URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 22442
[ Назад ]

Исходное сообщение
"Проброс порта"
Отправлено spakledge , 04-Апр-11 09:52

Здравствуйте товарищи.Помогите пожалуйста советом
Есть один белый IP(смотрит в интернет) назовем его WAN
Суть проблемы в том что есть два терминальных сервера внутри локальной сети.
Первый имеет внутренний IP адрес 10.0.0.x назовем ее Терм1
Второй имеет внутренний IP адрес 10.0.0.x+1 назовем ее Терм2
Есть два удаленных офиса
Первый имеет белый IP 79.122.133.x назовем ее Удал1
Второй имеет белый IP 79.122.133.x+1 назовем ее Удал2
Я хотел организвать подключение по следующей схеме:
Пользователи подключающиеся с Удал1 по порты источника 3389 должны попадать на Терм1 через WAN
Пользователи подключающиеся с Удал2 по порты источника 3389 должны попадать на Терм2 через WAN
Подключение с иных удаленных белых должно отсеиваться.
То есть,нужен аналог, как это сделано в:
iptables -t nat -A PREROUTING -p tcp -s 79.122.133.x -d $WAN --dport 3389 -j DNAT --to-destination 10.0.0.x:3389) в iptables
или в pf
rdr on $ext_if proto udp from 79.122.133.x to $ext_if port 3389 -> 10.0.0.x port 3389
PS:Буду очень благодарен за совет.

Содержание

Проброс порта,crash, 05:54 , 05-Апр-11
- Проброс порта,spakledge, 06:07 , 05-Апр-11
  - Проброс порта,iRoot, 10:01 , 05-Апр-11
    - Проброс порта,spakledge, 11:14 , 05-Апр-11
      - Проброс порта,VolanD, 17:49 , 05-Апр-11
      - Проброс порта,Merridius, 17:56 , 05-Апр-11

Сообщения в этом обсуждении

"Проброс порта"
Отправлено crash , 05-Апр-11 05:54

а раздел Cisco при чем тут?

"Проброс порта"
Отправлено spakledge , 05-Апр-11 06:07

> а раздел Cisco при чем тут?
Это я хотел провести парралель.Как это можно релиазовать, на Unix.Думая,что так будет понятнее формулировка вопроса

"Проброс порта"
Отправлено iRoot , 05-Апр-11 10:01

>> а раздел Cisco при чем тут?
> Это я хотел провести парралель.Как это можно релиазовать, на Unix.Думая,что так будет
> понятнее формулировка вопроса
так и не понял, на чем нужно сделать проброс портов?
какое оборудование?

"Проброс порта"
Отправлено spakledge , 05-Апр-11 11:14

>>> а раздел Cisco при чем тут?
>> Это я хотел провести парралель.Как это можно релиазовать, на Unix.Думая,что так будет
>> понятнее формулировка вопроса
> так и не понял, на чем нужно сделать проброс портов?
> какое оборудование?
Cisco 2811.Проброс порта с указанием адреса источника.
Например если подключиться с адреса 79.122.133.194 с порта 3389 попасть на внутренний адрес локальной сети 10.0.0.1
Также клиенты подключающиеся с адреса 79.122.133.210 с порта 3389 должны попадать на 10.0.0.2.
то есть в команде ip nat inside source static tcp 10.0.0.1 3389 $external_address 3389 extendable нет указания адреса источника, в данном случае 79.122.133.194 и 79.122.133.210
79.122.133.194 и 79.122.133.210 это не внутренние адреса на циске, а удаленные адреса филиалов с которых будет инициировано соединение.В Unix это делается одной строчкой.А в циско уже бьюсь вторую неделю, в документации не нашел никаких упоминаний об этом. Для наглядности на циске один провайдер-один внешний айпи адрес 217.117.182.226

"Проброс порта"
Отправлено VolanD , 05-Апр-11 17:49

>[оверквотинг удален]
> Также клиенты подключающиеся с адреса 79.122.133.210 с порта 3389 должны попадать на
> 10.0.0.2.
> то есть в команде ip nat inside source static tcp 10.0.0.1 3389
> $external_address 3389 extendable нет указания адреса источника, в данном случае 79.122.133.194
> и 79.122.133.210
> 79.122.133.194 и 79.122.133.210 это не внутренние адреса на циске, а удаленные адреса
> филиалов с которых будет инициировано соединение.В Unix это делается одной строчкой.А
> в циско уже бьюсь вторую неделю, в документации не нашел никаких
> упоминаний об этом. Для наглядности на циске один провайдер-один внешний айпи
> адрес 217.117.182.226
Т.е. если мы Вас правильно поняли, Вам нужно пробрасывать трафик в зависимости от source address.Если так, то ИМХО одной командой это сделать нельзя.
Можно попробовать сделать так:
1) Создать lo интерфейс
2) Пробрасывать весь трафик (который приходит на нужный порт) на этот локальный интерфейс.
3) Потом на lo вешаем route-map и уже в нем смотрим на source address и отравляем на нужный хост.
Сразу говорю, так никогда не делал и не уверен, получится или нет. Но я бы попробовал.

"Проброс порта"
Отправлено Merridius , 05-Апр-11 17:56

>[оверквотинг удален]
> Также клиенты подключающиеся с адреса 79.122.133.210 с порта 3389 должны попадать на
> 10.0.0.2.
> то есть в команде ip nat inside source static tcp 10.0.0.1 3389
> $external_address 3389 extendable нет указания адреса источника, в данном случае 79.122.133.194
> и 79.122.133.210
> 79.122.133.194 и 79.122.133.210 это не внутренние адреса на циске, а удаленные адреса
> филиалов с которых будет инициировано соединение.В Unix это делается одной строчкой.А
> в циско уже бьюсь вторую неделю, в документации не нашел никаких
> упоминаний об этом. Для наглядности на циске один провайдер-один внешний айпи
> адрес 217.117.182.226
Не проще ли туннель с GRE и ipsec натроить?