URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 22442
[ Назад ]

Исходное сообщение
"Проброс порта"

Отправлено spakledge , 04-Апр-11 09:52 
Здравствуйте товарищи.Помогите пожалуйста советом

Есть один белый IP(смотрит в интернет) назовем его WAN
Суть проблемы в том что есть два терминальных сервера внутри локальной сети.
Первый имеет внутренний IP адрес 10.0.0.x назовем ее Терм1
Второй имеет внутренний IP адрес 10.0.0.x+1 назовем ее Терм2

Есть два удаленных офиса
Первый имеет белый IP 79.122.133.x назовем ее Удал1
Второй имеет белый IP 79.122.133.x+1 назовем ее Удал2

Я хотел организвать подключение по следующей схеме:

Пользователи подключающиеся с Удал1 по порты источника 3389 должны попадать на Терм1 через WAN
Пользователи подключающиеся с Удал2 по порты источника 3389 должны попадать на Терм2 через WAN
Подключение с иных удаленных белых должно отсеиваться.

То есть,нужен аналог, как это сделано в:
iptables -t nat -A PREROUTING -p tcp -s 79.122.133.x -d $WAN --dport 3389 -j DNAT --to-destination 10.0.0.x:3389) в iptables

или в pf
rdr on $ext_if proto udp from 79.122.133.x to $ext_if port 3389 -> 10.0.0.x port 3389

PS:Буду очень благодарен за совет.


Содержание

Сообщения в этом обсуждении
"Проброс порта"
Отправлено crash , 05-Апр-11 05:54 
а раздел Cisco при чем тут?

"Проброс порта"
Отправлено spakledge , 05-Апр-11 06:07 
> а раздел Cisco при чем тут?

Это я хотел провести парралель.Как это можно релиазовать, на Unix.Думая,что так будет понятнее формулировка вопроса


"Проброс порта"
Отправлено iRoot , 05-Апр-11 10:01 
>> а раздел Cisco при чем тут?
> Это я хотел провести парралель.Как это можно релиазовать, на Unix.Думая,что так будет
> понятнее формулировка вопроса

так и не понял, на чем нужно сделать проброс портов?
какое оборудование?


"Проброс порта"
Отправлено spakledge , 05-Апр-11 11:14 
>>> а раздел Cisco при чем тут?
>> Это я хотел провести парралель.Как это можно релиазовать, на Unix.Думая,что так будет
>> понятнее формулировка вопроса
> так и не понял, на чем нужно сделать проброс портов?
> какое оборудование?

Cisco 2811.Проброс порта с указанием адреса источника.
Например если подключиться с адреса 79.122.133.194 с порта 3389 попасть на внутренний адрес локальной сети 10.0.0.1
Также клиенты подключающиеся с адреса 79.122.133.210 с порта 3389 должны попадать на 10.0.0.2.
то есть в команде ip nat inside source static tcp 10.0.0.1 3389 $external_address 3389 extendable нет указания адреса источника, в данном случае 79.122.133.194 и 79.122.133.210
79.122.133.194 и 79.122.133.210 это не внутренние адреса на циске, а удаленные адреса филиалов с которых будет инициировано соединение.В Unix это делается одной строчкой.А в циско уже бьюсь вторую неделю, в документации не нашел никаких упоминаний об этом. Для наглядности на циске один провайдер-один внешний айпи адрес 217.117.182.226


"Проброс порта"
Отправлено VolanD , 05-Апр-11 17:49 
>[оверквотинг удален]
> Также клиенты подключающиеся с адреса 79.122.133.210 с порта 3389 должны попадать на
> 10.0.0.2.
> то есть в команде ip nat inside source static tcp 10.0.0.1 3389
> $external_address 3389 extendable нет указания адреса источника, в данном случае 79.122.133.194
> и 79.122.133.210
> 79.122.133.194 и 79.122.133.210 это не внутренние адреса на циске, а удаленные адреса
> филиалов с которых будет инициировано соединение.В Unix это делается одной строчкой.А
> в циско уже бьюсь вторую неделю, в документации не нашел никаких
> упоминаний об этом. Для наглядности на циске один провайдер-один внешний айпи
> адрес 217.117.182.226

Т.е. если мы Вас правильно поняли, Вам нужно пробрасывать трафик в зависимости от source address.Если так, то ИМХО одной командой это сделать нельзя.
Можно попробовать сделать так:
1) Создать lo интерфейс
2) Пробрасывать весь трафик (который приходит на нужный порт) на этот локальный интерфейс.
3) Потом на lo вешаем route-map и уже в нем смотрим на source address и отравляем на нужный хост.
Сразу говорю, так никогда не делал и не уверен, получится или нет. Но я бы попробовал.


"Проброс порта"
Отправлено Merridius , 05-Апр-11 17:56 
>[оверквотинг удален]
> Также клиенты подключающиеся с адреса 79.122.133.210 с порта 3389 должны попадать на
> 10.0.0.2.
> то есть в команде ip nat inside source static tcp 10.0.0.1 3389
> $external_address 3389 extendable нет указания адреса источника, в данном случае 79.122.133.194
> и 79.122.133.210
> 79.122.133.194 и 79.122.133.210 это не внутренние адреса на циске, а удаленные адреса
> филиалов с которых будет инициировано соединение.В Unix это делается одной строчкой.А
> в циско уже бьюсь вторую неделю, в документации не нашел никаких
> упоминаний об этом. Для наглядности на циске один провайдер-один внешний айпи
> адрес 217.117.182.226

Не проще ли туннель с GRE и ipsec натроить?