我昨天问了这个问题,当我(看起来)无法通过我的路由器的stream量。
从那以后,我花了很多时间用数据包捕获,ASA 5505 cli / ASDM和wireshark。
我终于意识到,我的问题是有两个条目局域网。
局域网为10.10.5.0/24,PDC(DHCP / DNS / etc)为10.10.5.5,Watchguard Firewall为10.10.5.1
一个入口点设置了Watchguard防火墙,目的是pipe理组织中几乎所有的stream量。 事实上,它除了一个特定的集合之外,还会执行所有的stream量。
对于单个客户来说,哪个是另一个入口点。 该客户端的服务器为10.10.5.30,ASA 5505路由器为10.10.5.2(通过调制解调器桥接)。
我们在一些服务器上运行UDP 3000上的服务。对于所有其他服务器,所有的Internet,ftp等stream量,我们都希望它们走出主要的WatchGuard网关。 它确实如此。
但是对于那台服务器,我只需要端口3000-3002 UDP通过ASA 5505出去。其他服务器(包括端口3000-3002)的所有UDP数据都要通过工作组。
我发现当stream量通过10.10.5.2(ASA5505)进入时,正确的服务器10.10.5.30正在接收数据,但是10.10.5.30试图通过10.10发回ACK请求。 5.1防火墙。
症状是,它看起来像ASA没有stream量穿过它,我们没有得到任何stream量。 如何通过ASA而不是工作组强制某些协议和端口用于此服务器?
ASA 5505有NAT规则将所有的UDP直接转发到.30,并丢弃所有其他的东西。
重要提示: 其他服务器通过10.10.5.1版的WatchGuard使用相同的协议和端口,所以我不能将所有局域网的UDP端口3000数据从一个连接中拔出 – 我需要将其拆分。
更新基本上,我需要在服务器10.10.5.30明确地为UDP端口3000-3002创build一个路由。 我认为。 这是一个Windows 2003 Server SP2
嘎。
route -p add 0.0.0.0 0.0.0.0 10.10.5.2 metric 2
给我一个持续的新的网关横跨所需的ASA 5505。
度量值2表示服务器的当前网关仍然存在,但不推荐使用(度量标准10),这反映在ipconfig中 – 10.10.5.2现在是默认网关。