1.Настроен VPN, авторизация посредством радиус-серверов.

2.Необходимо потестирование новую версию веба, который подключен к DMZ
Нужно иметь полный доступ к нему из LAN, и доступ из Инета по https,http и др. разрешенным сервисам.


Имеем:
WAN(static) ip - x.x.x.43
gat x.x.x.33
dns x.x.y.1
x.x.y.65

LAN 192.168.100.3/24
DMZ 192.168.101.1/24
ip сервера в DMZ - 192.168.101.4


Port Mapping:

from-Inet Any to x.x.x.43 http-all pass to 192.168.101.4
from-LAN 192.168.100.0/24 to 192.168.101.1 All Protocols pass to 192.168.101.4

3. Правила:

LAN->DMZ (nat)
#1 allow_standard Allow Any Any All Protocols [Edit]
#2 allow_ping-outbound Allow Any Any ping-outbound [Edit]
#3 allow_ftp-passthrough Allow Any Any ftp-passthrough [Edit]

DMZ->LAN - все запрещено


WAN-DMZ
#1 Unnamed_1 Allow Any Any http-all [Edit]
#2 Unnamed_2 Drop Any Any All Protocols [Edit]


DMZ->WAN - все запрещено


WAN->LAN - запрещено


LAN->WAN (nat)
#1 name1 Allow Any Any http-all
#2 drop_smb-all Drop Any Any smb-all
#3 allow_standard Allow Any Any All Protocols
#4 allow_ping-outbound Allow Any Any ping-outbound
#5 allow_ftp-passthrough Allow Any Any ftp-passthrough


В SYSTEM/ADMINISTRATION

Administrative access via LAN interface [Edit]
Ping: Any address
Admin: Any address (HTTPS only)

Administrative access via DMZ interface [Edit]
Ping: Any address
Admin: Any address (HTTP + HTTPS)

Administrative access via WAN interface [Edit]
Ping: Any address

Доступ к сайту - http://192.168.101.4 (когда комп в локалке - без проблем)


В итоге - нет доступа к сайту ни по http://192.168.101.1, ни по http://x.x.x.43

Где наворочено?

На первый вгляд все правильно. Что в логе у устройства при обращении по внешнему адресу?

_________________
С уважением -- Александр Шебаронин.

есть такие сообщение:

это из LAN через прокси:

2005-07-12 14:04:25] <6>EFW: CONN: prio=1 rule=http-all conn=close connipproto=TCP connrecvif=WAN connsrcip=x.x.x.37 connsrcport=2165 conndestif=DMZ conndestip=x.x.x.43 conndestport=80 origsent=60 termsent=0
где x.x.x.37 - внешний интерфейс проху-сервера


а вот это извне:
2005-07-12 14:29:45] <6>EFW: CONN: prio=1 rule=http-all satdestrule=Rule_1 conn=open connipproto=TCP connrecvif=WAN connsrcip=x.x.155.210 connsrcport=51119 conndestif=DMZ conndestip=x.x.x..43 conndestport=80


остальные на x.x.x..43 - DROP


попытки доступа к вебу по локальному ip т.е. http://192.168.101.1 вообще не отражены в логах

и еще:
из локалки пинг LAN и WAN -есть, DMZ - НЕТ

прошивка 1.30.00

Прошивку можно обновить до 1.33, а на сервере проверить роутинг -- устройство нормально форвардит пакеты на сервер.

_________________
С уважением -- Александр Шебаронин.

а не подскажите почему я не имею доступа к серверу из LANа в DMZ?

вам нужно убрать НАТ из направления LAN-DMZ. убрать лишний порт-маппинг from-LAN.

_________________
С уважением -- Александр Шебаронин.

убрал НАТ из направления LAN-DMZ, убрал лишний порт-маппинг from-LAN. Доступа из лана в дмз - нет

Остается только роутинг... Больше нечему там мешать. Проверьте еще раз куда указывают шлюзы по умолчанию на клиентских компьютерах в ДМЗ и ЛАН.

_________________
С уважением -- Александр Шебаронин.

машина в лан - ip 192.168.101.199/24 и 192.168.100.199/24, осовной шлюзы - 192.168.101.1,192.168.100.1

машина в DMZ - 192.168.101.4/24, шлюз - не указан