USG20-VPN設定NAT後,如何設定阻擋外部網路
Freshman Member
社群的各位好,
我們目前使用USG20-VPN來設置網路給辦公室的數十台電腦使用,而目前的配置如下:
防火牆設置為IP A,並透過內網IP設定給辦公室的電腦使用(192.168.1.xx) ,此時辦公室電腦都可以順利上網,並且無法從外部網路Ping到IP A (會成功顯示Request Timeout),表示防火牆應該有設置成功。
之後,由於需要某台電腦使用IP B向外部進行上網請求遠端的License許可,因此透過官方的NAT教學進行設定,將IP B與該電腦的內部IP進行綁定,並設定了對應的策略控制。此時,使用該電腦也可以順利上網,並且顯示的IP也會是IP B,所以我想到這一步的設定應該也沒有問題?
但我發現此時如果使用外部網路ping IP B是會有反應的,想請教這樣是不是代表外面的網路也能取用到使用IP B的電腦? 這樣會有使用上的風險嗎? 有沒有辦法設定讓外部網路無法取用IP B,只讓辦公室擁有內部IP的電腦可以透過SSH或其他遠端的方式能夠使用IP B的電腦? 以及如果這樣設定後,會影響該台電腦向外以IP B上網甚至是請求License嗎?
謝謝。
All Replies
-
您好
想請問您是不是使用1:1NAT,我們建議您使用虛擬伺服器來建立NAT,只轉你所需要的服務PORT。
再策略控制設定中,是可以設定信任的外部來源IP才能對您的IP B進行NAT,也可以只設定您所需要的PORT允許執行
0 -
是的,所以我需要確定連線遠端請求License時伺服器的Port後,再改用虛擬伺服器進行設定是嗎?
關於策略控制的部分,我只需要設定信任的外部來源IP是嗎?有需要設定允許的內網IP嗎?
謝謝0 -
Q:所以我需要確定連線遠端請求License時伺服器的Port後,再改用虛擬伺服器進行設定是嗎?
A:是的,或直接在策略控制,針對此NAT做限制,例如:禁止PING,設定信任來源才可連線此IP B
Q:我只需要設定信任的外部來源IP是嗎?有需要設定允許的內網IP嗎?
A:內網部分不需要特別設定,外部建議限制來源
0 -
暸解,想請教一下有哪邊可以單獨設定禁止PING的嗎?
想先做此設定,接著等License Server確定IP後,再另外限制來源。
謝謝您。0 -
你好, 在建立安全規則的時候, Service 這裡可以選擇 Ping
之後在 Action 選擇阻擋, 即可
當然了, 來源跟目的也要記得設定
P.S.一起加入 Zyxel Taiwan 官方 FB 會有更多好康與QA唷
0 -
想請教依我的Case的話
來源是選擇WAN,目的地選擇我的外網IP B即可嗎?0 -
是的, 建立規則之前, 先建立兩個物件, 一個是 _WANIP, 假設是 168.95.1.1, 一個是不給外部 PING 的 _LANIP, 192.168.1.100
所以這個規則就是這樣表示
以下網址有說防火牆規則建立的教學, 可以參考看看, 希望對你有幫助
P.S.一起加入 Zyxel Taiwan 官方 FB 會有更多好康與QA唷
0
Zyxel Employee
