NAT и встроенный HTTP сервер

Здесь обсуждаются вопросы связанные с маршрутизаторами, сетевыми экранами, VPN

Модератор: Allied Telesis Russia

NAT и встроенный HTTP сервер

Сообщение sysmgik » 25 май 2016, 15:23

Здраствуйте, участники форума.

Посоветуйте пожалуйста как быть в моей ситуации.

Есть веб сервер (172.16.1.192) и к нему через NAT прокинут доступ на 80 порт
Код: Выделить всё
add firewall poli="name" ru=X ac=allo int=eth0 prot=tcp po=80 ip=172.16.1.192 gblip=XXX.XXX.XXX.X gblp=80

и все прекрасно работает если обращаться на сайт не из сети 172.16.1.0.
А вот если обращаться на внешний айпи адрес из локальной сети, то открывается веб морда маршрутизатора. Доступ в интернет с помощью NAT через этот же интерфейс.
Я это понимаю так, идет обращение на интерфейс по внешнему адресу из локальной сети, маршрутизатор это видит и отправляет его на локальный адрес 172.16.1.1 не доходя до правил NAT, поэтому открывается веб морда. Я пробовал отключать встроенный HTTP сервер, менять порт, это ничего не дало.
Вопрос как это исправить, что бы при обращении к внешнему адресу открывался сайт из локальной сети.

С наилучшими пожеланиями, Олег.
sysmgik
 
Сообщения: 5
Зарегистрирован: 16 фев 2016, 15:36

Re: NAT и встроенный HTTP сервер

Сообщение Ginodman Mikhail » 27 май 2016, 16:21

посмотрите
Firewall double NATing solution
https://www.alliedtelesis.com/sites/def ... s_revb.pdf
кстати встроенному серверу можно другой порт назначить, а не 80
Ginodman Mikhail
Site Admin
 
Сообщения: 2521
Зарегистрирован: 29 янв 2008, 14:32
Откуда: AlliedTelesis Moscow

Re: NAT и встроенный HTTP сервер

Сообщение sysmgik » 30 май 2016, 12:59

Ginodman Mikhail писал(а):посмотрите
Firewall double NATing solution
https://www.alliedtelesis.com/sites/def ... s_revb.pdf
кстати встроенному серверу можно другой порт назначить, а не 80


Спасибо за ответ, Михаил.

В первую очередь это сделал, но это не помогло, НАТ так и не заработал.
Добавил правило:
Код: Выделить всё
add firewall policy="guilan" rule=1 action=nat int=vlan2 protocol=tcp port=80 ip="адрес клиента" gblipaddress="адрес интерфейса vlan2" nattype=double gblremoteip="адрес веб сервера"

и все запросы с "адрес клиента", транслируются на "адрес веб сервера", но при этом все равно если обращаться на внешний адрес, то ответ, что сервер не доступен. То есть, это правило даже не успело сработать.
Ну и в целом мне нужно, что бы из vlan2 запросы на внешний адрес по 80 порту транслировались на "адрес веб сервера". А с дабл-натом как я понял можно транслировать все запросы столько одного адреса на другой. А мне нужно наоборот, что бы из vlan2 при обращении к внешнему интерфейсу на 80 порт, все попадали на "адрес веб сервера".
sysmgik
 
Сообщения: 5
Зарегистрирован: 16 фев 2016, 15:36

Re: NAT и встроенный HTTP сервер

Сообщение dmitry_tarakanov » 01 июл 2016, 19:53

sysmgik писал(а):
Ginodman Mikhail писал(а):посмотрите
Firewall double NATing solution
https://www.alliedtelesis.com/sites/def ... s_revb.pdf
кстати встроенному серверу можно другой порт назначить, а не 80


Спасибо за ответ, Михаил.

В первую очередь это сделал, но это не помогло, НАТ так и не заработал.


Дело в том, что в том солюшене(у меня тоже не заработало, но немножко другая схема и пришлось разобрать этот пример досконально) сказано, что между прочим "This solution includes a PPPoE interface for Internet access". И вот, почему:
Оттуда же:
"The packet will go out to the ISP and be bounced back. The firewall sees this
packet as belonging to a NEW incoming TCP session. If the source IP
address of the packet had been the router’s OWN public address, it would
have dropped the packet, but because the IP address is not the router’s
OWN IP, it passes the packet to NAT for processing "

То есть пакет должен дойти до провайдера, а провайдер должен вернуть его обратно. А в общем случае этого не происходит. Ну то есть даже, если у Вас есть пара адресов 200.200.200.1 и 200.200.200.2 и провайдерский 200.200.200.3, то если Вы пытаетесь отправить по ethernet пакет с s=200.200.200.1 d=200.200.200.2, пакет к прову не пойдет. Он вообще из маршрутизатора не уйдет, т.к. в арп-табличке у нашего маршрутизатора при таком раскладе есть и 200.200.200.1 и 200.200.200.2. И пакет не будет роутиться, он пойдет в свитч. Соответственно маршрутизатор не сможет принять пакет от себя к себе именно на втором уровне. Сочтет за флуд. Я понятно объясняю?
dmitry_tarakanov
 
Сообщения: 38
Зарегистрирован: 28 янв 2009, 22:59


Вернуться в Маршрутизаторы и фаерволы

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 4

cron