LAN to LAN routing
-
(разрешить src <lan_subnet>port any -> <opt1_subnet>port <service>+ gateway<opt1>)
Что-то не могу я там произвольный gateway проставить - там комбобокс с моим общим gateway наружу, в инет - WAN.
Целиком для сетки LAN опять же нельзя gateway по умолчанию прописать на OPT1, ибо он должен указывать в инет.
А из ОРТ1 мне как раз и не нужно инициировать соединений никуда, только возвращать трафик уже установленных соединений.Да и, собственно, мне не разрешение.запрещение пакетов нужно, а РОУТИНГ. Может, я чего-то не понимаю в принципах работы Фри? В линуксе мне нужно было еще и форварды прописать в дополнение к разрешениям на вход и выход пакетов. Здесь не так? Или это где-то в другом месте задается?</opt1></service></opt1_subnet></lan_subnet>
-
Дело в том, что рулесет сразу формирует двунаправленный канал ('keep state')
Если он инициализируется клиентом, то по нему-же идут и обратные данные.
Роутинг можно - меню System->Static routes -
С обратным трафиком понятно - там все и так хорошо.
Я уже понял, где прокололся - тут по поднятию интерфейса не происходит автоматическойго добавления роута на сетку, в которую смотрит этот интерфейс :(
В линухе и винде добавил 172.16.1.1/16 интерфейсу - получи сразу дефолтовый роутинг на эту сетку в таблице. А тут - фигушки, пришлось ручками в статики прописывать. -
У меня все получалось..
Когда я поднимал Opt1 Ethernet интерфейс, то весь трафик адресованный в подсеть этого интерфейса шел как надо. Единственное что мне пришлось сделать, так это policy-based правилами (с указанием другого гейтвея) заруливать почтовый и веб трафик во внешний инет с LAN, чтобы он шел через OPT1 подсеть. -
Сопутствующий вопрос:
Можно ли в сем чудном дистре применять правила фаера, чтобы текущие соединения не отваливались? Это по дизайну веб-гуя такое или так сам pf работает? При попытке "Apply changes" напрочь отваливается аська и COM+ соединения между локалками - юзеры сразу поднимают визг, потому как между локалками роутится 1С :( Может, есть способ из командной строки применять правила без такого эффекта? -
У меня ничего не отваливается Может железо слабое?
-
Cel 2.66 512M DDR, правда, грузится и работает с Transcend DOM 512, 6 х NIC, трафик маленький.
Учитывая, что нагружено только фаером с НАТом плюс ГУЙ - как-то странно -
P2-500/128/4G
Постоянно работают терминалные сессии на удаленный сервер в Москве. При изменении правил отвалов не замечено. -
Может, оно в момент записи на флешак тормозит и отваливает? Все-таки до скорости записи на винт DOM-у далеко :(
-
Может.. Вполне.