Почему Фаервол блокирует соединение
-
Здравствуйте. Есть 4 компьютера:
-
192.168.10.14 - шлюз. ОС стоит OpenSUSE или pfSense, без разницы (два системных блока, просто меняю). К нему подключены первый интернет и сети 192.168.10.0/24, 192.168.11.0/24. 192.168.11.0/24 - как DMZ.
-
192.168.11.3 - вэб сервер. На нем же стоит XMPP-сервер. К нему можно подключиться по VNC
-
192.168.10.4 - шлюз. ОС стоит pfSense. К нему подключены второй интернет и сеть 192.168.10.0/24
-
192.168.10.24 - пользовательский ПК. На нем клиенты VNC (порт 5901) и XMPP (порт 5222) для подключения к вэб серверу.
У 192.168.10.4 настройки:
Если 192.168.10.24 подключить к шлюзу 192.168.10.14, то клиенты стабильно работают. Если 192.168.10.24 подключить к шлюзу 192.168.10.4, то клиенты начинают периодически отключаться. В логах 192.168.10.4 записи, что фаервол блокирует:
Там еще есть записиси с портом 5901. Почему фаервол блокирует, если есть правило, разрешающее подключение к сети 192.168.11.0/24 на любые порты? -
-
Если щелкнуть на красный крестик слева, то будет подсказка, каким правило заблокировано. Возможно это поможет найти причину.
-
Потому что у вас типичный случай асимметричной маршрутизации
ответы от веб сервера на обратном пути не проходят через pfSense, что необходимо ему для отслеживания соединения.
-
В подсказке написано про правило по умолчанию для IPv4. Тогда сеть нужно поделить? Хотел попробовать VLAN, но шлюз и компьютер пользователя друг друга не видят. Попробовал еще одну бредовую идею: добавить статический маршрут на шлюзе 192.168.10.14 до 192.168.10.24, но pfSense 192.168.10.14 ругнулся, кажется, когда я пытался добавить ему gateway 192.168.10.4.
Устал, и включился генератор бредовых идей :(.
-
1. Зачем вам ДВА шлюза в одной сети ? Для чего организовано DMZ ?
2. Рисуйте схему. -
Это было сделано для разгрузки, чтобы пользователи могли работать в онлайн программах. Т.к. фильтрацию контента никто не настраивал, то некоторые могли развлекаться в интернете и мешать другим работать. Из-за этого в организации все компьютеры в одной сети, и два шлюза в этой же сети. В DMZ находится вэб сервер. Сейчас нарисую…
Наверное, мне нужно будет сделать так
-
Правильно ли я понял: чтобы убрать все ассиметричные маршруты два шлюза должны быть в одной сети, и в этой же сети больше никого не должно быть?
-
Правильно ли я понял: чтобы убрать все ассиметричные маршруты два шлюза должны быть в одной сети, и в этой же сети больше никого не должно быть?
Сеть физически одна ? Тогда правильным будет оставить один шлюз добавив ему еще один физ. интерфейс и дальше уже работать с multiwan.
-
Да, сеть была одна. Я уже начал разделение. Точнее уже вывел половину компьютеров и один шлюз в другую сеть. Шлюзы между собой еще не соединил. Оставлять одни шлюз на всех мне нельзя. Сеть до этого условно делилась на 2 этажа, и в нерабочие дни у сотрудников нет доступа к другому этажу: пойти включить шлюз, если пробки выбило. С электричеством все сложно :(