小弟對於網路不熟悉,但因為手邊產品有對外展示的需求才來請教各位大神
情境是公司內部架好一個平台可以透過網頁登入操作,希望能在非公司網路下也能連進來,進行展示或是提供IP給客戶讓客戶上線操作
目前設備有
一台Firewall(有接了兩組固定IP)
一台Siwtch(L2)
三台主機組成的平台(透過一組VIP IP連線)
有幾個問題求教
1.前同事設定了一組固定IP是給CCTV APP連線監控用的(9000 port),我是否還可以透過這組IP連線至我的平台(不同port?)
2.在考慮網路安全的情況下,我是否只需要開啟一個port讓外部連線?這樣安全嗎?
3.以下是我在Firewall內的一些設定,不知是否有錯誤或多餘的
-Entities中有兩個zone(public及private)
-Public中有兩組wanip(其一為上面提到CCTV的)
-Private下開了一個network給平台用(192.168.0.0/24),在其下開一個Host(192.168.0.X)
-開了一個Application走TCP,來源及目的port為443
-FW規格允許,CCTV那個固I通到平台的Network(192.168.0.0/24)
-NAT:來源Public,目標Public-CCTV as Private Host192.168.0.X:443
以上設定完後,透過固定IP連線,會連到Firewall....
不知道哪個環節出錯
想麻煩各位大神幫幫忙
附上大概的圖
02/25更新----------
各位大大,後來發現離開機房後連固I就連不到了....所以前面設定應該是無效的
Firewall廠牌型號是allied telesis 4050S
從這句判斷
Firewall 管理埠 應該是優先占用 80/443
應該先調整管理埠號
然後就可以VIP設定對應到想要對應的設備了
你說的技術,專有名詞叫port-forwarding。
防火牆聽443轉給自己很正常,在你的應用應該是防火牆聽9000 port(註),再轉給內部主機的443。
註:先試著轉udp 9000,如果不行就轉both tcp & udp 9000
樓上兩位 林門神 I.T. Wang 已經很好說明了
WAN: 1111: = VIP LAN SERVER 1 IP : 443
WAN: 1112: = VIP LAN SERVER 2 IP : 443
WAN: 1113: = VIP LAN SERVER 3 IP : 443
你外部用戶就可以用 1111 ~ 1113 來抓你SERVER
PS:
這樣算是傳統做法, 不算是安全
最理想是用SSLVPN給外戶登入後再用SERVER
除非你SERVER服務本來就需要登入才能用
Well-known ports:
https://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers
習慣不用WELL-KNOWN PORT的.
感謝您回覆
後來我有把Firewall的port改成5000
但本來說連固I會連到Firewall這件事搞錯了
出了機房就連不到了....
我其實只需要透過網頁連VIP IP即可
不需要直接對到Server
連到平台後也有權限控管機制
那就 WAN IP : 443 -> 平台LAN IP :443 就行了
如果你平台用443的話
https://www.alliedtelesis.com/sites/default/files/ngfw_gui_getting_started_revc.pdf
Page 20 ~ 21 是教學
Action = Port Forward, Application = 你那兩個443跟8000, From = public, With = 平台LAN IP
感謝大大協助,可以成功連到平台,但沒辦法跳轉到登入頁面,可能是我們內部的設定問題
iThome鐵人賽
看影片追技術
看更多
