Задача: настроить на WAN-интерфейсе два и более IP-адресов, заставить их все пинговаться, настроить на каждом из них SAT.

DFL-260 сброшено в дефолт, настроены основные параметры wan, lan, создан адрес lan_comp. Пингуется wan_ip, lan_ip. Имеется SAT по 80 порту на lan_comp. Имеется заключительное правило drop_all.

Действия:
- создаю wan_ip2
- добавляю и "Интерфейсах-ARP" запись "publish wan wan_ip2 00-00-00-00-00-00"
- добавляю правило "Allow all_icmp from wan(all-nets) to core(wan_ip2)"

Пингую wan_ip2, в логах вижу, что мой пинг обрабатывается правилом drop_all.

Действия:
- добавляю правило "SAT all_icmp from wan(all-nets) to core(wan_ip2), new destination IP address: wan_ip"
- ставлю его перед соответствующим правилом Allow

Пингую wan_ip2, в логах вижу то же самое.

В работе использую статью из FAQ "Как настроить перенаправление портов с помощью дополнительных IP-адресов на WAN-порту?". В статье, кстати, рассматривается только один IP-адрес на WAN-порту. Также использую найденное на этом форуме (ссылку не дам, потерял) в дебрях утверждение о том, что для адекватной работы перенаправления с дополнительного айпишника необходимо сначала перенаправлять на основной айпишник, потом уже с основного - на целевой комп.

Где я не прав?

_________________
-= ipse =-

Добавьте для каждого дополнительного адреса маршрут на core (с приоритетной, например 0, метрикой).

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Я не указал того, что wan_ip и wan_ip2 находятся в одной подсети, пардон.

Про добавление маршрута - это я понимаю.
Но я полагаю, в моём случае добавление нового маршрута не нужно, коль скоро маршрут в эту подсеть существует по дефолту.

_________________
-= ipse =-

Еще раз


Маршрут не на сеть по маске добавляется, а на адрес. На core.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

попробуйте так:
SAT all_icmp from wan(all-nets) to wan(wan_ip2), new destination IP address: wan_ip
Allow all_icmp from wan(all-nets) to wan(wan_ip2)

Благодарю, такое уже настроено и не работает:

"Соответствующее правило Allow" здесь - именно то, которое вы предложили.

_________________
-= ipse =-

у вас from wan to core
я предлагаю from wan to wan

момент, счас попробую... нет Да и, бывает ли, чтобы source интерфейс был одновременно и destination?

UPD: Приношу свои извинения. вы оказались правы: работает по вашему варианту. Оказывается, бывает. Бред какой-то, однако же, работает. Благодарю вас!

_________________
-= ipse =-

- бывает
- это не бред, это фича

Лучше заводите доп адреса по указанной ранее ссылке.

Тогда все ваши правила будут делаться традиционно, на core интерфейс. И разрешить пинг на него будет также просто, как на остальные - одним правилом, а не двумя.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

"легким движением руки брюки превращаются..."
тестовая пара правил:
SAT all_icmp from wan(all-nets) to wan(wan_ip2), new destination IP address: wan_ip
Allow all_icmp from wan(all-nets) to wan(wan_ip2)
легко трансформируется во что-нибудь действительно полезное:
SAT http-in-all from wan(all-nets) to wan(wan_ip2), new destination IP address: webserver_ip
Allow http-in-all from wan(all-nets) to wan(wan_ip2)
т.к. для пингов достаточно wan_ip

Итак, задача: настроить на WAN-интерфейсе два и более IP-адресов в одной подсети, заставить их все пинговаться, настроить на каждом из них SAT.

Исходное состояние: DFL-260 сброшено в дефолт, настроены основные параметры wan, lan, создан адрес lan_comp. Пингуется wan_ip, lan_ip. Имеется SAT по 80 порту на lan_comp. Имеется заключительное правило drop_all.

Решение:
- Создать в адресной книге wan_ip2
- В "Интерфейсы-ARP" добавить запись:
- В таблице маршрутизации main добавить маршрут:
- Рассматривая wan_ip2 как обычный wan_ip, добавить правило, разрешающее пинг:
- Добавить необходимый SAT:
- ????
- PROFIT!

thnx to: danilovav, драгба, YuriAM

_________________
-= ipse =-

какой смысл пинговать рутер по wan_ip2, а по http заходить на lan_comp по wan_ip2 ?

Пингующийся wan_ip2 - самый быстрый способ понять, что с настройками что-то получилось.

Исторически сложилось, что сайты организации привязаны к разным айпишникам и лежат на разных серверах. Теперь же их надо расположить на одном сервере за фаерволлом. Отсюда пробросы с wan_ip и wan_ip2 на один и тот же lan_comp.

_________________
-= ipse =-