USG60. Создание NAT правила.

Pavel

Почему-то при создании NAT правила нет возможности в качестве SourceIP созданную GeoIP группу. В выпадающем списке данная возможность отсутствует .

Как быть в данной ситуации ?

Zyxel_Andrew

Здравствуйте!

Опишите пожалуйста Ваш сценарий использования GeoIP для NAT правила.

Pavel

Добрый день, через NAT пакеты должны проходить только из РФ , остальные приходящие на этот порт в drop.

Zyxel_Andrew

Здравствуйте!
Для этого сценария Вам необходимо использовать файервол (политики безопасности) и там создать разрешающее правило с применением объекта GeoIP. В NAT ( указываются только правила "проброса портов" на шлюзе.

Pavel

У меня так и сделано , но при создании правила NAT возможно указать источник, один ip или подсеть. Зачем тогда этот пункт в правилах, если регулируется Sec.Policy? в чем нюанс реализации . В документации это явно сказано . 

onatoli4

Это сделано для того, чтобы один внешний порт можно было пробросить на разные сервера в зависимости от адреса источника.
А в политиках безопасности уже можно более тонко настроить разрешения.

Pavel

Вроде понятно А что мешает сразу из NAT - если IP из франции- на один сервер, из Италии на другой используя GeoIP ? Просто есть и другое оборудование в подразделениях, где такое реализовано.

onatoli4

Такой функционал пока не реализован.