В лабораторной среде у меня есть 4 VLAN:
Маршрутизация и межсетевой экран между этими сетями контролируется pfSense 2.1.
Серверы настроены с использованием eth0 (с маршрутом по умолчанию) для службы и eth1 для управления, административные машины настроены с помощью eth0 для администрирования, а все остальные машины получают eth0 в общедоступном режиме.
Идея состоит в том, чтобы Управление было ограничено такими службами, как SSH, SaltStack и мониторинг, Служба для всего, для чего машина используется (SMB, HTTP и т. Д.), И чтобы брандмауэр разрешал только административным машинам доступ к Управлению. services, в то время как Public machine может получить доступ к Service services. Для этого на каждом сервере есть маршруты:
default via 192.168.20.1 eth 0
192.168.30.0/24 via 192.168.10.1 dev eth1
Моя проблема в том, что когда машина в сети управления обращается к службе в сети обслуживания, пакет ответа отправляется по статическому маршруту. Есть ли способ указать правильную маршрутизацию для этого трафика?
Я думал, что SNAT на маршрутизаторе pfSense может работать, с SRC-> DST 192.168.30.0/24 -> 192.168.30.0/24 будет преобразовывать SRC в 192.168.11.0/24, поэтому маршрут на серверах действительно может быть 192.168.11.0/24 via 192.168.10.1 dev eth1, но это, конечно, запутывает фактический источник.
Будет ли это работать, и, что более важно, есть ли лучший способ сделать это?
Итак, вы хотите контролировать трафик для каждой услуги, правильно?
У вас настроены ли службы для прослушивания только IP-адреса службы? Я думаю, это решит проблему. IE, рабочая станция управления пытается получить доступ к порту 80 на IP-адресе служебной сети сервера. Поскольку эта служба доступна только на этом IP / интерфейсе, соединение устанавливается между этими двумя IP-адресами.
Я думаю, это удовлетворит цель, которую вы пытаетесь достичь. Пожалуйста дай нам знать.