У меня есть две подсети LAN, которые мне нужно связать вместе: 192.168.4.0/24 и 192.168.5.0/24.
На 192.168.4.1 работает m0n0wall. Это соединение LAN выходит на наш сетевой коммутатор, а порт WAN выходит на наш модем ADSL. WAN подключается через PPPoE.
Подсеть 192.168.4.0 содержит все наши офисные рабочие станции. Подсеть 192.168.5.0 содержит серверы разработки и тестовые машины, которым необходим доступ в Интернет и которые должны «управляться» компьютерами в подсети 192.168.4.0, но также должны находиться в своей собственной подсети.
У меня Draytek 2820N настроен на 192.168.5.1 с портом WAN2, настроенным как 192.168.4.25, и шлюзом по умолчанию 192.168.4.1. Машины в подсети 5.0 могут нормально подключаться к Интернету через m0n0wall.
Я настроил статический маршрут на интерфейсе LAN m0n0wall, сети 192.168.5.0/24 и шлюзе 192.168.4.25.
Машины в подсети 5.0 могут пинговать машины в сети 4.0, но обратное не работает. Я настроил новое правило брандмауэра на m0n0wall, которое разрешает любой трафик на интерфейсе LAN с исходным IP-адресом 192.168.4.25. Брандмауэр DrayTek в настоящее время настроен на пропуск всего трафика независимо.
Когда я пытаюсь проверить связь с машиной в подсети 5.0 из 4.0, я вижу это в моем журнале m0n0wall:
БЛОК 14: 45: 27.888157 LAN 192.168.4.25 192.168.4.37, введите echoreply / 0 ICMP
Таким образом, ответ отправляется из подсети 5.0, но ему не разрешено достигнуть моей рабочей станции, потому что брандмауэр блокирует его. Почему брандмауэр блокирует это?
Я надеюсь, что объяснение моей сети ясное, пожалуйста, спросите, требуются ли вам дополнительные разъяснения.
Спасибо.
Если пакет ICMP был отправлен с 192.168.4.37 на 192.168.5.x, а ответ получен с 192.168.4.25, интересно, можно ли это считать подделкой. В дополнительных настройках m0n0wall я заметил эти 2 варианта:
Я не знаю, как работает m0n0wall. Но мне интересно, добавлены ли системные правила брандмауэра, которые на самом деле не отображаются в веб-интерфейсе правил, которые могут блокировать эхо-ответ.
Можете ли вы перейти к /exec.php и опубликовать вывод команды:
ipfw list
Это, вероятно, поможет при отладке.