в общем, стоит задача сделать из него небольшой роутер(порта на 4) с правилами доступа.
1.из подсеток филиалов доступ к нескольким серверам в сети центрального офиса по определенным портам.
2.доступ из центра к определенным серверам в филиалах также по определенным портам.
пункт 1 делается легко, со вторым проблемы
прилагаю конфиг, короткое пояснение:
192.168.0.28 - почта и прокси в центре
192.168.0.10 - сетевой ресурс MS в центре
192.168.0.16,19 - сервера приложений
192.168.105.18 - сервер приложений в филиале, к которому надо поиметь доступ из центра, напрмер, по 951 порту, в чем, собственно и загвоздка
клиентское приложение со своей стороны открывает случайные порты(правда, в определенном диапазоне) и , похоже,соединения со стороны филиала со стороны по этим портам блокируются последним правилом "запретить все неразрешенные соединения"
как обойти?
конфиг
Код:
DES-3326S Fast Ethernet Switch Command Line Interface
Firmware: Build 4.01-B36
Copyright(C) 2000-2004 D-Link Corporation. All rights reserved.
DES-3326S:4#show access_profile
Command: show access_profile
Access Profile Table
Access Profile ID : 1 Mode : Permit
TYPE : IP
================================================================================
MASK Option :
Dst. IP MASK
255.255.255.255
--------------- -----------------
Access ID : 1 (227)
---------------
192.168.98.1
Access ID : 2 (226)
---------------
192.168.0.4
================================================================================
Access Profile ID : 40 Mode : Permit
TYPE : IP
================================================================================
MASK Option :
VLAN Dst. IP MASK ICMP
192.168.0.0
------------ --------------- -----------------
Access ID : 1 (228)
------------ --------------- -----------------
filial 192.168.0.0
================================================================================
Access Profile ID : 41 Mode : Permit
TYPE : IP
================================================================================
MASK Option :
VLAN Dst. IP MASK TCP Dst.P
192.168.0.28 0xFFFF
------------ --------------- -----------------
Access ID : 1 (230)
------------ --------------- -----------------
filial 192.168.0.28 110
Access ID : 2 (232)
------------ --------------- -----------------
filial 192.168.0.28 25
Access ID : 3 (231)
------------ --------------- -----------------
filial 192.168.0.28 80
Access ID : 4 (229)
------------ --------------- -----------------
filial 192.168.0.28 3128
Access ID : 5 (233)
------------ --------------- -----------------
filial 192.168.0.28 23
Access ID : 6 (234)
------------ --------------- -----------------
filial 192.168.0.28 22
================================================================================
Access Profile ID : 43 Mode : Permit
TYPE : IP
================================================================================
MASK Option :
VLAN Dst. IP MASK TCP Dst.P
192.168.0.255 0xFFFF
------------ --------------- -----------------
Access ID : 1 (239)
------------ --------------- -----------------
filial 192.168.0.16 951
Access ID : 2 (235)
------------ --------------- -----------------
filial 192.168.0.19 952
Access ID : 3 (237)
------------ --------------- -----------------
filial 192.168.0.16 9136
Access ID : 4 (238)
------------ --------------- -----------------
filial 192.168.0.16 3389
Access ID : 5 (240)
------------ --------------- -----------------
filial 192.168.0.10 3389
Access ID : 6 (243)
------------ --------------- -----------------
filial 192.168.0.10 137
Access ID : 7 (242)
------------ --------------- -----------------
filial 192.168.0.10 138
Access ID : 8 (241)
------------ --------------- -----------------
filial 192.168.0.10 139
Access ID : 9 (236)
------------ --------------- -----------------
filial 192.168.0.19 950
Access ID : 10 (244)
------------ --------------- -----------------
filial 192.168.0.10 135
================================================================================
Access Profile ID : 44 Mode : Permit
TYPE : IP
================================================================================
MASK Option :
VLAN Dst. IP MASK TCP Dst.P
192.168.105.255 0xFFFF
------------ --------------- -----------------
Access ID : 1 (245)
------------ --------------- -----------------
centr 192.168.105.18 951
================================================================================
Access Profile ID : 47 Mode : Permit
TYPE : IP
================================================================================
MASK Option :
VLAN Dst. IP MASK UDP Dst.P
192.168.0.10 0xFFFF
------------ --------------- -----------------
Access ID : 1 (248)
------------ --------------- -----------------
filial 192.168.0.10 137
Access ID : 2 (247)
------------ --------------- -----------------
filial 192.168.0.10 138
Access ID : 3 (246)
------------ --------------- -----------------
filial 192.168.0.10 139
Access ID : 4 (249)
------------ --------------- -----------------
filial 192.168.0.10 135
================================================================================
Access Profile ID : 50 Mode : Deny
TYPE : IP
================================================================================
MASK Option :
VLAN Dst. IP MASK
192.168.0.0
------------ --------------- -----------------
Access ID : 1 (250)
------------ ---------------
filial 192.168.0.0
================================================================================
Total Entries : 25
DES-3326S:4#