我们的一个客户想要做端口转发到 crm 服务器,以便用户可以从 Internet 访问 crm。他们正在使用 ZyXel 防火墙(用于端口转发)。
他们已将 203.xx.xx.xx(公共 ip)映射到 192.Xx.xx.xx(本地 ip),传入和传出端口 5555(我们的 crm 服务器的默认端口),但它不起作用.有什么建议吗?
我尝试映射为rdp和sql报告服务器(web服务器),这些东西都可以访问。
我已经被这个问题困扰了一天多。谁能帮忙
【问题讨论】:
在 crm 2011 中看到完整的 IFD 实施更为常见,因为 SSL 允许更高的安全性。我确实认为可以将 CRM 配置为仅使用常规端口转发,尽管我自己从未这样做过。
看这里:http://www.mscrmguru.com/2013/05/exposing-microsoft-dynamics-crm-2011.html
可用于端口转发的软件示例包括 Microsoft Forefront Treat 管理网关 (TMG) 和 Microsoft 最前沿的统一访问网关。基本上它归结为 以下:
- 用户输入 Internet 地址,例如http://crm.mycompany.com.au
- Internet 地址被识别并指向外部 注册的 IP 地址,例如162.123.123.11
- 外部 IP 地址被重定向到您的内部 IP 地址 通过您的反向代理/隧道/端口转发,例如 10.0.0.10
- 用户输入用户名和密码并通过身份验证。
- 向用户显示 Microsoft Dynamics CRM 2011 页面。
【讨论】:
最后我通过将端口 80 绑定到 IIS 中的 crm 网站解决了这个问题。不知道为什么 5555 端口不起作用,即使该端口已在防火墙中打开。
【讨论】:
您必须添加相应的策略控制才能与相应的 NAT 规则配对,否则在应用 NAT/端口转发规则时,它将被定向到受策略控制规则控制的设备的状态包检测部分,并被从那一刻开始下降。
通过选择“配置”菜单选项(看起来像两个黄色齿轮或齿轮,无论您如何称呼它们),然后选择“安全策略”,然后选择“策略控制”,即可找到策略控制。
规则结构类似于 NAT,除了在此屏幕上,您可以根据映射到配置的任何物理或逻辑接口的 ZONES 允许或拒绝流量。在大多数情况下,您希望允许来自 WAN 区域的端口 5555 流量从任何 IP 地址到 LAN、DMZ 或 VLAN 区域到 ZyXEL 防火墙中配置的主机或对象的 IP。
您需要确保端口 5555/TCP 或 5555/UDP(无论哪个适用于允许)在配置->对象->服务菜单下配置为服务对象。
之前配置服务将允许在设置 NAT 和策略规则时轻松设置,因为您将能够选择新的服务对象,而不仅仅是输入端口。无论如何,还需要为所有策略路由设置服务对象。
感觉这项工作已经完成了两次,但 NAT 和策略路由是两个不同的东西,必须配置为允许大多数类型的非标准流量。您的管理员可能更容易配置其他规则,例如 HTTP、FTP、SMTP 和各种常见服务,因为防火墙具有这些服务的内置对象,这使得为运行非标准高范围端口的服务配置规则变得容易小但更棘手。
【讨论】: