LAN to LAN routing
-
Подскажите новичку, как из одной локалки в другую пакеты роутить?
Есть локальная сеть с серверами, на них снаружи сделан проброс портов, хочется из основной локалки разрешить только определенный трафик к этим серверам, скажем, по 3389-му порту.
Что-то я после линукса не очень понял, как форвардинг делается :( -
не совсем понял вопрос, но думаю надо смотреть в System|Static routes + firewall|rules
-
А можно топологию сети подробнее?
Не понятно то-ли одна, то-ли 2 локалки. -
Э-э, если LAN 2 LAN, то, соответственно, 2 LAN'а
Интерфейсов, скажем, три: WAN, LAN, OPT1. Причем, OPT1 является чем-то вроде DMZ - снаружи в эту сетку проброшены порты, адреса, соответственно, приватные.
Задача: Настроить роутинг из LAN в OPT1 с фильтрацией по портам, типа, из LAN можно обращаться к серверам в OPT1 только по портам 3389 и 443, а инициировать соединение из OPT1 в LAN невозможно. -
На интерфейсе OPT1 настраиваем все нужные разрешения для LAN
(Rules файрвола вкладка OPT1 : разрешить src <lan_subnet>, port <any>–-> dst <opt1subnet>port <service>)
На стороне(вкладке) LAN в Rules делаем правила
(разрешить src <lan_subnet>port any -> <opt1_subnet>port <service>+ gateway<opt1>)То есть с Лана указывает гейтвеем OPT1. Это по-моему называется policy-based rules.
Скажите, а что вы хотите за соединения из OPT1 в LAN?
Все рулесы обычно прописываются _от_иточника, и все работает.
Если вы хотите чтобы клиент из подсети OPT1 ходил в LAN - нужно сделать так-же,
то есть на стороне OPT1 прописываем правила со сменой гейтвея(который станет LAN), а на стороне LAN разрешаем трафик OPT1_subnet <anyport>-> LAN_subnet</anyport></opt1></service></opt1_subnet></lan_subnet></service></opt1subnet></any></lan_subnet> -
(разрешить src <lan_subnet>port any -> <opt1_subnet>port <service>+ gateway<opt1>)
Что-то не могу я там произвольный gateway проставить - там комбобокс с моим общим gateway наружу, в инет - WAN.
Целиком для сетки LAN опять же нельзя gateway по умолчанию прописать на OPT1, ибо он должен указывать в инет.
А из ОРТ1 мне как раз и не нужно инициировать соединений никуда, только возвращать трафик уже установленных соединений.Да и, собственно, мне не разрешение.запрещение пакетов нужно, а РОУТИНГ. Может, я чего-то не понимаю в принципах работы Фри? В линуксе мне нужно было еще и форварды прописать в дополнение к разрешениям на вход и выход пакетов. Здесь не так? Или это где-то в другом месте задается?</opt1></service></opt1_subnet></lan_subnet>
-
Дело в том, что рулесет сразу формирует двунаправленный канал ('keep state')
Если он инициализируется клиентом, то по нему-же идут и обратные данные.
Роутинг можно - меню System->Static routes -
С обратным трафиком понятно - там все и так хорошо.
Я уже понял, где прокололся - тут по поднятию интерфейса не происходит автоматическойго добавления роута на сетку, в которую смотрит этот интерфейс :(
В линухе и винде добавил 172.16.1.1/16 интерфейсу - получи сразу дефолтовый роутинг на эту сетку в таблице. А тут - фигушки, пришлось ручками в статики прописывать. -
У меня все получалось..
Когда я поднимал Opt1 Ethernet интерфейс, то весь трафик адресованный в подсеть этого интерфейса шел как надо. Единственное что мне пришлось сделать, так это policy-based правилами (с указанием другого гейтвея) заруливать почтовый и веб трафик во внешний инет с LAN, чтобы он шел через OPT1 подсеть. -
Сопутствующий вопрос:
Можно ли в сем чудном дистре применять правила фаера, чтобы текущие соединения не отваливались? Это по дизайну веб-гуя такое или так сам pf работает? При попытке "Apply changes" напрочь отваливается аська и COM+ соединения между локалками - юзеры сразу поднимают визг, потому как между локалками роутится 1С :( Может, есть способ из командной строки применять правила без такого эффекта? -
У меня ничего не отваливается Может железо слабое?
-
Cel 2.66 512M DDR, правда, грузится и работает с Transcend DOM 512, 6 х NIC, трафик маленький.
Учитывая, что нагружено только фаером с НАТом плюс ГУЙ - как-то странно -
P2-500/128/4G
Постоянно работают терминалные сессии на удаленный сервер в Москве. При изменении правил отвалов не замечено. -
Может, оно в момент записи на флешак тормозит и отваливает? Все-таки до скорости записи на винт DOM-у далеко :(
-
Может.. Вполне.