faq обучение настройка
Текущее время: Вт янв 28, 2020 04:59

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 13 ] 
Автор Сообщение
СообщениеДобавлено: Чт мар 29, 2018 15:47 
Не в сети

Зарегистрирован: Чт мар 29, 2018 15:28
Сообщений: 6
Имеем, общую схему:
В WAN1 приходит Инет. из него трафик идет в LAN3. Используется таблица маршрутизации созданная ручками alt_wan1
Изображение
Правила стандартные - на выход разрешить все кроме SMB
Изображение

Такая же ситуация с WAN2: пришел интет, его отправили на LAN2, через другую таблицу маршрутизации alt_wan2.
Т.Е. LAN3 и LAN2 не пересекаются и живут отдельными жизнями.
возникла потребность: Нужно из LAN3 дать доступ к конкретному девайсу в LAN2.
Всей подсети LAN3 192.168.0.0/22 разрешить ходить в подсеть LAN2 10.10.10.0/24 на один конкретный адрес - 10.10.10.20.

В правилах прописал - разрешить бегать трафику, в маршрутизации прописал разрешение бегать между таблицами маршрутизации
Изображение

Я дурак и чего-то не до указал? или неправильно что-то составил?
Кто сможет подсказать?


Вложения:
Безымянный.png
Безымянный.png [ 77.65 KiB | Просмотров: 1356 ]
2018-03-29_14-33-32.png
2018-03-29_14-33-32.png [ 42.3 KiB | Просмотров: 1356 ]
2018-03-29_14-31-20.png
2018-03-29_14-31-20.png [ 25.68 KiB | Просмотров: 1356 ]
Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт мар 29, 2018 20:55 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8943
Откуда: Москва
Покажите таблицу main

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт мар 29, 2018 21:00 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8567
Откуда: Москва
Правила LAN3-to-LAN2 есть. А где правила LAN2-to-LAN3 ? Вы же используете Allow. Обратно ж пакеты должны как-то ходить, верно? Им это кто-то разрешил? Нет.

Ну, или в существующих правилах LAN3-to-LAN2 замените Allow на NAT.

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт мар 30, 2018 13:01 
Не в сети

Зарегистрирован: Чт мар 29, 2018 15:28
Сообщений: 6
Vladimir22 писал(а):
Покажите таблицу main

Таблица MAIN в принципе не используется
Изображение


Вложения:
2018-03-30_11-57-58.png
2018-03-30_11-57-58.png [ 24.2 KiB | Просмотров: 1335 ]
Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт мар 30, 2018 13:04 
Не в сети

Зарегистрирован: Чт мар 29, 2018 15:28
Сообщений: 6
MTRX писал(а):
Правила LAN3-to-LAN2 есть. А где правила LAN2-to-LAN3 ? Вы же используете Allow. Обратно ж пакеты должны как-то ходить, верно? Им это кто-то разрешил? Нет.

Ну, или в существующих правилах LAN3-to-LAN2 замените Allow на NAT.


Обратку прописал. Уже подкинули эту идею.
Изображение

Не помогло. Попробую сейчас с NAT


Вложения:
2018-03-30_12-00-55.png
2018-03-30_12-00-55.png [ 26.5 KiB | Просмотров: 1335 ]
Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт мар 30, 2018 13:10 
Не в сети

Зарегистрирован: Чт мар 29, 2018 15:28
Сообщений: 6
MTRX писал(а):
Правила LAN3-to-LAN2 есть. А где правила LAN2-to-LAN3 ? Вы же используете Allow. Обратно ж пакеты должны как-то ходить, верно? Им это кто-то разрешил? Нет.

Ну, или в существующих правилах LAN3-to-LAN2 замените Allow на NAT.

Попробовал - не помогло
Изображение

В логах есть такая вот запись:
Изображение


Вложения:
2018-03-30_12-05-53.png
2018-03-30_12-05-53.png [ 57.66 KiB | Просмотров: 1335 ]
2018-03-30_12-06-32.png
2018-03-30_12-06-32.png [ 47.46 KiB | Просмотров: 1335 ]
Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт мар 30, 2018 14:15 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8567
Откуда: Москва
SYSTEM\Advanced Settings\IP Settings

TTL Min = 1
TTL on Low = Log


http://ftp.dlink.ru/pub/FireWall/DFL-26 ... _Guide.pdf

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт апр 03, 2018 14:45 
Не в сети

Зарегистрирован: Чт мар 29, 2018 15:28
Сообщений: 6
MTRX писал(а):
SYSTEM\Advanced Settings\IP Settings

TTL Min = 1
TTL on Low = Log


http://ftp.dlink.ru/pub/FireWall/DFL-26 ... _Guide.pdf


не помогло


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт апр 03, 2018 15:27 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7179
Откуда: Екатеринбург
Безо всяких правил и таблиц маршрутизации сделать IP-правило доступа и все. Это спокойно сработает через таблицу main.

Простейшая задача для того, кто уже разобрался с PBR.

Разумеется, в таблице main нужен маршрут для lan2, аналогичный lan1.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Последний раз редактировалось YuriAM Ср апр 04, 2018 10:50, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт апр 03, 2018 15:55 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8943
Откуда: Москва
YuriAM писал(а):
Разумеется, в таблице main нужен маршрут для lan2, аналогичный lan1

+1

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт апр 03, 2018 17:05 
Не в сети

Зарегистрирован: Чт мар 29, 2018 15:28
Сообщений: 6
YuriAM писал(а):
безо всяких таблиц маршр-ии сделать IP-правило доступа и все. Это спокойно сработает через таблицу main.

Простейшая задача для того, кто уже разобрался с PBR.

Разумеется, в таблице main нужен маршрут для lan2, аналогичный lan1.


Если бы я хотел держать все в main то и вопрос бы звучал по другому.

Есть конкретная ситуация, есть конкретный вопрос. И как то там не звучит, что у меня только одна таблица маршрутизации.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт апр 03, 2018 19:12 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8943
Откуда: Москва
Я бы, написал свою фразу про пакет.. Но промолчу.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт сен 28, 2018 06:24 
Не в сети

Зарегистрирован: Пт сен 28, 2018 06:19
Сообщений: 1
There are LAN3-to-LAN2 rules. Also, where are the principles of LAN2-to-LAN3? You are utilizing Allow. Rucksacks must go some way or another, isn't that so? Did they enable this to somebody? No.

All things considered, or in the current LAN3-to-LAN2 rules, supplant the Allow on NAT. :D :)


Showbox for kindle

How to use flipaclip for windows.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 13 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 4


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB