Устройство DFL 900, прошивка NetOS Ver2.115 (WALL) #b: Fri May 26 02:12:32 CST 2006
Не работает маршрутизация между LAN 1 и DMZ 1.
Таблица маршрутизации:
1 Default/Static 0.0.0.0/0.0.0.0 100.100.100.1 WAN1
2 Net/Static 10.0.0.0/255.0.0.0 10.0.0.142 DMZ1
3 Net 10.0.0.128/255.255.255.240 10.0.0.130 DMZ1
4 Net 10.4.9.0/255.255.255.0 10.4.9.253 LAN1
5 Net 217.175.23.0/255.255.255.0 100.100.100.150 WAN1

LAN 1 - 10.4.9.253
WAN 1 - 100.100.100.150
DMZ 1 - 10.0.0.130

100.100.100.1 - шлюз для WAN
10.0.0.142 - шлюз для DMZ

Firewall опущен. Интернет из LAN работает, все хосты в WAN пингуются. Из LAN в DMZ пинга нет. Но если пинговать из консоли непосредственно с DFL 900, то пингуются все хосты в LAN, WAN и DMZ. Если пинговать из LAN в DMZ пинга нет, но если снифить трафик с железки tcpdump'ом на интерфейсе DMZ 1, то наличие пакетов идущих на хосты в DMZ есть. Пробовал решать проблему на разных прошивках, не работает. Делал шлюзом по умолчанию 10.0.0.142, не работает!

Судя по всему перекрываются маски, при использовании маски /8(255.0.0.0) сеть немаршурутизируемая и по-этому маршрутизации и нет.

И как быть в такой ситуации? На программном маршрутизаторе, реализованном на Linux такая схема работает. Вот таблица от туда:

Destination Gateway Genmask Flags Metric Ref Use Iface
10.0.0.128 0.0.0.0 255.255.255.240 U 0 0 0 eth2
100.100.100.150 0.0.0.0 255.255.255.0 U 0 0 0 eth0
10.4.9.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
10.0.0.0 10.0.0.130 255.0.0.0 UG 0 0 0 eth2
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 100.100.100.1 0.0.0.0 UG 0 0 0 eth0

Хорошо, а как тогда реализовать подобную схему на d-link DFL-900


LAN 1 - 10.4.9.253/24
WAN 1 - 100.100.100.150/24
DMZ 1 - 10.0.0.130/28

100.100.100.1 - шлюз для WAN
10.0.0.142 - шлюз для DMZ

привидите сначала схему

Если я правильно Вас понял то схема примерно такая



Такая схема должна работать, но всётаки почему Вы "опустили" правила FW?

Совершенно верно, схему нужно реализовать такую. Фаерволл опустил, что бы быть уверенным, что пакеты не рубят правила FW. Но правила настроены и должны пропускать icmp пакеты в DMZ. И если бы пакеты рубил FW, то это должно ложиться в логи по правилу defoult, а там все чисто. Еще такая мысль, может быть в d-link не выстроена таблица широковещательной рассылки?
Делаю пинг из LAN в DMZ и слушаю tcpdump интерфейс DMZ 1, вот что на выходе:
16:17:22.548936 10.4.9.112 > 10.0.0.142: icmp: echo request seq 15104
16:17:22.611512 802.1d config 8065.00:1b:0c:c3:be:00.801e root 6065.00:0c:ce:76:aa:80 pathcost 4 age 1 max 20 hello 2 fdelay 15
16:17:24.615782 802.1d config 8065.00:1b:0c:c3:be:00.801e root 6065.00:0c:ce:76:aa:80 pathcost 4 age 1 max 20 hello 2 fdelay 15
16:17:25.552219 arp who-has 10.0.0.142 tell 10.0.0.129
16:17:26.619834 802.1d config 8065.00:1b:0c:c3:be:00.801e root 6065.00:0c:ce:76:aa:80 pathcost 4 age 1 max 20 hello 2 fdelay 15
16:17:26.742919 10.0.0.142 > 224.0.0.5: OSPFv2-hello 44: rtrid 10.255.255.252 backbone dr 10.0.0.142 [tos 0xc0] [ttl 1]
16:17:27.941678 arp who-has 10.4.100.6 tell 10.0.0.129
16:17:28.027781 10.4.9.112 > 10.0.0.142: icmp: echo request seq 15360
16:17:28.623926 802.1d config 8065.00:1b:0c:c3:be:00.801e root 6065.00:0c:ce:76:aa:80 pathcost 4 age 1 max 20 hello 2 fdelay 15
16:17:30.420164 CDP v2, ttl=180s DevID 'msk_csw'[|cdp]
16:17:30.628060 802.1d config 8065.00:1b:0c:c3:be:00.801e root 6065.00:0c:ce:76:aa:80 pathcost 4 age 1 max 20 hello 2 fdelay 15

нет ответа на ping от 10.0.0.142 на 10.4.9.112
и вот эту строчку не пойму
16:17:26.742919 10.0.0.142 > 224.0.0.5: OSPFv2-hello 44: rtrid 10.255.255.252 backbone dr 10.0.0.142 [tos 0xc0] [ttl 1]

Вот лог FW
10.4.9.112 10.0.0.142 ICMP(8) LAN1 DMZ1 Forward ping

Судя по сообщению из дампа:
16:17:22.548936 10.4.9.112 > 10.0.0.142: icmp: echo request seq 15104
Пакет уходит от устройства, но ответа(роутера) нет. Проверяйте конфигурацияю Роутера, DFL тут не причём.
16:17:26.742919 10.0.0.142 > 224.0.0.5: OSPFv2-hello 44: rtrid 10.255.255.252 backbone dr 10.0.0.142 [tos 0xc0] [ttl 1]
это OSPF пакеты, может быть таблица маршрутизации на 142 сбилась именно из динамической маршрутизации.

Совершенно верно! Все работает, спасибо большое!
Попутно, если можно, еще один вопрос.
Подобный вопрос уже задавался в форуме, но я так понял, что он не был до конца прояснен. Вопрос такого плана: в логи периодически сыпятся сообщения такого плана:
200.66.231.14 100.100.100.150 ICMP(8) WAN1 WAN1 Block RM-MISC

Вот, что это за правило такое RM-MISC? Так же, подобное правило срабатывает при пинге интерфейсов d-link. И поэтому даже, если при разрешении правилами fw на пинг интерфейсов, интерфейсы d-link не отвечают, а в логи пишется срабатывание правила RM-MISC.

RM Misc это вкладка Remote Management -> MISC.
Там хранятся разрешения отклика на ICMP запросы, у Вас они выключены, отсюда и блок.

Все, понятно, спасибо!
Еще такой момент, в логах часто появляются сообщения типа:
100.100.100.150 134.214.208.158 ICMP(3) WAN1 WAN1 Block Default

тоже самое и для LAN1 LAN1 и DMZ1 DMZ1. т.е. как я понял возникает какой-то произвольный icmp трафик между интерфейсами и хостами сети в которую интерфейс смотрит. Вот, собственно, что это за трафик и нужно ли его разрешать в fw для LAN1 to LAN1 или DMZ1 to DMZ1?

это так же для пинга интерфейсов. Конструкция lan-lan разрешает пинг интерфейса.

Понятно! Спасибо большое!