Почему Фаервол блокирует соединение



  • Здравствуйте. Есть 4 компьютера:

    • 192.168.10.14 - шлюз. ОС стоит OpenSUSE или pfSense, без разницы (два системных блока, просто меняю). К нему подключены первый интернет и сети 192.168.10.0/24, 192.168.11.0/24. 192.168.11.0/24 - как DMZ.

    • 192.168.11.3 - вэб сервер. На нем же стоит XMPP-сервер. К нему можно подключиться по VNC

    • 192.168.10.4 - шлюз. ОС стоит pfSense. К нему подключены второй интернет и сеть 192.168.10.0/24

    • 192.168.10.24 - пользовательский ПК. На нем клиенты VNC (порт 5901) и XMPP (порт 5222) для подключения к вэб серверу.

    У 192.168.10.4 настройки:

    Если 192.168.10.24 подключить к шлюзу 192.168.10.14, то клиенты стабильно работают. Если 192.168.10.24 подключить к шлюзу 192.168.10.4, то клиенты начинают периодически отключаться. В логах 192.168.10.4 записи, что фаервол блокирует:

    Там еще есть записиси с портом 5901. Почему фаервол блокирует, если есть правило, разрешающее подключение к сети 192.168.11.0/24 на любые порты?



  • Если щелкнуть на красный крестик слева, то будет подсказка, каким правило заблокировано. Возможно это поможет найти причину.



  • Потому что у вас типичный случай асимметричной маршрутизации

    ответы от веб сервера на обратном пути не проходят через pfSense, что необходимо ему для отслеживания соединения.



  • В подсказке написано про правило по умолчанию для IPv4. Тогда сеть нужно поделить? Хотел попробовать VLAN, но шлюз и компьютер пользователя друг друга не видят. Попробовал еще одну бредовую идею: добавить статический маршрут на шлюзе 192.168.10.14 до 192.168.10.24, но pfSense 192.168.10.14 ругнулся, кажется, когда я пытался добавить ему gateway 192.168.10.4.


    Устал, и включился генератор бредовых идей :(.



  • 1. Зачем вам ДВА шлюза в одной сети ? Для чего организовано DMZ ?
    2. Рисуйте схему.



  • Это было сделано для разгрузки, чтобы пользователи могли работать в онлайн программах. Т.к. фильтрацию контента никто не настраивал, то некоторые могли развлекаться в интернете и мешать другим работать. Из-за этого в организации все компьютеры в одной сети, и два шлюза в этой же сети. В DMZ находится вэб сервер. Сейчас нарисую…

    Наверное, мне нужно будет сделать так



  • Правильно ли я понял: чтобы убрать все ассиметричные маршруты два шлюза должны быть в одной сети, и в этой же сети больше никого не должно быть?



  • @Sega:

    Правильно ли я понял: чтобы убрать все ассиметричные маршруты два шлюза должны быть в одной сети, и в этой же сети больше никого не должно быть?

    Сеть физически одна ? Тогда правильным будет оставить один шлюз добавив ему еще один физ. интерфейс и дальше уже работать с multiwan.



  • Да, сеть была одна. Я уже начал разделение. Точнее уже вывел половину компьютеров и один шлюз в другую сеть. Шлюзы между собой еще не соединил. Оставлять одни шлюз на всех мне нельзя. Сеть до этого условно делилась на 2 этажа, и в нерабочие дни у сотрудников нет доступа к другому этажу: пойти включить шлюз, если пробки выбило. С электричеством все сложно  :(