Omada Pro Logo official website Vigi Logo official website
Связаться с нами
Казахстан / Русский

Как разрешить доступ к внутреннему серверу на шлюзах Omada определенным публичным IP-адресам.

База знаний
Руководство по настройке
BookmarksCopy Link
06-19-2026
598

 

Введение

Требования

Настройка

Настройка в автономном режиме

Настройка под управлением контроллера

Заключение

Вопросы и ответы

 

Введение

При размещении внутреннего сервера за шлюзом Omada, например веб-сервера, его открытие в Интернет может создать угрозы безопасности. В этом руководстве показано, как разрешить доступ к внутреннему серверу только с определённых публичных IP-адресов, блокируя весь остальной публичный трафик.

Требования

  • Шлюз Omada

 

Топология сети

Демонстрационная топология для данной статьи.

Примечание: В данном руководстве использовались ER605, аппаратный контроллер OC200 и внутренний веб-сервер на Linux, работающий на порту 8080. Для программного и облачного контроллера следуйте тем же шагам.

Настройка

Настройка в автономном режиме

Шаг 1. Перейдите в раздел Трансляция > NAT > Виртуальные серверы, чтобы сопоставить порт внутреннего сервера с WAN-интерфейсом. В этом примере внутренний веб-сервер находится на 192.168.0.102:8080.

 

Страница настройки виртуального сервера.

 

Шаг 2. Перейдите в раздел Настройки > Тип службы и создайте пользовательский тип службы, определив конкретный протокол и порт, используемые внутренним сервером. Выберите Диапазон портов источника 0-65535 и установите Диапазон портов назначения на порт, используемый внутренним сервером, в данном примере это 8080.

Страница настройки типа службы.

 

Шаг 3. Перейдите в раздел Настройки > IP-группа > IP-адрес, чтобы определить целевые IP-адреса. Создайте два IP-адреса: один для внешнего IP-адреса разрешённого клиента (Allowed_Client) и один для локального IP-адреса внутреннего сервера (Internal_Server).

Создание IP-адреса для разрешённого внешнего клиента.

 

Создание IP-адреса для внутреннего веб-сервера.

 

Примечание: Убедитесь, что IP-адрес внешнего клиента и внутреннего сервера либо статический, либо зарезервирован по DHCP, чтобы IP-адрес не менялся.

Шаг 4. Перейдите в раздел Настройки > IP-группа > IP-группа, чтобы создать две IP-группы для каждого соответствующего IP-адреса.

Создание IP-группы для разрешённого внешнего клиента.

 

Создание IP-группы для внутреннего веб-сервера.

 

Шаг 5. Перейдите в раздел Брандмауэр > Управление доступом, чтобы создать две политики брандмауэра. Сначала создайте разрешающее правило, сопоставляющее IP-группу источника «Allowed_Client» с IP-группой назначения «Internal_Server», используя Тип службы, созданный на соответствующем интерфейсе «WAN IN», с ID равным 1.

Разрешающее ACL от внешнего клиента к внутреннему серверу.

 

Затем создайте блокирующее правило, сопоставляющее IP-группу источника «IPGROUP_ANY» с IP-группой назначения «Internal_Server», используя Тип службы, созданный на соответствующем интерфейсе «WAN IN», с ID равным 2.

Примечание: В режиме контроллера «Тип службы» заменён на «Протоколы».

 

Блокирующее ACL от всех к внутреннему серверу.

 

Примечание: Правила ACL обрабатываются последовательно, от наименьшего номера ID к наибольшему. Именно поэтому разрешающее правило должно находиться перед блокирующим.

Шаг 6. Убедитесь, что только внешний клиент (66.249.64.2) может получить доступ к внутреннему серверу (192.168.0.102:8080), обратившись к IP-адресу WAN-порта с правильным портом внутреннего сервера (66.249.64.3:8080).

 

Доступ к внутреннему серверу с внешнего клиента.

 

Когда внешний клиент изменён на другой IP-адрес (66.249.64.4), он больше не может получить доступ к внутреннему серверу из-за правила ACL, разрешающего только 66.249.64.2:

Внешний клиент заблокирован при доступе к внутреннему серверу.

 

Настройка под управлением контроллера

Шаг 1. Перейдите в раздел Настройка сети > Трансляция > NAT > Проброс портов, чтобы сопоставить порт внутреннего сервера с WAN-интерфейсом. В этом примере внутренний веб-сервер находится на 192.168.0.102:8080.

 

Настройки проброса портов.

 

 

Страница настройки проброса портов.

 

Шаг 2. Перейдите в раздел Настройка сети > Группы, чтобы создать IP-группу для внешнего клиента (66.249.64.2) и IP-порт группу для внутреннего веб-сервера (192.168.0.102:8080).

Настройки IP-групп.

 

 

IP-группа разрешённого клиента.

 

IP-порт группа внутреннего сервера.

 

Примечание: Убедитесь, что IP-адрес внешнего клиента и внутреннего сервера либо статический, либо зарезервирован по DHCP, чтобы IP-адрес не менялся.

Шаг 3. Перейдите в раздел Настройка сети > ACL > Gateway ACL, чтобы создать две политики брандмауэра.

Настройки ACL.

