作者gamecheat ()
看板MIS
标题[请益] 双防火墙 路由问题
时间Thu Jul 9 11:06:49 2015
请教各位先进~
架构请见下图
http://i.imgur.com/hi1uAVb.jpg
由於某些因素,图中红色部份是後来新增的FW
目地是想要达成:
Client上网行为走FW2
存取DMZ Server则走FW1
Core Static routing:
0.0.0.0/0 next-hop 192.168.3.254
172.20.1.0/24 next-hop 192.168.1.254
这样设 内部对外基本上有达成目地
但问题来了
192.168.11.0/24 里面有些ip有mapping WAN1的外部IP
例如: 192.168.11.100 mapping WAN1:1.1.1.1
外部会无法连进来
会变成 由WAN1进来 从WAN2出??
在不要把mapping IP 改成WAN2的情况下,有什麽做法呢?
欲达成
1.内对外上网行为都走FW2
2.外对内维持走FW1
P.S 没有FW2情况下
Static routing改回 0.0.0.0/0 next-hop 192.168.1.254
外对内 内对外 都是OK的喔
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 59.124.164.127
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MIS/M.1436411214.A.797.html
1F:推 lovespre: client ip怎麽会给个mapping ip? 高风险架构A 07/09 11:27
2F:→ lovespre: rounting是从core sw走的 一改架构二手动抓出来走fw1 07/09 11:29
3F:→ lovespre: 另外问wan之间的ip该不会给整段C? 07/09 11:30
4F:→ gamecheat: 有些历史包袱 在不想更变原架构orIP情况下 有无其他办 07/09 11:32
5F:→ billboy: 可以用PBR不过会变成192.168.11.x出去的一定要走FW1出去 07/09 12:16
6F:→ gamecheat: 可能没办法 最大目地就是要让192.168.11.x 走FW2 07/09 12:20
7F:→ billboy: 这样会有问题啊~~你的fw2没进来的session,可是有出去的 07/09 12:24
8F:→ billboy: session,这样fw2会认为有问题~~就会档下来啊~~ 07/09 12:25
9F:→ gamecheat: 已知会有问题了 所以想问在条件下有没有解法? 07/09 12:35
10F:→ billboy: 不然把map拿掉,fw1和fw2拿一条线把他接起来~~加static 07/09 12:36
11F:推 lovespre: ASA可以解决session不同方向进出的问题 07/09 12:38
12F:→ billboy: route 进fw1後送到fw2~~然後骗你老板说~~你看,现在 07/09 12:38
13F:→ billboy: 是走fw2出去~~科科科~ 07/09 12:39
14F:→ gamecheat: 楼上可能误会意思了 clinet内对外走FW2 目前没问题 07/09 12:55
15F:→ gamecheat: 问题是外对内mapping FW1进来的 他会走FW2出去 这段会 07/09 12:57
16F:→ gamecheat: 有问题 应该是要走FW1才对 07/09 12:57
17F:→ gamecheat: 要改动的话 要满足原本"内对外都走FW2"的条件 07/09 12:58
18F:→ gamecheat: 但FW1进来的 不限制 怎麽进来就怎麽出去 如果有办法让 07/09 12:59
19F:→ gamecheat: FW1进来从FW2出 也是可以 07/09 13:00
20F:推 billboy: 哪就设PBR啊~~不过map哪几个ip进出都是会走fw1 07/09 13:01
21F:→ deadwood: 不少防火墙都能放行非对称路由的tcp session了 07/09 14:19
22F:→ deadwood: 你只要找出你家防火墙开放该功能的设定方式即可 07/09 14:20
23F:→ deadwood: 主要是FW2要开启这个功能 07/09 14:20
24F:推 asdfghjklasd: Ascenlink 一台就搞定了.那来一堆问题 07/09 14:30
25F:→ deadwood: "不肯改架构"就是问题的来源喽XD 07/09 14:35
26F:推 TKOW: 直接在core做PBR最快阿 07/09 15:00
27F:推 xxoo1122: 用haproxy就可以解决 07/09 16:08
28F:推 sssxyz: WAN1绕送进来的多做source nat 但这样系统access log 07/09 16:54
29F:→ sssxyz: 会被遮蔽为少数IP 07/09 16:54
30F:→ sssxyz: 非同步路由不太建议在FW上打开 会失去些许功能(session) 07/09 16:55
31F:→ sssxyz: AscenLink在某些情况下 本身就是问题 效能不优 07/09 16:56
32F:→ sssxyz: 可能被买走後也许会慢慢改善吧 07/09 16:56
33F:→ deadwood: 最根本的方法是把那几台会让外面连进来的搬到DMZ去吧 07/09 17:08
34F:→ deadwood: 放在内网又要让外网连入、又要上网是哪招? 07/09 17:09
35F:推 sssxyz: 是...Client网段应该明确与提供服务的Server切分 07/09 17:16
36F:→ sssxyz: 提供外部服务的归属於DMZ比较正常 07/09 17:16
37F:→ sssxyz: 但可能某些公司或多或少 都有些包袱或故事 没办法这样做吧 07/09 17:17
38F:推 mate99: 不知道fw1设定mapping的那一条policy的source nat 启用会 07/09 19:30
39F:→ mate99: 不会有办法解决 07/09 19:30
40F:→ asdfghjklasd: 见鬼了,原po就是用 Ascenlink... 07/09 21:02