1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Пн июл 28, 2025 20:30

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 6 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
Enq
СообщениеДобавлено: Пн дек 20, 2010 22:26 
Не в сети

Зарегистрирован: Вс апр 04, 2010 00:49
Сообщений: 43
Коллеги, есть вопрос:

Вот настроены у меня правила:
Изображение

Есть, скажем, 6 внешних IP-адресов, настроенных через ARP и SAT, которые пробрасывают трафик внутрь на локальные адреса. Соответственно, чтобы сервера отвечали через NAT с эквивалентного им IP, они в правилах NAT в IP address sender.

И вот какая штука: работает только самое верхнее правило — т.е. все, что под правилом мейл_сервер отвечает с айпи, который назначен этому мейлсерверу. А как бы сделать так, чтобы идентичный проброс с внешнего ip на внутренний работал и в обратной схеме независимо друг от друга?
Вернуться наверх
 Профиль  
 
danilovav
СообщениеДобавлено: Ср дек 22, 2010 06:22 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Не понятно что вы хотите. Показываете NAT, но говорите о SAT.
Покажите ваши правила.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
Enq
СообщениеДобавлено: Ср дек 22, 2010 10:10 
Не в сети

Зарегистрирован: Вс апр 04, 2010 00:49
Сообщений: 43
danilovav писал(а):
Не понятно что вы хотите. Показываете NAT, но говорите о SAT.
Покажите ваши правила.


Значит так:

Есть, например, три внешних IP адреса: 10.0.0.1, 10.0.0.2, 10.0.0.3. Есть два сервера внутри сети: 192.168.10.2, 192.168.10.3.

В папке IP Rules cозданы, например, три папки с правилами:

1. Для рабочих станций и их юзеров:
Код:
1     drop_smb-all     Drop     lan     lannetAddress: 192.168.1.0/24     wan1     all-netsAddress: 0.0.0.0/0     smb-allDestination ports: 135-139, 445
2     allow_ping-outbound     NAT     lan     lannetAddress: 192.168.1.0/24     wan1     all-netsAddress: 0.0.0.0/0     ping-outbound
3     allow_dns     NAT     lan     lannetAddress: 192.168.1.0/24     wan1     all-netsAddress: 0.0.0.0/0     dns-allDestination ports: 53
4     allow_ftp-passthrough_av     NAT     lan     lannetAddress: 192.168.1.0/24     wan1     all-netsAddress: 0.0.0.0/0     ftps-passthroughDestination ports: 20
5     sip_nat     NAT     lan     lannetAddress: 192.168.1.0/24     wan1     all-netsAddress: 0.0.0.0/0     sip-udpDestination ports: 5060
6     lan_nat     NAT     lan     lannetAddress: 192.168.1.0/24     wan1     all-netsAddress: 0.0.0.0/0     all_tcpudpicmp


где в правиле №6 на вкладке NAT указан адрес 10.0.0.1 в specify sender address

2. Ещё выше правило для первого сервера:
Код:
#     Name     Action     Source interface     Source network     Destination interface     Destination network     Service
1     exchange_server_sat     SAT     any     all-netsAddress: 0.0.0.0/0     wan1     exchange_ext_ipAddress: 10.0.0.2     all_services
2     exchange_server_nat     NAT     lan     lannetAddress: 192.168.1.0/24     wan1     all-netsAddress: 0.0.0.0/0     all_services
3     exchange_server_allow     Allow     any     all-netsAddress: 0.0.0.0/0     wan1     exchange_ext_ipAddress: 10.0.0.2     all_services


где в правиле №2 на вкладке NAT указан адрес 10.0.0.2 в specify sender address

3. Ещё выше правило для второго сервера:
Код:
#     Name     Action     Source interface     Source network     Destination interface     Destination network     Service
1     mailserver_sat     SAT     any     all-netsAddress: 0.0.0.0/0     wan1     mail_server_ext_ipAddress: 10.0.0.3     all_services
2     mailserver_nat     NAT     dmz     dmznetAddress: 192.168.2.0/24     wan1     all-netsAddress: 0.0.0.0/0     all_services
3     mailserver_allow     Allow     any     all-netsAddress: 0.0.0.0/0     wan1     mail_server_ext_ipAddress: 10.0.0.3     all_services


где в правиле №2 на вкладке NAT указан адрес 10.0.0.3 в specify sender address

Т.е. юзеры, согласно правилам, должны смотреть в мир с ip-адреса 10.0.0.1, первый сервер с адреса 10.0.0.2, второй сервер с адреса 10.0.0.3.

На деле же получается, что в интернет все смотрят с того адреса (указанного во вкладке NAT правила NAT), который стоит выше остальных.

Вопрос: как это побороть?

Надеюсь, понятно объяснил. %)
Вернуться наверх
 Профиль  
 
Темный Ангел
СообщениеДобавлено: Ср дек 22, 2010 10:55 
Не в сети

Зарегистрирован: Чт янв 10, 2008 18:21
Сообщений: 337
Enq
Теже яйца, только вид сбоку
viewtopic.php?f=3&t=132442
Вернуться наверх
 Профиль  
 
Enq
СообщениеДобавлено: Ср дек 22, 2010 11:24 
Не в сети

Зарегистрирован: Вс апр 04, 2010 00:49
Сообщений: 43
Темный Ангел писал(а):
Enq
Теже яйца, только вид сбоку
viewtopic.php?f=3&t=132442


Мда. Победить, я так понимаю, не получилось.

На самом деле, получается, что проблема в последовательной обработке правил. То, что выше — то и главнее. Оно и логично, но я думал, что на папки с правилами это не распространяется. Если бы приоритет в папках правил не играл роли, то всё бы работало, как надо.
Вернуться наверх
 Профиль  
 
Enq
СообщениеДобавлено: Ср дек 22, 2010 12:14 
Не в сети

Зарегистрирован: Вс апр 04, 2010 00:49
Сообщений: 43
Разобрался. На самом деле — сам дурак, это называется.

Вопрос с подстановкой нужных внешних IP в разных правилах NAT решается принудительной подстановкой external_IP не только во вкладке NAT в поле sender_address, но и в самой первой вкладке. У меня там стояло до этого lannet, т.е. вся локальная подсеть, а надо было:
Изображение

Эх, ещё б 860 умел на локальные порты назначать разные интерфейсы физические, цены б ему не было.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 6 ] 

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 212

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB