В данной статье мы расскажем про публикацию сервисов на шлюзах Palo Alto. А так же о том с какой проблемой мы столкнулись и как нашли решение, с которым хотели бы поделиться.
Нам нужно было опубликовать Jabber сервер, для подключения внешних мобильных устройств. В решении этой проблемы нам помог «Destination NAT», который путём модификации поля, содержащего IP адрес назначения в IP пакете, в итоге перенаправляет на нужный нам сервер Jabber тот самый модифицированный пакет.
Для полной работоспособности на шлюзе необходимо настроить политику NAT, а также сетевую политику безопасности. Сетевая политика безопасности нам необходима по той простой причине, что это «зональный» шлюз и трафик приходящий из Интернета перенаправляется в совсем другую зону, например в зону DMZ.
Давайте рассмотрим всю настройку по пунктам. Вся настройка производится из Web интерфейса устройства.
1. Создаем сервис – порт, который будет слушать шлюз безопасности. Данный сервис необходимо создать, чтобы указать его в правиле «натирования» трафика из интернета в сеть DMZ. Делается это либо прямо из окна конфигурирования политики NAT или в меню «Objects» в Настройке «Services». Создаем сервис с любым именем (желательно, которое удобно читается). Указываем прокол TCP и «Destination Port», то есть порт на который вы будете подключаться с мобильного устройства и который доступен извне. Должно получиться примерно так:
2. Создаем правила публикации сервиса. Заходим в раздел меню «Policies», выбираем настройку «NAT» и, нажав кнопку «Add», начинаем настройку. Откроется окно Nat Policy Rule:
В поле «Name» указываем Имя правила публикации. В поле «NAT Type» оставляем ipv4 и переходим далее во вкладку «Original Packet».
Здесь в левом окне мы добавляем зону, откуда приходит трафик, а именно Интернет, как в данном примере и называется зона безопасности. Далее указываем зону назначения трафика. Так как пакет приходит на внешний IP адрес шлюза, то зона назначения будет тоже INTERNET и интерфейс назначения наш внешний интерфейс. Далее указываем сервис, который мы создали. Справа в поле «Адрес источника» ставим галочку в «Любой», потому что нам не нужно контролировать, кто будет присылать нам пакеты. В поле «Адрес назначения» добавляем наш адрес, который назначен на внешнем интерфейсе.
Переходим во вкладку «Translated Packet».
В этой вкладке настраивается трансляция пакета. Ставим галочку на опции «Destination Address Translation». В поле «Translated Adress» выбираем адрес Jabber сервера, который мы заранее создали в разделе меню «Objects» в «Addresses». В поле «Translated Adress» указываем порт на который на нужно транслировать поток трафика, предназначенного для Jabber сервера.
Далее нажимаем кнопку «ОК». Правило создалось и появилось.
3. Настройка политик безопасности. Заходим в настройку «Security» и нажимаем «Add», откроется окно:
Во вкладке «General» в поле «Name» придумываем имя для нашей политики. В поле «Rule type» ставим тип универсальный, т.к. универсальную политику можно настраивать как хочешь, в отличии от внутризональной и межзональной политик.
Во вкладке «Source» указываем зону источник, откуда изначально пришёл трафик, в нашем примере это зона INTERNET, адрес источника оставляем любым.
Далее нам нужна вкладку «Destination». В ней указываем зону назначения DMZ и обязательно нужно указать именно внешний ip адрес назначения, который ещё не был транслирован. Будьте внимательны, в данном пункте настройки можно перепутать и указать в качестве адреса назначения ip-адрес нашего Jabber сервера. Особенно с этой проблемой столкнутся те люди, которые администрировали раньше шлюзы компании Juniper Networks, т.к. там нужно было указывать именно адрес назначения, а именно адрес сервера Jabber.
Переходим во вкладку Application. Здесь мы указываем приложения, которым мы разрешаем быть обработанными и пропущенными шлюзом безопасности. В нашем случае это Jabber.
Вкладку «Application» желательно всегда настраивать, т.к. регулировать политики согласно только портам, в наше время не безопасно. Во время атаки траффик по стандартным портам может передаваться по совсем другому протоколу.
Открываем вкладку Service/URL Category.
Добавляем ранее созданный сервис и переходим во вкладку «Actions».
В поле «Action» выбираем «Allow».
На этом настройка публикации сервиса для доступа вне локальной сети закончена.