ATP-500 Список вопросов

2»

All Replies

  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 565  Zyxel Employee
    First Anniversary 10 Comments Friend Collector First Answer
    Я понял Ваш сценарий. Лучше так не делать :)
    Уточню, можем ли мы как то учитывать возможность такой конфигурации.

    Есть обновление по одному из Ваших вопросов: 
    4)     Почему направление траффика везде указано по разному IN OUT или еще как-то,  а тут еще ingress egress traffic. Ну вот хотя бы мониторинг> сетевой траффик Rx From и Tx To тоже понятно.

    Разработчики планируют провести унификацию терминов для указания направления трафика. Это планируется реализовать в конце этого года.

  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 565  Zyxel Employee
    First Anniversary 10 Comments Friend Collector First Answer
    5)     При создании правила Nat Virtual Server не понятно значение адресс источника если в нем нельзя выбрать ГЕО IP , но вот потом при создании правила NAT  можно выбрать ГЕО IP. IP адресс источника хочу добавить гео IP россию, указать кроме конкретного адреса я не могу. А хотелось бы возможность туда добавить  список  адресное пространство + гео IP.

    Можете привести реальный пример использования GeoIP в качестве адреса источника в правиле DNAT? Я хочу понять на сколько правильно Вы понимаете эту настройку.

  • Artem
    Artem Публикаций: 17  Freshman Member
    First Comment

    Так понятно? ... мне нужно чтоб я сделал правило 1ШТ = используя страну (GEO IP + заданные IP). Добавить я не могу выше нигде более 1 поля, следовательно изза принятия вашего дизайна я делаю еще группу и опять в которой я не могу объединить нужные адреса с гео IP. 

  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 565  Zyxel Employee
    First Anniversary 10 Comments Friend Collector First Answer
    Вы не совсем правильно поняли мой вопрос. 
    Меня интересовал сценарий, для которого в правиле DNAT требуется указать объект GeoIP в поле Source IP.

    В группу адресов по дизайну нельзя смешивать объекты адресов 3 разных типов (Address, Geography, FQDN).

    Если надо сделать группу из GeoIP и каких-то еще дополнительных нужных адресов, то можно добавить свои адреса в GeoIP объект и затем использовать его в правилах.
  • Artem
    Artem Публикаций: 17  Freshman Member
    First Comment
    а можно сделать 2 правила (в одном гео IP во втором группа адресов) или они будут друг друга резать? ... сценарий простой есть люди в РФ которые двигаются по стране и имеют доступ к корпоративной сети по средствам VPN или http, а есть также люди в другой стране (филиал или человек со статикой) я хочу его только пускать, а остальным отказать в доступе. Это ведь актуально если мы говорим о безопасности.
  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 565  Zyxel Employee
    First Anniversary 10 Comments Friend Collector First Answer
    а можно сделать 2 правила (в одном гео IP во втором группа адресов) или они будут друг друга резать?

    можно конечно. главное понимать, что срабатывать будет только какое-то одно правило.

    По поводу сценария, я услышал только про желание ограничить доступ к шлюзу извне по определенным адресам, но это задача файервола (политик безопасности), а не NAT.

    Суть поля Source IP в правиле DNAT это возможность создания разных правил проброса для одного и того же внешнего ip:порт на разные внутренние ip:порт в зависимости от адреса источника.

  • Artem
    Artem Публикаций: 17  Freshman Member
    First Comment
    Спасибо! Так теперь я понял про это поле! Но в фаерволе тоже нельзя реализовать  такой сценарий как я описал выше, как же быть если правило будет работать только одно?
  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 565  Zyxel Employee
    First Anniversary 10 Comments Friend Collector First Answer
    В файерволе, по моему главное, что бы какое то из правил сработало, верно? разве так важно какое?

Разделы

Центр Помощи Zyxel

EnglishTiếng ViệtРусскийไทย中文(台灣)