Shunze 學園 - 《分享》Virtual IP設定

Shunze 學園 >資訊設備專區 >Sophos XG > 《分享》Virtual IP設定

哈囉，還沒有註冊或者登入。請你[註冊|登入]

顯示成列印模式 | 增加到我的最愛

作者

主題

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2380
shunze 離線

《分享》Virtual IP設定

在Cyberoam裏，要映射一個外部可用IP到內部私有主機IP是很容易的，
但在XG中，這部分就變得複雜些，
以下我們就來看看如何Mapping一個外部實體IP 211.75.130.142到內部私有IP 192.168.30.101。

首先，我們必需在WAN port上，綁定一個ISP給的實體IP做為Alias，這跟Cyberoam是一樣的。

Wan介面上的Alias IP建好後，接著就要透過Business Application Rule來建立一條映射規則，
把外部IP轉到內部私有IP。

在Application Template上，請選用“Non-HTTP Based Policy”模版來建立外對內的IP映射。

而在Source區塊，我們要設定哪些IP過來的封包，要進行外對內的轉導，
如果沒有特別限制來源IP，可以選用Any。

接著重點來了，在Hosted Server這個區塊，是要設定介面上的哪個IP要做轉導，
由於我們是要把WAN介面上的Alias IP轉到內部私有IP，
所以這裏的Source Zone就選擇WAN，然後把Hosted Address選到第一步驟所建立的WAN上的Alias IP。

外部來源端設好了，接著就要設定要轉到內部哪一台主機去？
在Protected Application Server這，Protect Zone要選內部真正主機所在的區域，以順子的範例來說是LAN這個Zone，
而Server IP則是192.168.30.101。

外對內的轉導設定要項確定後，接著就是一些設定上的其它細項，
例如外對內Port的轉導。

取消啟用Forward all ports，那我們就可以自行定義，外部哪些port要轉換到實際服務的Port上。
這對ISP業者提供給我們可用的實體IP有限時，非用好用！

當然，若我們實體IP數相同充足，
可以一個外部IP完整對應到一個內部IP時，我們就可以啟用Forward all ports。
這樣就是一對一的完整對應，外對內的port完全透通。

而Routing的部分，可以選擇是否要將來自外界的封包，做來源端轉址，
轉成介面IP後，再連到內部服務的真實主機。

一般來說這項目是不需要啟用的，因為啟用後，後端服務主機看到的來源IP會一樣，全部都是轉址後的介面IP，
無法分辨出來源端IP的不同。

那何時才會用到此來源端轉址的功能？
這個嘛，在loopback規則的設定中就會看到此功能的應用。

另外，在下方還有一個Create Reflexive Rule的選項可以啟用。
理論上在啟用後，該內部服務主機外連時，就會自動轉換為WAN上的Alias IP再連外，
而不是以預設的MASQ對外回應，這在mail通訊時還滿重要的，
啟用此項目的用意是確保內部主機來回傳遞時，會以相同IP進行回應。

但這個功能有原廠不願意承認的bug，順子會在下一篇跟大家討論。
所以在建立Virtual IP規則時，請務必不要啟用reflexive這個項目！

以上建立步驟完成後，我們就可以在描述中清楚的看到，
這規則是把外部IP 211.75.130.142的任何服務轉導到內部IP 192.168.30.101這台Server去，
完成我們外部實體IP映射到內部虛擬IP的需求～

Virtual IP的規則建立到此完成，
雖然比Cyberoam複雜許多，但懂得其細項功能意義後，多設個幾次後，應該也就習慣了～

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2016-09-05, 16:37

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2380
shunze 離線

《分享》手動自行建立Reflexive Rule

在上一篇 Virtual IP設定中有提到，reflexive功能有個原廠不願意承諾的bug。

這個bug的產生，是因為在XG中啟用reflexive功能後，
XG只會建立一個反向規則給該服務主機連外使用。

原廠David回覆如下，

Shunze，

在Business Application Rule中的Reflexive Rule選項的意義，是系統會自動建立另一條相同條件的規則，但是將來源和目的欄位的值對調。
因此，所以有的設定中，也會包含到NAT的設定。
假如您在設定Business Application Rule時，沒有將NAT選項啟用。
系統自動建立的規則，自然也不會啟用NAT，也就會造成連線到網際網路失敗的狀況。

因此，建議可以自行建立Network Rule來做為對外連線的規則，這樣會比較合理。

其意為
原本外對內的Virtual IP規則中未加NAT，所以reflexive後的內對外，也不會加NAT。

而位在內部的服務主機其IP是私有IP，
請問各位，若不做NAT，私有IP有辦法直接連外嗎？
答案當然是否定的。

而這個XG自建的reflexive規則不僅看不到，也不提供修改；
所以這個XG自帶的reflexive規則根本就是個雞肋。

它唯一適用的情境是，當外對內的Virtual IP規則中，有啟用來源端轉址(NAT)時，reflexive功能才能正常運作；
但一旦套用NAT後，後端服務主機也無從識別外界訪客的個別IP！？
所以啟用NAT後，reflexive才能正常運作根本就是雞肋！

抱怨完了，接著來看看如何正常的建立一個Reflexive Rule？

其實很簡單，就是手動建一條內對外的Network Policy，並指定MASQ要轉到Alias IP，
然後移到Virtual IP policy之前，讓它比Virtual IP的規則提早生效。

這樣不是有點麻煩嗎？

沒錯，reflexive rule在Cyberoam是正確的，而且也可以修改的。

但既然用了XG，面對這樣的bug，原廠選擇無視它？那我們只能接受它、放下它；
放棄或無視這個功能，然後乖乖的自行手動建立reflexive規則...

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2016-09-09, 11:18