forum.opennet.ru

Составление сообщения

Исходное сообщение

"Проблема с snat"
Отправлено XCool, 27-Ноя-07 12:52

Есть сетка, (условно) 192.168.49/24, аппаратный шлюз в корпоративную сеть - 192.168.49.1. Возникла необходимость отделить сетку 192.168.49/24 от корпоративной защитным экраном. Это машинка на asplinux 10, с двумя сетевыми картами и адресами 192.168.49.33 (eth0, якобы внутренний), и 192.168.49.34 (eth1, якобы внешний), на всех машинках в сетке прописал адрес шлюза 192.168.49.33. На машине-экране настроил маршрутизацию так:
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.49.1    192.168.49.34   255.255.255.255 UGH   0      0        0 eth1
192.168.49.0    192.168.49.33   255.255.255.0   UG    0      0        0 eth0
0.0.0.0         192.168.49.1    0.0.0.0         UG    0      0        0 eth1
Из сетки 192.168.49/24 машинки нормально выходят в корпоративную сетку, все работает.
Пакеты форвардятся с одного интерфейса на другой, затем на шлюз и в корпоративную сетку - проблем нет. Обратно они идут от шлюза клиенту минуя экран. Хочу уточнить что все машины в сетке 192.168.49/24 поключены к одному коммутатору, включая шлюз и обе карты экрана.
Затем, включаю на экране в iptables действие snat для всех пакетов уходящих с интерфейса 192.168.49.34 (eth1) - что-бы пакеты в обоих направлениях шли только через экран. Вот здесь появилась проблема, связь стала ненадежной, то есть все вроде работает, но при скачивании больших файлов (50-300мб) по протоколу smb в любой момент времени загрузка прерывается с ошибкой "не могу прочитать файл". Ошибка при передаче появляется и при скачивании файлов с экрана. Выключаю действие snat - все нормально работает. В чем может быть дело?

Исходное сообщение
"Проблема с snat" Отправлено XCool, 27-Ноя-07 12:52
Есть сетка, (условно) 192.168.49/24, аппаратный шлюз в корпоративную сеть - 192.168.49.1. Возникла необходимость отделить сетку 192.168.49/24 от корпоративной защитным экраном. Это машинка на asplinux 10, с двумя сетевыми картами и адресами 192.168.49.33 (eth0, якобы внутренний), и 192.168.49.34 (eth1, якобы внешний), на всех машинках в сетке прописал адрес шлюза 192.168.49.33. На машине-экране настроил маршрутизацию так: Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.49.1 192.168.49.34 255.255.255.255 UGH 0 0 0 eth1 192.168.49.0 192.168.49.33 255.255.255.0 UG 0 0 0 eth0 0.0.0.0 192.168.49.1 0.0.0.0 UG 0 0 0 eth1 Из сетки 192.168.49/24 машинки нормально выходят в корпоративную сетку, все работает. Пакеты форвардятся с одного интерфейса на другой, затем на шлюз и в корпоративную сетку - проблем нет. Обратно они идут от шлюза клиенту минуя экран. Хочу уточнить что все машины в сетке 192.168.49/24 поключены к одному коммутатору, включая шлюз и обе карты экрана. Затем, включаю на экране в iptables действие snat для всех пакетов уходящих с интерфейса 192.168.49.34 (eth1) - что-бы пакеты в обоих направлениях шли только через экран. Вот здесь появилась проблема, связь стала ненадежной, то есть все вроде работает, но при скачивании больших файлов (50-300мб) по протоколу smb в любой момент времени загрузка прерывается с ошибкой "не могу прочитать файл". Ошибка при передаче появляется и при скачивании файлов с экрана. Выключаю действие snat - все нормально работает. В чем может быть дело?

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Есть сетка, (условно) 192.168.49/24, аппаратный шлюз в корпоративную сеть - 192.168.49.1. 
> Возникла необходимость отделить сетку 192.168.49/24 от корпоративной защитным экраном. 
> Это машинка на asplinux 10, с двумя сетевыми картами и адресами 
> 192.168.49.33 (eth0, якобы внутренний), и 192.168.49.34 (eth1, якобы внешний), на всех 
> машинках в сетке прописал адрес шлюза 192.168.49.33. На машине-экране настроил маршрутизацию 
> так: 
> Kernel IP routing table 
> Destination     Gateway       
>   Genmask         
> Flags Metric Ref    Use Iface 
> 192.168.49.1    192.168.49.34   255.255.255.255 UGH   0 
>      0      
>   0 eth1 
> 192.168.49.0    192.168.49.33   255.255.255.0   UG  
>   0      0   
>      0 eth0 
> 0.0.0.0         192.168.49.1   
>  0.0.0.0         UG 
>    0      0  
>       0 eth1 
> Из сетки 192.168.49/24 машинки нормально выходят в корпоративную сетку, все работает.
> Пакеты форвардятся с одного интерфейса на другой, затем на шлюз и в 
> корпоративную сетку - проблем нет. Обратно они идут от шлюза клиенту 
> минуя экран. Хочу уточнить что все машины в сетке 192.168.49/24 поключены 
> к одному коммутатору, включая шлюз и обе карты экрана.
> Затем, включаю на экране в iptables действие snat для всех пакетов уходящих 
> с интерфейса 192.168.49.34 (eth1) - что-бы пакеты в обоих направлениях шли 
> только через экран. Вот здесь появилась проблема, связь стала ненадежной, то 
> есть все вроде работает, но при скачивании больших файлов (50-300мб) по 
> протоколу smb в любой момент времени загрузка прерывается с ошибкой "не 
> могу прочитать файл". Ошибка при передаче появляется и при скачивании файлов 
> с экрана. Выключаю действие snat - все нормально работает. В чем 
> может быть дело?

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру