私はLinuxベースのUTMアプライアンスを使用していますが、操作に関してクライアントといくらか意見の相違があります。これはファイアウォールでポート転送を設定するための標準的なGUIですが、何らかの理由で次のルールが必要であると考えています。
-s 10.91.186.0/23 -d 10.10.10.0/23 -j ACCEPT -s 10.11.10.0/23 -d 10.10.10.0/23 -j ACCEPT -s 192.168.10.0/23 -d 10.10.10.0/23 -j ACCEPT
非常に汚いネットワークトポロジであり、はい私はそのひどいことを知っています
--------------------------------------------------------------------- Hosted cloud VM's 123.231.254.125 [public IP example] 192.168.10.10 [Microsoft TMG]/23 192.168.10.2 [cloud gateway]/23 10.91.186.161 [cloud edge?]/30 ---------------------------------------------------------------------- 10.91.186.162 [site cisco 2921 external]/30 10.91.186.1 [site cisco 2921 internal]/30 ---------------------------------------------------------------------- 10.91.186.2 [UTM gateway]/30 (seconary IP 10.11.10.1/23) 10.10.10.82 [UTM gateway internal]/23 (secondary IP 10.11.10.10/23)
それは最もひどい複雑な設定ですが、それは私が取り組まなければならないものです。 うまくいけば、それはもう少しの視点を与える。上記のIPTABLESルールが何をしているのかを定義する必要があります。
私はそれがちょうどすべての入って来るトラフィックを開いていると思います、しかしあなたがネットワークトポロジーの終わりにCIDR記法から見ることができるようにサブネットは間違っています。他のものは目的地設定です、トラフィックはCISCoではなくパブリックIPかTMGから来ますか?
私のネットワーキング能力は私が望むものほど良くはありませんが、私は学んでいます、そして、誰かがそれらのエントリが許しているものを知らせて、実際にうまくいくならばそれはとてもありがたいです。
ここに助けるべきダイアグラムがあります - ネットワークのよりよい考えを与えるでしょう。 ネットワーク図
最初の3つには、インターネット上では機能しない、ルーティング不可能なIPアドレスが含まれています。これは内部的にのみです。 en.wikipedia.org/wiki/Private_network
—
cybernard
-sがソース、-dが宛先
—
cybernard
そのため、指定されたサブネット間のトラフィックはすべて受け入れられます。のドロップルール これらのアドレス/サブネット これらの行の後に来るものは何もしません。他のIPアドレスはまだ正常にブロックすることができます。
—
cybernard
これらのルールは位置依存型であるため、コンテキスト外のこれらのルールは必要に応じて機能する場合と機能しない場合があります。 1行目の何かがトラフィックをブロックする可能性があり、これらのルールは何もしない可能性があります。内部トラフィックを受け入れることは、ウイルスなどに感染する可能性がない限り、悪くありません。セキュリティの専門家は、コンピュータに必要なポートだけを許可し、残りをブロックすることを推奨します。パブリックIPは最もブロックされるべきものです。必要な数のポートを許可し、残りの着信トラフィックをドロップするようにルールを設定します。
—
cybernard
それがもう少し明確になるように図へのリンクを追加しました。ネットワークの現状のままでは、それは困難です。私の質問は、このネットワークレイアウトでは、これらのルールは何をしているのでしょうか。 -sまたはsourceはTMGサーバー192.168.10.10になります。外部から転送する必要がありますが、そこにあるduleはgenericに転送されるだけで、転送を許可しません。
—
Robert Wilde