Назад | Перейти на главную страницу

Один m0n0wall - Две подсети LAN - Как настроить

У меня есть две подсети LAN, которые мне нужно связать вместе: 192.168.4.0/24 и 192.168.5.0/24.

На 192.168.4.1 работает m0n0wall. Это соединение LAN выходит на наш сетевой коммутатор, а порт WAN выходит на наш модем ADSL. WAN подключается через PPPoE.

Подсеть 192.168.4.0 содержит все наши офисные рабочие станции. Подсеть 192.168.5.0 содержит серверы разработки и тестовые машины, которым необходим доступ в Интернет и которые должны «управляться» компьютерами в подсети 192.168.4.0, но также должны находиться в своей собственной подсети.

У меня Draytek 2820N настроен на 192.168.5.1 с портом WAN2, настроенным как 192.168.4.25, и шлюзом по умолчанию 192.168.4.1. Машины в подсети 5.0 могут нормально подключаться к Интернету через m0n0wall.

Я настроил статический маршрут на интерфейсе LAN m0n0wall, сети 192.168.5.0/24 и шлюзе 192.168.4.25.

Машины в подсети 5.0 могут пинговать машины в сети 4.0, но обратное не работает. Я настроил новое правило брандмауэра на m0n0wall, которое разрешает любой трафик на интерфейсе LAN с исходным IP-адресом 192.168.4.25. Брандмауэр DrayTek в настоящее время настроен на пропуск всего трафика независимо.

Когда я пытаюсь проверить связь с машиной в подсети 5.0 из 4.0, я вижу это в моем журнале m0n0wall:

БЛОК 14: 45: 27.888157 LAN 192.168.4.25 192.168.4.37, введите echoreply / 0 ICMP

Таким образом, ответ отправляется из подсети 5.0, но ему не разрешено достигнуть моей рабочей станции, потому что брандмауэр блокирует его. Почему брандмауэр блокирует это?

Я надеюсь, что объяснение моей сети ясное, пожалуйста, спросите, требуются ли вам дополнительные разъяснения.

Спасибо.

Если пакет ICMP был отправлен с 192.168.4.37 на 192.168.5.x, а ответ получен с 192.168.4.25, интересно, можно ли это считать подделкой. В дополнительных настройках m0n0wall я заметил эти 2 варианта:

  • Spoof Checking блокирует пакеты, полученные не из подсети интерфейса, на котором был получен пакет
  • Обход правил брандмауэра для трафика на том же интерфейсе

Я не знаю, как работает m0n0wall. Но мне интересно, добавлены ли системные правила брандмауэра, которые на самом деле не отображаются в веб-интерфейсе правил, которые могут блокировать эхо-ответ.

Можете ли вы перейти к /exec.php и опубликовать вывод команды:

ipfw list

Это, вероятно, поможет при отладке.