Я вполне ясно понимаю вашу постановку. Чтобы обойтись без PBR, вам надо реализовать моё начальное предложение.
Если же вы хотите реализовать вашу постановку, то без PBR не обойтись. Это вполне очевидно ввиду того, что у вас запросы из одних и тех же сетей приходят на разные интерфейсы.
Но если вы настаиваете, что PBR не понадобится... Что ж. Я рад буду удивиться и посмотреть, как это у вас получится.
deux писал(а):
Хочу, чтобы правило allow_vlan_to_http-all в такой форме:
source if: vlan
source net: vlan_net
dest if: wan1
dest net: all-nets
service: http-all
action: nat
РАБОТАЛО. А оно не работает, потому что ...
Это правило будет работать, если вы для ваших вланов сделаете DFL основным шлюзом, а в остальные сети будете ломиться через коммутатор.
Я написал достаточно на пути решения вашей задачи. Если вам нужна пошаговая инструкция или удаленная реализация - ко мне или к Вове (за вознаграждение).
_________________
6 x
DFL-210, 2 x
DFL-800. Для
DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW).
СКАЧАТЬ.Совет: Не используйте в IP- и Routing-правилах сочетание
any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.
Вход
Регистрация
FAQ
Поиск
