Организация роутинга портов на Windows 2003 сервер с помощью Routix NetCom
Oleg_K
Появился вопрос, можно ли организовать роутинг портов в Windows 2003
server с помощью Routix NetCom?
Задача: есть Windows 2003 server, на нем 3 сетевых интерфейса.
1) Локальная сеть
2) Доступ в Инет через Ethernet местного провайдера (трафик
лимитированный и дорогой)
3) Доступ в Инет через WiMax Yota (трафик нелимитированный и
недорогой, но IP динамически выдаются по DHCP)
Внутри на сервере крутится все, включая почтовик, что накладывает
ограничение на IP адрес, т.е. нельзя использовать динамические адреса
для роутинга почты из домена наружу (они отбрасываются почтовиками при
проверке обратной зоны).
Внимание, вопрос: каким образом организовать форвардинг всего
почтового трафика изнутри локальной сети наружу?
Сетевые интерфейсы настраиваются с помощью метрик, т.е. у Интерфейса 3
метрика равна 1, у Интерфейса 2 метрика равна 30. Таким образом, весь
трафик по дефолту летит в Гейт интерфейса 3.
Но почту надо роутить в Интерфейс 2.
При попытке настроить Routix NetCom 2.1 ничего не происходит, т.е. при
создании первым правила, по которому весь исходящий трафик Интерфейса
1 на порт 25 должен лететь в Интерфейс 2 ничего не происходит - все
равно все летит в Интерфейс 3.
Есть ли какое то решение данной проблемы?
Спасибо
Олег
Routix
Вы писали:
> при создании первым правила, по которому весь исходящий трафик Интерфейса
> 1 на порт 25 должен лететь в Интерфейс 2 ничего не происходит - все
> равно все летит в Интерфейс 3.
Мне не понятна логика этого действия.
Почему Вы пытаетесь перенаправлять ИСХОДЯЩИЙ трафик интерфейса 1 в
интерфейс 3?
Ведь это трафик от сервера в LAN?
По идее, вам надо ловить трафик, исходящий через интерфейс 3 и
заворачивать его в интерфейс 2, предварительно подменив IP источника
на IP интерфейса 2 и MAC назначения на MAC гейта интерфейса 2. Еще
включить добавление в таблицу NAT, чтобы в обратных пакетах все
подмены были сделаны обратно.
Или я недопонял вас?
Oleg_K
Попробовал я различные варианты, в результате почта как-то заработала
через Интерфейс 2, но почему то внутрь локалки она с одних адресов
доходила, а с других нет (т.е. например с gmail.com приходит, с
mail.ru почему то нет).
Ввиду критичности данного сервиса решено было тестить по-другому.
Итак, задача просто перенаправить весь трафик HTTP (т.е. входящий на
Интерфейс 1 из локальной сети) на Интерфейс 3.
Только следует учитывать, что IP по Интерфейсу 3 выдается динамически.
Также у меня есть подозрение, что MS ISA может вносить какие-то
дополнительные проблемы, т.к. в принципе данную не очень сложную
задачу решить не удалось.
При настройке
Направление пакетов = Только ВХОДЯЩИЕ на Интерфейс 1 (LAN)
IP любые, порт назначения = 8080 протокол TCP (на нем висит ISA Web
прокси)
Действие = NATим, подменяем автоматически исходные IP и порт и далее
перенаправляем на Интерфейс 3
При обращении на любой сайт через LAN прокси (т.е. запросы приходят на
Интерфейс 1, порт 8080) ничего не происходит, т.е. до сайта
достучаться не получается.
Routix
1. Когда вы перехватываете входящие пакеты на порт 8080 и
перенаправляете их на другой интерфейс, то до ISA они не дойдут и
уйдут на другой интерфейс. Как вы знаете, при работе с прокси клиентом
формируется специалый запрос для прокси, а прокси уже переформирует
клиентский запрос в стандартный вид и посылает его серверу
назнгачения. В вашем случае серверу уходит запрос, предназначенный для
прокси, да к тому же на порт 8080 вместо 80.
2. Как я понимаю, у вас default gateway теперь на интерфейсе 2 имеет
наивысший приоритет? Программа перехватывает пакет, формирует
уникальный порт источника, просматривает таблицу маршрутизации и в
соответствии с ней подставляет IP источника (в данном случае это IP
интерфейса 2).
Т. е. у вас в интерфейс 3 уходит пакет на шлюз, который на самом деле
на интерфейсе 2, да еще и с неправильным портом назначения и
неправильным HTTP заголовком ввиду использования прокси. Поэтому тут
работать ничего не будет.
Вся сложность с динамическим IP. Выход - либо просить провайдера
закрепить статический IP за вами, либо ставить дополнительный
компьютер, который будет натить на динамический IP.
> достучаться не получается.- Hide quoted text -
>
> - Show quoted text -
Oleg_K
летящего в Интерфейс 2 на порт 80 наружу, в Интерфейс 3?
Допустим, IP все-таки статический.
Routix
обычные http-запросы.
2. Условия:
Только исходящие пакеты через интерфейс 2
Протокол = TCP
IP источника = в диапазоне 192.168.0.0 - 192.168.0.255 (адреса
LAN)
IP назначения = НЕ в диапазоне 192.168.0.0 - 192.168.0.255
(адреса LAN)
Порт назначения = 80
Действия:
Добавить информацию о пакете в таблицу NAT
заменить IP источника на IP интерфейса 3
заменить порт источника автоматически
перенаправить пакет в интерфейс 3
> > > - Show quoted text -- Hide quoted text -
Oleg_K
Спасибо за информацию.
Я пробовал подобную конфигурацию.
Сейчас для проверки еще раз сделал перечисленные ниже действия -
результат: при проверке IP сервис whatsmyip.org все равно выдает адрес
гейта Интерфейса 2.
Почему, для меня остается загадкой.
ПРОКСИ на клиенте ТОЧНО отключен. Почему трафик на порт 80 не идет
через Интерфейс 3, а как обычно летит в Интерфейс 2?
Routix
Удалите старое правило и создайте новое:
1. Клиент не должен использовать прокси, чтобы клиентом формировались
обычные http-запросы.
2. Условия:
Только ВХОДЯЩИЕ пакеты через LAN
Протокол = TCP
IP источника = в диапазоне 192.168.0.0 - 192.168.0.255 (адреса
LAN)
IP назначения = НЕ в диапазоне 192.168.0.0 - 192.168.0.255
(адреса LAN)
Порт назначения = 80
Действия:
Добавить информацию о пакете в таблицу NAT
заменить IP источника на IP интерфейса 3
заменить порт источника автоматически
Если не работает, добавьте в правило в действия это:
перенаправить пакет в интерфейс 3