1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Пн июл 21, 2025 05:16

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 6 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
vladal
 Заголовок сообщения: DFL-210 и прозрачный прокси в DMZ
СообщениеДобавлено: Пн фев 04, 2008 16:41 
Не в сети

Зарегистрирован: Пн фев 04, 2008 13:19
Сообщений: 14
Добрый день!

Подскажите какие правила необходимо настроить в файерволе DFL-210, чтоб пустить http трафик через прозрачный прокси в DMZ с локальной сети.

DFL-210 является шлюзом для локальной сети и для DMZ.
Прокси сервер подключен к интерфейсу DMZ на DFL-210. Интернет подключен к интерфейсу WAN. Локальная сеть к LAN_Ethernet.
Вернуться наверх
 Профиль  
 
Stanislav Kozlov
 Заголовок сообщения:
СообщениеДобавлено: Вт фев 05, 2008 00:13 
Ещё раз обращяю Ваше внимание, что PROXY должен быть именно _ПРОЗРАЧНЫМ_. Для реализации указанной схемы нужно всего два правила
1. SAT LAN/lan_net -> wan/all-nets | service HTTP | SAT to port <нужный поррт> и IP
2. ALLOW или NAT LAN/lan_net -> wan/all-nets | service HTTP
после этого правила весь трафик на порты 80.443 будет _перенаправлен_ на нужный IP и порт! При этом прозрачный прокси должен знать про сети LAN_NET
Вернуться наверх
  
 
vladal
 Заголовок сообщения:
СообщениеДобавлено: Вт фев 05, 2008 02:51 
Не в сети

Зарегистрирован: Пн фев 04, 2008 13:19
Сообщений: 14
Stanislav Kozlov писал(а):
Ещё раз обращяю Ваше внимание, что PROXY должен быть именно _ПРОЗРАЧНЫМ_. Для реализации указанной схемы нужно всего два правила
1. SAT LAN/lan_net -> wan/all-nets | service HTTP | SAT to port <нужный поррт> и IP
2. ALLOW или NAT LAN/lan_net -> wan/all-nets | service HTTP
после этого правила весь трафик на порты 80.443 будет _перенаправлен_ на нужный IP и порт! При этом прозрачный прокси должен знать про сети LAN_NET


Спасибо за ответ Станислав.
По пунктам:
1. Если прокси прозрачный, то перенаправлять http трафик нужно только на IP прокси сервера, при этом не нужно указывать порт проксика. Или я ошибаюсь?
2. Прокси в DMZ зоне знает про сеть LAN_NET, т.к. в ДНС прописан адрес DC в локальной сети + настроены правила проброса с DMZ в LAN_NET через DFL-210.
3. При использовании правил:
SAT LAN/lan_net -> wan/all-nets | service HTTP | SAT to port <нужный поррт> и IP
и ALLOW или NAT LAN/lan_net -> wan/all-nets | service HTTP
трафик пересылается на прокси, но не уходит во внешнюю сеть.
В качестве кеширующего прозрачного прокси выступает Kerio Winroute FireWall (весь трафик разрешен).

Еще раз повторю, прокси сервер не связан на прямую с Инетом (т.е. он имеет один сетевой интрфейс с адресом 192.168.200.2, а DMZ интерфейс DFL-210 - 192.168.200.1). В настройках сетевого интерфейса проксика, шлюзом является 192.168.200.1

Схема подключения:

Код:
LAN_NET
(LAN: 192.168.100.xxx)
(DNS: 192.168.100.1/192.168.200.2)
(GW:192.168.100.10 - DFL-210)
              |
              |
|------------------------------|
|    (192.168.100.10)          |
|                              |
|                              |-----WAN(Белый IP)
|        DFL-210               |
|    (192.168.200.1)---------  |-----DMZ
|------------------------------|   (192.168.200.2)
                                   (DNS1: 192.168.100.1)
                                   (DNS2: DNS-провайдера)
                                   (GW: 192.168.200.1)
Вернуться наверх
 Профиль  
 
Sergey Vasiliev
 Заголовок сообщения:
СообщениеДобавлено: Вт фев 05, 2008 10:52 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
1. Если прозрачный и работает по всем портам, то не надо.

3. Вы сами сказали, трафик пересылается, а дальше дело уже за вашим proxy.
Вернуться наверх
 Профиль  
 
vladal
 Заголовок сообщения:
СообщениеДобавлено: Ср фев 06, 2008 12:49 
Не в сети

Зарегистрирован: Пн фев 04, 2008 13:19
Сообщений: 14
Sergey Vasiliev писал(а):
1. Если прозрачный и работает по всем портам, то не надо.

3. Вы сами сказали, трафик пересылается, а дальше дело уже за вашим proxy.


Посмотрел программой TCPView (в DMZ):
При использовании правил, что описаны выше SAT/Allow, пакет пересылается на прокси. После этого пакет сразу возвращается источнику. Т.е. при запросе любой странички из lan_net получаем ответ HTTP 404 Не найдено.
Не могу сообразить, как заставить прокси пересылать пакеты дальше в WAN. Или это не возможно с такой схемой подключения, что указана выше?
Вернуться наверх
 Профиль  
 
Sergey Vasiliev
 Заголовок сообщения:
СообщениеДобавлено: Ср фев 06, 2008 13:23 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
Получается так, что эти ресурсы запрашиваются как бы у вашего PROXY, так что настройте так, чтоб по запросу он эти ресурсы закачивал.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 6 ] 

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 491

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB