HOW TO Como acessar um serviço interno pelo IP Público Produto: Versão do produto: Versão do documento: Data de revisão: Data da publicação: Página: Aker Firewall 6.8 1.0 26/06/15 26/06/15 1 de 4 Introdução Este documento tem o objetivo de descrever como configurar a NAT para que seja possível acessar uma aplicação localizada internamente pelo seu IP público. Solução Existem duas possibilidades para configuração dessa NAT. A primeira é quando o servidor está em uma rede diferente da estação de trabalho como ilustra a Figura 1. Figura 1 – Topologia com duas redes. A segunda é quando o servidor está localizado na mesma rede da estação de trabalho como mostra a Figura 2. Figura 2 – Topologia com uma rede. Documentação Auxiliar de Produto – Aviso Legal: esta documentação deve ser utilizada somente por administradores ou usuários experientes, preferencialmente em horário que uma alteração de configuração não impacte no funcionamento do ambiente. A Aker não é responsável pelo mau uso deste documento. Aker Security Solutions www.aker.com.br HOW TO Como acessar um serviço interno pelo IP Público Produto: Versão do produto: Versão do documento: Data de revisão: Data da publicação: Página: Aker Firewall 6.8 1.0 26/06/15 26/06/15 2 de 4 1 NAT COM REDES DIFERENTES Quando o servidor está em uma rede diferente é necessário criar apenas uma regra de NAT, sendo que a mesma deve ser posicionada acima das regras do tipo “Sem NAT”. Descrição do endereçamento das entidades de rede e máquina. Entidade Rede / IP SERVIDOR_DMZ 172.16.0.10 DMZ 172.16.0.0/24 LAN 10.0.0.0/24 IF_WAN 200.0.0.5 A regra deve ser feita da seguinte maneira. A origem deve ser o IP do servidor que possui a aplicação que tem o seu serviço publicado externamente, o destino é a rede interna que vai acessar esse serviço, a opção da NAT deve ser “Serviços”, a entidade virtual é o IP público pelo qual o serviço é acessado externamente e por último o serviço que será publicado, no exemplo utilizado nesse documento o serviço escolhido foi o HTTP (porta 80 TCP). A Figura 3 mostra a NAT com a regra já criada na posição um. Figura 3 – NAT com redes diferentes. Feita essa configuração, toda requisição que vier da rede LAN (10.0.0.0/24) com destino ao IP público do servidor WEB (200.0.0.5) na porta 80 TCP, será encaminhada para o IP do servidor localizado na rede DMZ (172.16.0.10). Documentação Auxiliar de Produto – Aviso Legal: esta documentação deve ser utilizada somente por administradores ou usuários experientes, preferencialmente em horário que uma alteração de configuração não impacte no funcionamento do ambiente. A Aker não é responsável pelo mau uso deste documento. Aker Security Solutions www.aker.com.br HOW TO Como acessar um serviço interno pelo IP Público Produto: Versão do produto: Versão do documento: Data de revisão: Data da publicação: Página: Aker Firewall 6.8 1.0 26/06/15 26/06/15 3 de 4 2 NAT COM APENAS UMA REDE Quando o servidor está na mesma rede que a estação de trabalho é necessário criar duas regras de NAT, sendo que elas devem ser posicionadas acima das regras do tipo “Sem NAT”. Descrição do endereçamento das entidades de rede e máquina. Entidade Rede / IP SERVIDOR_WEB 10.0.0.10 LAN 10.0.0.0/24 IF_LAN 10.0.0.1 IF_WAN 200.0.0.5 A primeira regra deve ser feita da seguinte maneira. A origem deve ser o IP do servidor que possui a aplicação que tem o seu serviço publicado externamente, o destino é a rede interna que vai acessar esse serviço, a opção da NAT deve ser “Serviços”, a entidade virtual é o IP público pelo qual o serviço é acessado externamente e por último o serviço que será publicado, no exemplo utilizado nesse documento o serviço escolhido foi o HTTP (porta 80 TCP). A segunda regra deve ser feita da seguinte maneira. A origem deve ser a rede interna que vai acessar o serviço, o destino é o IP interno do servidor, a opção da NAT deve ser “N:1”, a entidade virtual é o endereço IP da interface do Aker Firewall pertencente a rede interna e por último o serviço que foi publicado na regra anterior. A Figura 4 expõe a NAT com as regras já criadas na posição um e dois. Figura 4 – NAT com mesma rede. Documentação Auxiliar de Produto – Aviso Legal: esta documentação deve ser utilizada somente por administradores ou usuários experientes, preferencialmente em horário que uma alteração de configuração não impacte no funcionamento do ambiente. A Aker não é responsável pelo mau uso deste documento. Aker Security Solutions www.aker.com.br HOW TO Como acessar um serviço interno pelo IP Público Produto: Versão do produto: Versão do documento: Data de revisão: Data da publicação: Página: Aker Firewall 6.8 1.0 26/06/15 26/06/15 4 de 4 Feita essa configuração, toda requisição que vier da rede LAN (10.0.0.0/24) com destino ao IP público do servidor WEB (200.0.0.5) na porta 80 TCP, será encaminhada para o IP (10.0.0.10) do servidor também localizado na rede LAN. Logo após passar pela regra número um da NAT o pacote passará pela segunda regra onde o acesso ao servidor WEB vindo da mesma rede será encaminhado com o IP da interface do Aker Firewall. Isso é necessário para que o tráfego vá e volte pelo mesmo caminho, caso contrário a ida passará pelo Aker Firewall e a volta será encaminhada diretamente para a estação de trabalho. Considerações Finais Após a configuração acima descrita, os usuários conseguirão acessar o serviço interno pelo IP público. Documentação Auxiliar de Produto – Aviso Legal: esta documentação deve ser utilizada somente por administradores ou usuários experientes, preferencialmente em horário que uma alteração de configuração não impacte no funcionamento do ambiente. A Aker não é responsável pelo mau uso deste documento. Aker Security Solutions www.aker.com.br