1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Пн июл 28, 2025 23:18

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 3 из 3
  [ Сообщений: 35 ]  На страницу Пред.  1, 2, 3
  Предыдущая тема | Следующая тема 
Автор Сообщение
ivan_a
СообщениеДобавлено: Пт сен 13, 2013 16:50 
Не в сети

Зарегистрирован: Пт сен 06, 2013 13:27
Сообщений: 15
Я уже, честно сказать, тоже запутался. Давайте рассмотрим такую схему:
DES-3828 с настроенными виланами 192.168.X.0/24 и ACL <--- технологическая подсеть 10.0.249.0/24 (подключена к дефолтным виланам с ID=1) ---> DFL-860e без виланов, только lan-интерфейс и wan'ы
В политиках PBR на DFL я буду указывать интерфейс источника - lan, а ip источника - подсети соответствующих виланов на DES'e. Такая схема будет правильная?
Вернуться наверх
 Профиль  
 
alex63
СообщениеДобавлено: Пт сен 13, 2013 20:55 
Не в сети

Зарегистрирован: Ср апр 27, 2011 08:21
Сообщений: 786
Да, я именно такую схему имел в виду, порт DES, ведущий к DFL, должен быть нетегированным, а диапазон ip на этом линке не пересекаться ни с чем.

Что касается PBR:
1) в правилах маршрутизации нужно писать destination interface = Any.
2) в main желательно иметь маршруты и через wan1 и через wan2 (какой будет работать, определяется метрикой) либо нужно писать access rules.
3) forward table = какая нужно, return table = main.
Вернуться наверх
 Профиль  
 
YuriAM
СообщениеДобавлено: Пт сен 13, 2013 21:19 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
разрешающие правила лучше писать вида

NAT Lan lan_nets wan_all all-nets all-services
где
lan_nets - группа всех сетей
wan_all - группа ван интерфейсов

так короче и удобнее.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.
Вернуться наверх
 Профиль  
 
ivan_a
СообщениеДобавлено: Пн сен 16, 2013 05:58 
Не в сети

Зарегистрирован: Пт сен 06, 2013 13:27
Сообщений: 15
Спасибо местным гуру, все получилось: добавил на DFL маршрут в сторону DES с метрикой 1 и все заработало!

alex63, а можете подробнее объяснить по поводу второго пункта: зачем в main маршруты через wan1 и wan2, если у меня четкое разделение локальных подсетей между интерфейсами wan (кому через какой выходить наружу)?
Вернуться наверх
 Профиль  
 
alex63
СообщениеДобавлено: Пн сен 16, 2013 15:42 
Не в сети

Зарегистрирован: Ср апр 27, 2011 08:21
Сообщений: 786
ivan_a писал(а):
Спасибо местным гуру, все получилось: добавил на DFL маршрут в сторону DES с метрикой 1 и все заработало!

Маршрут на Ваши клиентские сети со шлюзом DES? Да, забыл про это, думал что это уже сделано.

ivan_a писал(а):
alex63, а можете подробнее объяснить по поводу второго пункта: зачем в main маршруты через wan1 и wan2, если у меня четкое разделение локальных подсетей между интерфейсами wan (кому через какой выходить наружу)?

Для исходящих это не обязательно, я спутал с приемом входящих. Но все равно полезно иметь все маршруты, чтобы настроить резервирование или быстро вручную все поменять, если понадобится.
А подробно работа PBR в официальной документации описывается вот так:
NetDefend OS User Manual писал(а):
The Routing Table Selection Process
When a packet corresponding to a new connection first arrives, the processing steps are as follows
to determine which routing table is chosen:
1. The routing rules are first be looked up but to do this the packet's destination interface must be
determined and this is always done by a lookup in the main routing table. It is therefore
important that a match for the destination network is found or at least a default all-nets route
exists which can catch anything not explicitly matched.
2. A search is now made for a routing rule that matches the packet's source/destination
interface/network as well as service. If a matching rule is found then this determines the routing
table to use. If no routing rule is found then the main table will be used.
3. Once the correct routing table has been located, a check is made to make sure that the source IP
address in fact belongs on the receiving interface. The Access Rules are firstly examined to see
if they can provide this check (see Section 6.1, “Access Rules” for more details of this feature).
If there are no Access Rules or a match with the rules cannot be found, a reverse lookup in the
previously selected routing table is done using the source IP address. If the check fails then a
Default access rule log error message is generated.
4. At this point, using the routing table selected, the actual route lookup is done to find the
packet's destination interface. At this point the ordering parameter is used to determine how the
actual lookup is done and the options for this are described in the next section. To implement
virtual systems, the Only ordering option should be used.
5. The connection is then subject to the normal IP rule set. If a SAT rule is encountered, address
translation will be performed. The decision of which routing table to use is made before
carrying out address translation but the actual route lookup is performed on the altered address.
Note that the original route lookup to find the destination interface used for all rule look-ups
was done with the original, untranslated address.
6. If allowed by the IP rule set, the new connection is opened in the NetDefendOS state table and
the packet forwarded through this connection.

Много букф, я сам это уже перечитывал несколько раз и все равно забываю ньюансы,
но так уж оно работает.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 3 из 3
  [ Сообщений: 35 ]  На страницу Пред.  1, 2, 3

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 199

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB