Недавно мы провели внутреннее обновление сети, добавив дополнительный брандмауэр в качестве брандмауэра 1-го уровня и сделав текущий брандмауэр 2-го уровня. Настройка такова:
WAN <--> Межсетевой экран 1 уровня <--> Промежуточная локальная сеть <--> Межсетевой экран 2 уровня <--> Внутренняя локальная сеть
Есть другие сети, такие как DMZ, Wifi guest и т. Д., Которые не показаны выше. Промежуточная локальная сеть - это только одно соединение между двумя брандмауэрами, к которому не подключены сервер или рабочая станция. IP для указанной выше сети:
Промежуточная локальная сеть: 192.168.100.x/24
Внутренняя LAN: 192.168.50.x/24(Ферма серверов) & 192.168.40.x/24(Рабочая станция)
Мы настроили политики, чтобы разрешить просмотр и различный веб-трафик от фермы серверов и рабочей станции до глобальной сети. Веб-фильтрация выполняется на межсетевом экране 1-го уровня.
Теперь проблема, с которой мы сталкиваемся, заключается в том, что нам нужно включить NAT на брандмауэре 1-го и 2-го уровня, чтобы просмотр веб-страниц работал. Если мы отключим NAT для 2-го уровня, мы сможем пинговать внешний IP-адрес (ISP DNS, Google DNS), но имя домена не будет разрешено, и, следовательно, не будет просмотра веб-страниц. Когда мы проверяем журнал на брандмауэре 1-го уровня, пакет DNS действительно разрешен для прохождения, но рабочая станция и сервер все еще не смогли разрешить доменное имя.
Поскольку брандмауэр 1-го уровня выполняет веб-фильтрацию, мы хотели бы, чтобы в отчете руководства или любом журнале отображался IP-адрес исходной рабочей станции вместо IP-адреса брандмауэра 2-го уровня, если включен NAT. Нам также нравится уменьшать нагрузку на брандмауэр 2-го уровня, не имея на нем NAT.
Что нам нужно изменить, чтобы он работал только с одним слоем NAT?
РЕДАКТИРОВАТЬ: извините за путаницу, в основном мы просто хотим знать общие решения вышеуказанной проблемы, такие как добавление сетевого адреса сервера / рабочей станции в интерфейс 1-го уровня или наличие определенного статического маршрута на 2-м уровне, или мы не предположим есть промежуточная ЛВС и так далее. Мы считаем, что не существует конкретной конфигурации, которая работает только с определенным брендом межсетевого экрана.
РЕДАКТИРОВАТЬ: 1-й уровень - Astaro, 2-й уровень - FortiGate. На порт локальной сети Fortigate настроено 3 vlan, при этом сервер является собственным, а рабочие станции и принтеры - двумя отдельными vlan. Пока мы фокусируемся только на сервере. Существует политика, разрешающая весь трафик от Сервера к LAN-порту Astaro. NAT включен в этой политике. В Astaro есть 2 политики, разрешающие LAN и WAN для DNS и HTTP. Просмотр работает. Но если NAT политики Server-> Astaro отключен, мы не сможем разрешить внешнее доменное имя на сервере. Мы всегда можем пинговать внешние IP-адреса, такие как 8.8.8.8 или DNS провайдера, независимо от NAT.
Что ж, вы не предоставили нам никаких подробностей о рассматриваемом оборудовании, поэтому этот ответ будет очень общим.
Ваш внешний брандмауэр выполняет NAT. Внутреннему брандмауэру необходимо настроить оба ACL таким образом, чтобы желаемые пакеты могли проходить туда и обратно, а также добавить правильные маршруты, чтобы он знал, на какие интерфейсы направлять трафик.