 

Сначала создайте разрешающее правило, сопоставляющее IP-группу источника «Allowed_Client» с IP-порт группой назначения «Internal_Server» на соответствующем интерфейсе «WAN IN» для всех протоколов.

Настройки ACL для разрешения доступа клиента к серверу.

 

Затем создайте запрещающее правило, сопоставляющее IP-группу источника «IPGROUP_ANY» с IP-порт группой назначения «Internal_Server» на соответствующем интерфейсе «WAN IN». Для полной изоляции выбран вариант «Все протоколы».

 

Блокировка всех остальных внешних клиентов от доступа к внутреннему серверу.

 

Шаг 4. Убедитесь, что только внешний клиент (66.249.64.2) может получить доступ к внутреннему серверу (192.168.0.102:8080), обратившись к IP-адресу WAN-порта с правильным портом внутреннего сервера (66.249.64.3:8080).

 

Доступ к внутреннему серверу с внешнего клиента.

 

Когда внешний клиент изменён на другой IP-адрес (66.249.64.4), он больше не может получить доступ к внутреннему серверу из-за правила ACL, разрешающего только внешнего клиента 66.249.64.2:

 

Внешний клиент заблокирован при доступе к внутреннему серверу.

 

Заключение

Мы успешно разрешили доступ к внутреннему серверу с определённого публичного IP-адреса.

Вопросы и ответы

В1: Что если использовать IP-группу вместо IP-порт группы в режиме контроллера?

О1: Если используется стандартная IP-группа, правило ACL будет применяться ко всем портам этого хоста, а не изолировать порт, используемый для внутреннего сервера.

В2: Что делать, если внешний клиент внезапно теряет доступ к внутреннему серверу?

О2: Проверьте, не изменился ли публичный IP-адрес внешнего клиента или не является ли он динамическим. IP-адрес должен совпадать с тем, который был указан в профиле IP.

Чтобы узнать больше о каждой функции и настройке, перейдите в Центр поддержки, чтобы скачать руководство для вашего продукта.

 
Please Rate this Document

Сопутствующие документы

Как использовать шлюз Omada, чтобы запретить определенным клиентам посещать определенные URL-адреса

Configuration Guide
04-08-2026
9225

Как настроить аутентификацию по MAC-адресу на контроллере Omada

Configuration Guide
Аутентификация
ACL
11-08-2024
51218

Как настроить VPN-клиент WireGuard для доступа к серверу-партнеру через IPsec-соединение типа «сайт-сайт» с использованием шлюза Omada.

Configuration Guide
01-06-2026
27292

Как настроить резервирование адресов для клиентов на шлюзе Omada на отдельной веб-странице

Configuration Guide
10-30-2024
33263

Как настроить фильтрацию MAC-адресов и сам фильтр MAC-адресов в режиме контроллера с помощью приложения Omada.

Руководство по настройке
11-14-2025
20049

Подпишитесь на рассылкуМы с ответственностью относимся к вашим персональным данным. Полный текст положения об обработке персональных данных доступен здесь. С нашими условиями использования и программой улучшения пользовательского опыта можно ознакомиться здесь.

Email Error

Мы в соцсетях

О нас
Пресс-центр
Учебный центр
TP-Link Omada Omada Pro VIGI
Казахстан / Русский

©2026 TP-Link Казахстан и ее аффилированные компании. Все права защищены.

This website uses cookies to improve website navigation, analyze online activities and have the best possible user experience on our website. You can object to the use of cookies at any time. You can find more information in our privacy policy . Don’t show again

Your Privacy Choices

This website uses cookies to improve website navigation, analyze online activities and have the best possible user experience on our website. You can object to the use of cookies at any time. You can find more information in our privacy policy . Don’t show again

Basic Cookies

These cookies are necessary for the website to function and cannot be deactivated in your systems.

TP-Link

SESSION, JSESSIONID, accepted_local_switcher, tp_privacy_banner, tp_privacy_base, tp_privacy_marketing, tp_top-banner, tp_popup-bottom, tp_popup-center, tp_popup-right-middle, tp_popup-right-bottom, tp_productCategoryType

Youtube

id, VISITOR_INFO1_LIVE, LOGIN_INFO, SIDCC, SAPISID, APISID, SSID, SID, YSC, __Secure-1PSID, __Secure-1PAPISID, __Secure-1PSIDCC, __Secure-3PSID, __Secure-3PAPISID, __Secure-3PSIDCC, 1P_JAR, AEC, NID, OTZ

Zendesk

OptanonConsent, __cf_bm, __cfruid, _cfuvid, _help_center_session, _pendo___sg__.<container-id>, _pendo_meta.<container-id>, _pendo_visitorId.<container-id>, _zendesk_authenticated, _zendesk_cookie, _zendesk_session, _zendesk_shared_session, ajs_anonymous_id, cf_clearance

Analysis and Marketing Cookies

Analysis cookies enable us to analyze your activities on our website in order to improve and adapt the functionality of our website.

The marketing cookies can be set through our website by our advertising partners in order to create a profile of your interests and to show you relevant advertisements on other websites.

Google Analytics & Google Tag Manager

_gid, _ga_<container-id>, _ga, _gat_gtag_<container-id>

Google Ads & DoubleClick

test_cookie, _gcl_au