Jump to content

Recommended Posts

Добрый день!

Преамбула.

Есть софтовый координатор 3.2, доставшийся по наследству. На днях слетела конфигурация фильтрации и трансляции адресов. (соответственно никто не делал бэкапа конфигурации)

Через координатор ходят в интернет некоторые рабочие места и сервера, без vipnet клиентов.

Имеется 3 сетевых интерфейса, 2 используемых и 1 резервный. Имеется белый IP, который назначен на первый сетевой интерфейс через Групповую регистрацию СУ в ПЗ.

Из настроенных фильтров:

были добавлены транзитные фильтры исходящие все, входящие только по ряду необходимых портов;

локальные и широковещательные фильтры не трогались;

фильтры защищенной сети и для туннелируемых узлов также не трогались.

Доступ в интернет восстановил и все вроде как нормально.

 

Теперь сама проблема.

На одном из серверов установлен клиент для тестирования сервисов смэв. До слета настроек все работало.

Схема следующая:

2-ой сетевой интерфейс является шлюзом для выхода в интернет для нужного сервера.

Извне идет обращение к белому IP по порту 9000. Идет перенаправление на 1-ый интерфейс (в транзитных фильтра добавлено что внутрь по tcp 9000 можно).

В трансляции адресов прописываю для web-сервера его ip на ip 1-го сетевого интерфейса и меняю порты с 80 на 9000.

Пробовал делать статическое правило, чтобы с 1-го интерфейса на 2-ой интерфейс шло перенаправление также по 9000 порту.

Ни один из вариантов не работает и доступа к серверу не могу получить.

Share this post


Link to post
Share on other sites

Журнал пакетов смотрели? какие события регистрирует?

Share this post


Link to post
Share on other sites

Ничего не понял из описания. на сервере у вас клиент чего-то там. Он сам стучится куда-то или на него стучаться извне? Под клиентом подразумевается обычно, что он куда-то стучится....тогда достаточно динамического SNAT в белый адрес. А если на него стучаться, то это уже не клиент, а сервер. 

и да, сначала работает нат, потом фильтры, учитывайте это когда пишете разрешающие фильтры. Т.е. для DNAT из Интернета вам в назначении надо писать "сервый" адрес сервера, а не "белый" координатора и то же самое с портом, если транслируете порт, то указываете порт после трансляции.

Share this post


Link to post
Share on other sites

Добрый день.

Спасибо за ответы.

Натирование, трансляцию и фильтры настраивал по правильному принципу. Не усмотрел, что на IIS сервера, который должен был быть проброшен во вне, был настроен 80 порт. В итоге сделал трансляцию с 80 на 9000 для сервера и транзитный фильтр в обе стороны с 80 на 9000 порт.

Все работает отлично.

Тему можно закрывать.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.