У меня есть сетевой вопрос, на который я не смог найти ответ в Google.
В настоящее время у нас есть два ISP-сервера (маршрутизатора), я хочу настроить брандмауэр для защиты интрасети на локальном хосте. Проблема в том, что не все используют один и тот же маршрутизатор.
Вот мой вопрос: как я могу сделать, чтобы весь трафик отправлялся в одно место (брандмауэр-балансировщик нагрузки), тогда балансировщик нагрузки автоматически переключается между двумя маршрутизаторами.
Я не являюсь экспертом в области сетевых технологий, просто базовые знания IP-адресации подсетей и межсетевого экрана (iptable), однако я опытный пользователь Linux.
Спасибо
Взгляните на контроллер F5 Big-IP Link: http://www.f5.com/products/big-ip/link-controller.html.
Он может предоставить вам необходимые варианты.
Каковы ваши текущие настройки (оборудование и т. Д.?), Сколько компьютеров подключено к этой сети, всем нужен доступ в Интернет?
Основная суть: подключите оба интернет-маршрутизатора к брандмауэру, отключите мосты на маршрутизаторах. Выполните балансировку нагрузки между двумя подключениями с помощью связного интерфейса, а затем подключите остальную часть вашей сети к другому порту Ethernet на вашем брандмауэре. Настройте сервер dhcpd на брандмауэре, настройте iptables для маршрутизации вашего трафика и сделайте его вашим брандмауэром.
Если вы хотите, чтобы установка была идеальной, вы настраиваете вышеупомянутое на двух разных машинах и заставляете их работать в такт. Таким образом, когда одна из машин выпадает (по какой-то причине), ее берет на себя другая.
Хорошо, сначала я неправильно прочитал этот вопрос и написал общее (не уточненное) руководство, которое вы можете прочитать немного ниже, на случай, если я неправильно понял, и это то, чего вы пытаетесь достичь. Перечитав, написал:
Если это чистая внутренняя интрасеть и не будет никаких подключений извне, нет никакого способа действительно контролировать доступ на маршрутизаторе, если вы не установите другой маршрутизатор между машиной интрасети и его соединением, чего я действительно не стал бы рекомендовать.
Маршрутизаторы обычно только соединения брандмауэра, идущие от одного интерфейса к другому (Интернет <> Lan), и они не фильтруют внутренние соединения (Lan <> Lan), я бы рекомендовал использовать базовый программный брандмауэр (например, встроенный в Windows) и установив для него строгий - разрешить порт 80 только для выбранных подключений, вы также можете использовать Apache / IIS, чтобы разрешать подключения только из определенных диапазонов IP.
.......
Сложно!
Это зависит от топологии вашей сети, и, не зная больше, трудно помочь.
Как правило, вам понадобится маршрутизатор, поддерживающий два соединения, например Draytek. Vigor 2820 (Многие другие - Google 2nd Wan / избыточный Wan и т. Д.).
Однако, если у вас нет какого-либо связанного соединения (когда от одного и того же интернет-провайдера), эти два подключения будут иметь разные IP-адреса, и любой, кто подключается к вашей интрасети, будет только через одно из подключений, поэтому вам необходимо установить правила там.
(Я собирался написать больше, прежде чем понял, что я на ложном пути ... Если я шел правильно, дайте мне знать, и я продолжу).
Я опубликовал комментарий для дальнейшего разъяснения, но обычно, когда два провайдера используются для балансировки нагрузки исходящего трафика, один брандмауэр (или пара брандмауэров для аварийного переключения) поддерживает несколько WAN (т.е. имеет как минимум три дискретных интерфейса; home / потребительские маршрутизаторы обычно имеют коммутатор LAN и / или LAN и 1 порт WAN).
Этот брандмауэр (вообще говоря) является шлюзом по умолчанию в сети и используется для NAT и маршрутизации интернет-трафика на основе ваших политик балансировки нагрузки и маршрутизации, таких как циклический, взвешенный циклический, src / dest IP и т. Д.
Отличный брандмауэр с открытым исходным кодом под названием pfSense может это сделать и может быть установлен на обычном оборудовании x86 (или на АЛИКС встроенное устройство). Также существует Vyatta, у которого интерфейс командной строки (CLI) похож на Cisco IOS.
РЕДАКТИРОВАТЬ
Похоже, что у вас есть две физически отдельные сети за каждым маршрутизатором / модемом ISP. У вас есть несколько вариантов:
объединить обе сети за одним брандмауэром / маршрутизатором, к которому подключены ISP1 и ISP2, и выполняется балансировка нагрузки. Это то, что я бы порекомендовал, если вы не Требуется изолировать две сети, и если предположить, что это небольшие подсети (/ 24s), этим было бы намного проще управлять.
Настройте маршрутизацию внутри локальной сети: вам потребуется как минимум 4 интерфейса на вашем основном маршрутизаторе, два интерфейса WAN и два интерфейса LAN с маршрутизацией / фильтрацией (если требуется) между ними. Это немного сложнее и потребует более дорогого маршрутизатора / брандмауэра или коробки с дополнительными сетевыми адаптерами, если вы выберете маршрут с открытым исходным кодом / x86, но при этом две сети будут изолированы.
Настройка маршрутизации внутри VLAN: вы можете обойтись с 3 интерфейсами, с двумя WAN и одним в качестве магистрального порта для виртуальных локальных сетей (VLAN) в конфигурации «маршрутизатор на палке». pfSense может это сделать, но для этого вам понадобится управляемый коммутатор с поддержкой VLAN (уровень 2). Я бы не рекомендовал это, так как это может быть сложным / дорогим и, судя по вашему уровню сетевой экспертизы, это, вероятно, излишнее.
Может ты мог бы использовать Shorewall с MultiISP.