服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 两个子网之上的防火墙 – 这可能吗?
Intereting Posts
下载ip_tables内核模块 所有LDAP用户如何使用getent passwd显示? 计数打印总计 3不同IP的SMTP服务器到一个故障转移IP,这可能吗? 如何将nginx请求代理到tomcatpath? Postgres 9.1复制 – 强制select操作到特定的从机 通过SSH隧道的MySQL rsync / scp通过快速连接的传输速率非常低(<30kB / s) HTTPS内部redirect到HTTP,同时保持链接? 用户在LDAPclosures时如何login? Openswan / IPtables:通过VPN隧道伪造一个唯一的IP地址 不能使虚拟主机工作 使用GPT分区布局调整RAID分区的大小,不使用LVM 如何检查已知的Windows漏洞已被修补? 获取sendmail正确发送来自AWS EC2服务器的电子邮件时出错(服务器地址域不存在)

两个子网之上的防火墙 – 这可能吗?

简而言之

是否有可能在一个网关+防火墙下的IP和子网configuration在networking#1上并且仍然过滤来自/来自networking#2的入站/出站stream量的两个独立networking(通过IP地址和子网分开)?

细节

网关+防火墙(m0n0wall软件)的内部地址为192.168.0.100,子网掩码为255.255.255.0

  • 计算机具有相同的子网/ 24的地址192.168.0.x
  • 有些设备位于192.168.1.x,子网/ 24

在内部,从计算机的地址192.168.1.Y我可以访问设备,当然。

问题是 – 是否有可能转发一些端口从外部IP(不在办公室)到设备IP 192.168。 1 .X? 如果防火墙在“不同的networking”上,它会工作吗?

到目前为止,我有

  • 转发端口443到192.168.1.X:443
  • 设置防火墙规则完全信任所有入站和出站端口到我的外部IP地址。

尝试连接到Office外部IP时 ,端口443

  • 在浏览器中,我得到了ERR_TIMED_OUT
  • 在办公室防火墙日志文件,我看到外面的办公室的外部IP ,端口1560允许192.168.1.104,端口443 TCP
  • 有时候我也会看到不在办公室的外部IP ,端口1560 被拒绝Office外部IP ,端口443 TCP
  • 在日志文件中我不到来自192.168.1.X的任何答案。

如果我映射443地址192.168.0.X,一切都OK。

有什么问题,请问如何解决这个问题?

我怀疑是防火墙不在同一个子网上。 如果我将子网号码降低到255.255.0.0,防火墙将同时包含这两个networking,会不会破坏整个networking?

在内部,从计算机的地址192.168.1.Y我可以访问设备,当然。

你没有给我们足够的细节:

你有两个独立的逻辑networking

  • 192.168.0.0/24
  • 192.168.1.0/24

您的防火墙居住在192.168.0.100。 这意味着192.168.1.0无法与您的防火墙通信,而没有我错过的图片的其他部分。 192.168.1.0/24如何与防火墙通信? 您必须拥有:

  • m0n0wall上还有一个192.168.1.0地址的辅助接口
  • 两个networking之间的路由器
  • 在两个networking之间有一个networking桥接器或一些设备进行NAT

你需要填补我们在这里失踪的部分。

总之:是的。

详细信息:请显示iptables -L -niptables -L -n -t natip route showip addr list

在大多数情况下,除了直接连接的networking之外,还需要告诉防火墙您有其他networking或辅助networking。 防火墙还需要知道如何将数据包路由到该辅助networking,因为它在另一个子网上。 您还需要设置NAT以将您的一个可用公共IP地址转换为相关服务器的内部地址。