LINUX.ORG.RU
ФорумAdmin

Маршрутизация туплю


0

0

Есть железка, её таблица маршрутизации:

ip route status
Dest            FF Len Device     Gateway         Metric stat Timer  Use
Wan1LAN         00 30  enet1      Wan1IP            8    00bb 0      0
Wan2LAN         00 30  enet3      Wan2IP            1    00bb 0      0
DMZLan          00 29  enet2      DMZIP             1    041b 0      754868
192.168.2.0     00 24  enet0      192.168.2.2       1    041b 0      1853268 <(1
10.0.0.0        00 16  enet0      192.168.2.1       1    001b 0      3723    <(2
default         00 0   enet1      Wan1GW            8    001b 0      341406
default         00 0   enet3      Wan2GW            1    001b 0      1653851


Временно отключал все фильтры и NATы. Нужно чтобы из DMZ пакеты
 проходили в сеть 10.0.0.0
через router 192.168.2.1. Счётчик строки (2 увеличивается, 
но на хосте 192.168.2.1 тишина. В чём может быть проблемма?

tcpdump или wireshark в помощь
прозреваю, что отвечающий хост шлют пакеты на стандартный шлюз, а тот не знает где искать 10.0.0.0 ну или что-то в этом духе

dimon555 ★★★★★
()
Ответ на: комментарий от dimon555

Я ствил hub между DMZ и железкой echo-request на железку попадпет, счётчик маршрута на ней увеличивается. Ставил hub от железки в LAN там тишина. Меня сейчас не интересует кто куда отвечает потом. Интересует почему при отключенной фильтрации пакет из DMZ не вываливается через LAN интерфейс.

PS Я просто не понимаю почему и начинаю сомневаться в своих знаниях, как host маршрутизирует пакеты.

tux2002
() автор топика

я конечно не сильный спец, но вот эта запись..

10.0.0.0 00 16 enet0 192.168.2.1

это ж как выходит - гейтвей за пределами сети? емнип низзя так.

Komintern ★★★★★
()
Ответ на: комментарий от Komintern

Там все правильно, а ты не с той стороны смотришь.

sdio ★★★★★
()

Теоретически из ДМЗ в ЛАН не должно быть трафика, на то он и ДМЗ, чтобы интернет от локалки изолировать. Может где-то еще есть правила режущие трафик из ДМЗ в ЛАН.

sdio ★★★★★
()
Ответ на: комментарий от sdio

Нужно релеить почту с почтовика DMZ на почтовик в LAN и обратно. Естественно правилами будет всё ограничено. Так решено начальством и всё тут. Резаться нигде кроме железки сейчас не может. Правила временно на ней LAN-DMZ DMZ-LAN forward. NAT отключен временно. Я не понимаю почему эта штуковина игнорирует маршрут? Если она не просматривает таблицу маршрутизации дважды (ну всякое может быть), я ей прописывал маршрут к хосту 10.0.0.x/32 gw 192.168.2.1. Маршрут встаёт естесттвенно в верх таблицы. Всё равно ничего.

tux2002
() автор топика
Ответ на: комментарий от tux2002

Блин второй день каким-то бредом занимаюсь.....

tux2002
() автор топика
Ответ на: комментарий от tux2002

1. ХЗ что там в этой железке.
2. по-хорошему из почтовика в DMZ вся почта должна вытягиваться из ЛАНа (fetchmail'ом например).

>Так решено начальством и всё тут.


3. А ты кто? Тупой исполнитель, без права голоса?

sdio ★★★★★
()
Ответ на: комментарий от sdio

Почтовик в DMZ буферный, он не имеет локальной доставки, маилбоксов и пользователей,он только копит почту в очереди, если не может релеить, и проверяет почту на спам и вирусы. Так сделано уже давно и меняться не будет. Я не принимаю архитектурных решений по сроку службы. Но это к теме не относится.

tux2002
() автор топика

Вроде в этой железяке по умолчанию коннекты из DMZ в LAN запрещены. Что сказано в мануале, вроде там все с примерами должно быть? А с почтового сервера можно принговать 192.168.2.1 и 192.168.2.2?

mky ★★★★★
()
Ответ на: комментарий от mky

С локального сервера пакеты доходят до 192.168.2.2.

Дело в том, что при отключенном файрволе в логах Zyxel:

TCP packet filter not matched (set: 2,rule: 3) xx.xx.xx.xx:3478 10.0.0.xx:25 ACCESS BLOCK.

Чем он ещё пытается матчить пакет если пакетный фильтр отключен и вовсех цепочках по умолчанию FORWARD временно?

Насчёт коннектов из DMZ в LAN всё там настраивается если пишешь правило например для адреса назначения из сети LAN интерфейса (192.168.2.0).

При включенном фильтре

Маршрут DMZ -> 10.0.0.0 тоже как бы подпадает под DMZ->LAN, но так как 10.0.0.0 не принадлежит сети 192.168.2.0, роутер не применяет к этому маршруту правила цепочки DMZ->LAN и вываливается даже не на политику по умолчанию - BLOCKED, а на такое же сообщение packet filter not matched. (Если пакет подпадает под правило это можно явно увидеть в логах - цепочка такая-то, правило № такое-то, действие)

Я конечно могу перестать упираться в это пробросив порты через 192.168.2.1, но как то хотелось бы разобраться именно способом простой маршрутизации.

Может кто пользуется именно этой моделью и есть опыт?

tux2002
() автор топика
Ответ на: комментарий от tux2002

Разобрался, тема закрыта.

У этого устройства два уровня фильтрации

Packet filter (правила на in-out для интерфейсов) - управляется только с консоли. Он и резал пакеты.

Firewall - управляется через web.

Отключение Firewall не отключает packet filter.

Packet filter первичен, если он без правил, пакет передаётся firewall.

В моём случае, до меня, в packet filter понаписали правил с завершающим действием DROP (может были основания). Если пакет не попадает под правила, он не отдаётся на уровень firewall.

Пришлось дописывать свои правила.

Вобщем надо было сразу почитать документацию - интуитивно непонятная штука.

tux2002
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.