Вопрос или проблема
Я не уверен, возможно ли это или нет. Я настроил несколько веб-серверов и ftp-серверов, которые статически NAT-ируются за sonicwall tz500. Я могу получить доступ ко всем через ftp, http, https. Я включил ping в правила доступа и нат, но сервера не отвечают на ICMP.
Я вообще не трогал политики IPS, поэтому все настройки по умолчанию.
Вам нужно настроить NAT и правила брандмауэра, по умолчанию sonicwall блокирует весь входящий трафик WAN>LAN.
У меня нет доступа для создания скриншотов, но в основном.
Разрешите зоны WAN к зоне LAN от всех к публичным IP-сервисам ICMP.
И настройте свои GeoIP и другие правила IPS соответственно.
Вы также можете ответить на ping на самом интерфейсе с помощью правила WAN к WAN.
Есть ли причина, по которой вы хотите включить ICMP? Обычно простой telnet или netcat для проверки TCP/80 лучше для устранения неполадок.
Ping не может быть перенаправлен на внутренние хосты, вы можете пинговать только WAN IP брандмауэра из Интернета.
Ответ или решение
Чтобы разобраться с проблемой, когда вы можете получить доступ к HTTP и HTTPS на сервере, но не можете выполнить ping до сервера, находящегося за SonicWall TZ500, необходимо учесть несколько ключевых моментов, связанных с настройкой NAT и фаервола.
1. Понимание ICMP и его ограничений
ICMP (Internet Control Message Protocol), который используется при выполнении команды ping, обслуживает функции общей диагностики сети. Однако в большинстве случаев устройства безопасности, такие как SonicWall, по умолчанию блокируют ICMP-трафик для защиты от возможных атак. Поэтому, даже если вы настроили NAT и правила доступа, ICMP может быть заблокирован.
2. Настройка NAT и правил фаервола
Для того чтобы обеспечить возможность выполнения ping до вашего сервера, вам необходимо:
-
Настроить NAT-трансляцию: Убедитесь, что вы правильно задали NAT для ваших серверов. Статическая NAT обычно предполагает, что внутренний (приватный) IP-адрес переводится в внешний (публичный) IP-адрес, что позволяет пользователям обращаться к сервисам, размещенным на сервере.
-
Настроить правила фаервола: По умолчанию SonicWall блокирует весь входящий трафик из зоны WAN в зону LAN. Вам нужно создать специальные правила для разрешения ICMP-трафика. Это можно сделать следующим образом:
-
Создайте правило фаервола: Разрешите трафик из зоны WAN в зону LAN с источником Any и с сервисом ICMP. Таким образом, вы сможете получать ответ на ping.
-
Настройки IPS: Проверьте настройки Intrusion Prevention System (IPS). Вы упомянули, что не настраивали IPS и используете настройки по умолчанию. Если IPS блокирует ICMP-трафик, вам нужно скорректировать эти параметры.
-
3. Ответы на запросы от интерфейса устройства
Дополнительно стоит отметить, что если вы хотите проверить доступность самого устройства SonicWall, вам необходимо настроить правило фаервола для разрешения ICMP между интерфейсом WAN и своим WAN IP. Это позволяет выполнять ping до самого фаервола, но не до внутренних серверов.
4. Альтернативные методы диагностики
Если выполнение ping не является критически важным, вы можете использовать другие инструменты для проверки доступности сервисов:
-
Telnet: Для проверки доступности порта HTTP (80) или HTTPS (443) вы можете использовать команду telnet в следующем формате:
telnet [IP-адрес сервера] 80Это подтвердит, что веб-сервер доступен и принимает соединения.
-
Netcat (nc): Альтернативно, вы можете использовать netcat для проверки соединения. Это полезный инструмент для диагностики сетевых соединений.
Заключение
Чтобы решить проблему с недоступностью ICMP до сервера, расположенного за SonicWall TZ500, вам нужно внимательно проверить настройки NAT, правила фаервола, а также параметры IPS. Возможно, вам также стоит рассмотреть использование других методов диагностики для проверки доступности ваших сервисов. Обеспечение правильной настройки фаервола и параметров безопасности поможет вам не только получить доступ к необходимым сервисам, но и защитить вашу сеть от потенциальных угроз.