asakura37 Опубликовано 30 Марта 2015 Жалоба Поделиться Опубликовано 30 Марта 2015 И так, есть координатор HW1000 3.2 (728). На координаторе поднято 3 интерфейса. eth0- 192.168.0.1 (локалка), eth2- 10.9.0.15 (шлюзовая сеть для соединения с другим зданием) и eth3 - 87.255.X.X (инет).Так вот, клиентам в локальной сети необходим доступ в инет и в сеточку другого здания (172.16.0.0 Маршрут прописан, все ок. пинги есть). Если поднять NAT по средствам SGA, то у меня NAT поднимается на всех интерфейсах. Т.е в сеть соседнего здания, у меня машинки из моей локально сети прилетают со внешним IP. Правило для NAT следующее rule= num 1 proto any from 192.168.0.3-192.168.0.100 to anyip change src=87.255.X.X:dynamicВ мануале читал, что можно поменять to anyip на другое значение. Вот только я не пойму на какое? Мне тут так же указать мою внутреннюю сеть? Или же указать мой внешний IP? Или же просто интерфейс?В идеале должно получиться так, в сеть 172.16.0.0 должны IP приходить локальные (192.168.0.0/24) ну а в интернет соответственно с внешним IP координатора. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 1 Апреля 2015 Жалоба Поделиться Опубликовано 1 Апреля 2015 Вам нужна прошивка 4.1. В ней реализован более гибкий nat - натирование на адрес интерфейса,с которого уходит трафик. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
spec89 Опубликовано 22 Апреля 2015 Жалоба Поделиться Опубликовано 22 Апреля 2015 Вам нужна прошивка 4.1. В ней реализован более гибкий nat - натирование на адрес интерфейса,с которого уходит трафик.Вот читаю документацию на 4.1. Судя по описанию натировать на интерфейс по прежнему нельзя. Вот вырезка "Для трансляции адреса отправителя и адресов получателя в лексемах src и dst можно указывать только адреса, диапазоны адресов и маски, доменные имена и системные группы объектов" Т.е более-менее полезным окажутся это группы объектов "InternetIP и PrivateNetworkIP" С той схемой что приведена в первом посте- прокатит.... А как быть, если у меня все 3 интерфейса это локальные IP и натировать как раз таки надо на интерфейс? В обычных правилах для фаерволла присутствует упоминание интерфейса, а вот для трансляции не нашел. Сам пока конечно не ставил 4.1, только документацию смотрю. Если я ошибаюсь по поводу натирования, поправьте пожалуйста меня. Пока руки не дошли самому все проверить. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.