faq обучение настройка
Текущее время: Чт мар 28, 2024 22:29

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 5 ] 
Автор Сообщение
 Заголовок сообщения: DFL-860e. публикация сервиса
СообщениеДобавлено: Пн май 15, 2017 15:35 
Не в сети

Зарегистрирован: Пн май 15, 2017 14:45
Сообщений: 5
Добрый день,
Подскажите, что не так, пытаюсь пробросить порт на внутренний сервер, но не получается.
Что имеем:
Два интерфейса, на wan2.
ip: *9*.*6*.177.66
network: *9*.*6*.177.64/28
gate: *9*.*6*.177.65

Немного не допонимаю маршруты. По умолчанию у нас маршрут во внешнюю сеть через wan1. В таблицу маршрутизации внес маршрут с меньшей метрикой, и разместив его выше в списке:

iface: wan2; network: all-nets; gateway - wan2-gate (*9*.*6*.177.65); localIp: ip_local_server (192.168.3.5); metric: 100; broadcast: no;

Сделал ip-Rule:
1. action: sat; source iface: wan2; netwotk: all-nets; destination iface: core; network: public_serverv_ip (*9*.*6*.177.76); service: public_port (587)
SAT: Destination ip; new ip-address: ip_local_server (192.168.3.5); new port: 587; All-to-One Mapping: yes

2. action: allow; source iface: wan2; network: all-nets; destination iface: core; network: public_serverv_ip (*9*.*6*.177.76); service: public_port (587)

3 пробовал включать NAT с lan ip_local_server на wan2 all-nets, specify sender address - public_serverv_ip (*9*.*6*.177.76)

Эти правила ставлю первыми в списке, остальное за ними.
Пытаюсь соединиться, но в логах ловлю:
2017-05-15 14:42:33 Local0.Warning 192.168.0.1 [2017-05-15 14:42:32] FW: RULE: prio=3 id=06000051 rev=1 event=ruleset_drop_packet action=drop rule=Default_Access_Rule recvif=wan2 srcip=93.92.196.146 (iridato-1.cust.smartspb.net) destip=*9*.*6*.177.76 (*9*.*6*.177.76.mts.ru) ipdf=1 ipproto=TCP ipdatalen=32 srcport=36267 destport=587 tcphdrlen=32 syn=1.
Пробовал в правилах интерфейс назначения указать "any". все одно - drop.

адреса с *9*.*6*.177.66 по *9*.*6*.177.75 настроены как NAT-pool. Соответственно есть ip acceess rule для первого и второго wana, где используются соответсвующие ими nat_pool

В одной инструкции нашел, что нужно настроить ARP/Neighbor Discovery:
mode: Publish; iface: wan2; ip-address: public_serverv_ip (*9*.*6*.177.76) mac: 00-00-00-00-00-00, смотрел в статусе mac интерфейса и прописывал.
Но в общем-то до порта wan2 пакеты приходят, но firewall и без этого, но firewall их drop'ает.

Что не так???

Configuration:
Version 109
NetDefendOS Version:
11.04.01.11-30428
Oct 7 2016

У меня вообще цель опубликовать этот порт для одного ip одного подрядчика.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860e. публикация сервиса
СообщениеДобавлено: Пн май 15, 2017 15:38 
Не в сети

Зарегистрирован: Пн май 15, 2017 14:45
Сообщений: 5
я же правильно понимаю, что Default_Access_Rule должен отрабатывать после всех моих правил.
И да, правила на Nat прекрасно работают, интернет виден.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860e. публикация сервиса
СообщениеДобавлено: Пн май 15, 2017 16:09 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
viewtopic.php?f=3&t=29666

со слов Серия DFL: Пример настройки PBR от пользователя YuriAM

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860e. публикация сервиса
СообщениеДобавлено: Пн май 15, 2017 17:06 
Не в сети

Зарегистрирован: Пн май 15, 2017 14:45
Сообщений: 5
Vladimir22 писал(а):
http://forum.dlink.ru/viewtopic.php?f=3&t=29666

со слов Серия DFL: Пример настройки PBR от пользователя YuriAM


О, спасибо большое, похоже это моя тема, пойду покурю, что пишут.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-860e. публикация сервиса
СообщениеДобавлено: Ср авг 29, 2018 11:39 
Не в сети

Зарегистрирован: Пн май 15, 2017 14:45
Сообщений: 5
dopk писал(а):
Vladimir22 писал(а):
http://forum.dlink.ru/viewtopic.php?f=3&t=29666

со слов Серия DFL: Пример настройки PBR от пользователя YuriAM


О, спасибо большое, похоже это моя тема, пойду покурю, что пишут.


вернулся к вопросу, в прошлый раз времени не хватило разобраться.

Не работает даже публикация на основном интерфейсе, но недефолтном ip. Настроены ARP, NAT, SAT, ALLOW.

По логам DefaultRule дропает пакет, который мне нужен, при этом SRC interface = Wan1, а DST интерфейс пустой.
На основе инструкции YuriAM и лог делаю вывод: не хватает правила маршрутизации + таблица маршрутизации с направлением пактов на core (без них роутер не догадывается куда ему отправлять эти пакеты), а там уже произойдет ALLOW и SAT.


На cisco 881 для того же результата достаточно было одного правила для SAT (в моём случае, правда, правил было четыре, т.к. были настроены acl на обоих интерфейсах в оба направления). Кстати, в cisco в acl можно было сделать правило с reflect, в dlink вижу в firewall Goto и Return - надо будет изучить подробнее

Еще, возможно, NAT и ARP не обязательны - провести тест.
Отдельная таблица маршрутизации, возможно, тоже не обязательна. Кажется, что можно указать в основной таблице, что трафик для публикуемой ip отправлять на core (то есть обойтись без правил маршрутизации). Разница будет в том, что правило маршрутизации может выполняться для определенного сервиса, а маршрут в основной таблице будет применяться для всего трафика на данный адрес, что может быть удобнее в плане настройке других сервисов, но убирает дополнительную фильтрацию на входе, зато это может и чуть снизить нагрузку на устройство.

upd: 1. маршрут в основной таблице - работает
2. без NAT, кажется, тоже работает. С NAT с внешним адресом отличающимся от публикуемого тоже работает


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 5 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 53


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB