referentie Z149C
Port re-direction op een oudere ZyWALL of Prestige
Port re-direction wil zeggen dan de destination port door de firewall kan worden doorgestuurd naar een andere port. Bijvoorbeeld dat intern een webserver luistert op poort 8080 en dat requests vanaf het WAN op port 80 ge-re-direct worden naar machine x.x.x.x op poort 8080.
Op de nieuwste generatie ZyWALL routers (5, 35, 70, USG) kan dit in worden gesteld in de webinterface.
Op oudere typen ZyWALL's en sommige (oudere) Prestige DSL routers kan dit -soms- ook worden ingesteld.
Deze mogelijkheid wordt niet officieel ondersteund en er wordt ook telefonisch geen support op geleverd.
Er is geen garantie dat iedere instelling stabiel werkt.
Als het niet werkt dient men alles weer te resetten en opnieuw handmatig instellen.
De mogelijkheid kan niet ingesteld worden via de weinterface of menu 15.2 van de telnet/seriële configuratie.
De feature is wel te benaderen via de Command line interface, welke kan worden geactiveerd met ZyNOS menu 24.8.
Voer de volgende commando's in:
- ip nat server load 1 ("laad" de eerste serverset)
- ip nat server edit 2 active yes (activeer de tweede rule)
- ip nat server edit 2 svrport 80 80 (het poortnummer aan WAN-zijde, ontvangst en verzend)
- ip nat server edit 2 intport 8080 (het poortnummer waar het heen moet (LAN-zijde)
- ip nat server edit 2 rulename naam-voor-deze-rule (geef het beestje een naampje)
- ip nat server edit 2 forwardip ip.addr.van.machine (het adres van de machine)
- ip nat server edit 2 protocol TCP (of TCP/UDP of ALL)
- ip nat server save 1 ("bewaar" de eerste serverset)
Als bovenstaande er eenmaal in staat, houdt rekening met hetvolgende!!
-
De firewall doet wat rules betreft niets met het originele portnummer (WAN-zijde) maar gebruikt alleen het ge-re-directe portnummer (LAN-zijde). Dus in bovenstaande voorbeeld moeten de rules voor de firewall gemaakt worden met port 8080 en NIET met port 80.
Als je de firewall openzet voor poort 80 zal de website NIET te zien zijn. Als je port 8080 openzet WEL.
- Zowel de webinterface als eventueel menu 15.2 laten je NIETS zien over de port re-direct. De enige plek waar je deze kunt terugvinden is via de command-prompt met het volgende commando: ip nat server disp 1
- Als je alle redirects in de webinterface of menu 15.2 weghaalt BLIJFT de port-redirect gewoon bestaan, echter kun je deze niet zien, alleen weer via de command-prompt.
- Als je daarna weer een NAT-rule toevoegt via de webinterface of menu 15.2 dan word deze weer ge-port-redirect!!!!! naar de port die er in stond (in bovenstaande dus port 8080).
- Het verwijderen van een port re-direct gaat als volgt in de command-line:
ip nat server edit 2 intport 0 (haalt alleen de port re-direct weg en laat de rest van de rule staan!)
ip nat server edit 2 clear (haalt de hele rule weg!)
Conclusie: als je bovenstaande zou willen toepassen, doe dan alle NAT configuratie via de command-prompt omdat het anders veel te ondoorzichtig en rommelig wordt!