stesso discorso per il server WWW:
Il “log alert” sulle regole di firewall permette di evidenziare nei log il transito di questi pacchetti:
A livello di test possiamo staccare la wan1, i nostri server saranno sempre raggiungibili tramite gli ip di
wan2, l’ Auto-Disable delle policy spegnerà le regole 1 e 3, andando ad instradare le sessioni inizializzate
dal nostro server sempre verso la wan2: