Задать вопрос
juffinhalli
@juffinhalli
сетевое-администрирование

[РЕШЕНО] аппаратный firewall ZyXEL ZyWALL2 plus + port forwarding = failure

Добрый день, хабражители!
Есть интернет на RJ-45 c белым IP х.х.х.х
Есть роутер ZyXEL ZyWALL2 plus
image
Есть комп в сети с адресом 192.168.100.15
На компе работает RDP сервер на порту 3389
Задача тривиальна: сделать доступным терминальный доступ к компу из интернет. Вопросы безопасности такого решения пока отложим в сторону.

Согласно мануалу настройка выполнялась в 2 этапа:
1. Заводим правило в port forwarding
image
2. Заводим правило в firewall
image

Далее проверяем, но эффекта никакого
image

Смотрю в лог, но там всё красиво
image

Соединение до и после Zyxel работает успешно:
1. Доступ из интернет к Web интерфейсу Zyxel ZyWALL2 plus есть
image

2. Доступ Zyxel ZyWALL2 plus к компу c 192.168.100.15 есть
Проверил пингом из ZyWALL2, работая в его консоли через ssh

3. Порт 3389 на 192.168.100.15 открыт, проверил с другого компа в сети

Прошу помочь тех, кто сталкивался с подобной проблемой.
Заранее спасибо.

P.S. Проблема была решена после 3-x телодвижений

1. Обновлена прошивка до последней версии
2. Переписаны правила в firewall
3. На компе в сети с адресом 192.168.100.15 (на котором работает RDP сервер на порту 3389) в качестве шлюза шлюза и DNS был прописан ZyWALL.

P.P.S.
Правила firewall оказывается работают так:
1. Сперва открывается порт xxxx (к примеру) в цепочке W to W/zyxel
2. Настраивается port forwarding c xxxx на 3389 компа 192.168.100.15
3. В завершении открывается порт 3389 в цепочке W to L
  • Вопрос задан
  • 5425 просмотров
Комментировать
Подписаться 2 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 3
Ilya_Drey
@Ilya_Drey
Добрый день!

Я не работал с данным оборудованием но считаю, что понимаю как оно работает :) В общем подозреваю, что Вы немного не правильно описали правило, дело в том, что Вы написали правило которое разрешает прохождение пакетов в цепочке WAN-to-LAN, трафик попадающий в эту цепочку не содержит в себе dst ip 192.168… (ваш комп), так как это правило наверняка применяется к трафику еще до NAT трансляции. Добавьте дополнительно правило WAN-to-WAN c src ip any и dst-ip x.x.x.x (ваш белый IP адрес).
Ответ написан
2 комментария
2 комментария
@bdmalex
У Зукселя есть служба технической поддержки, оставляете там заявку — вам отвечают.
Также если вопрос срочный — можете набрать телефонную трубку и позвонить.
Ответ написан
2 комментария
2 комментария
@mishutkiss
в цепочке WAN to LAN нужно добавить правило!
Source Address: any
Destination Address: 192.168.100.15
Service Type: RDP
Action: permit
Ответ написан
1 комментарий
1 комментарий
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Системный инженер
САТЕЛ Нижний Новгород
от 160 000 ₽
Специалист технической поддержки (работа из офиса г.Казань)
Данафлекс Казань
от 60 000 ₽
Инженер по системному администрированию
Деловая среда от Сбербанка Москва
До 209 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Макет для печати на Плейсменты | Меню на стол А3
10 мая 2024, в 17:44
1500 руб./за проект
Доработка ИМ на 1С Битрикс
10 мая 2024, в 17:30
80000 руб./за проект
Требуется Java + Spring Boot специалист на разработку API-сервиса
10 мая 2024, в 17:14
2000 руб./за проект
Ещё заказы