PTT職涯區 / MIS (IT資訊人員)

[請益] 雙防火牆 路由問題

看板MIS (IT資訊人員)作者時間9年前 (2015/07/09 11:06), 編輯推噓9(9031)
留言40則, 9人參與, 最新討論串1/1
請教各位先進~ 架構請見下圖 http://i.imgur.com/hi1uAVb.jpg
由於某些因素,圖中紅色部份是後來新增的FW 目地是想要達成: Client上網行為走FW2 存取DMZ Server則走FW1 Core Static routing: 0.0.0.0/0 next-hop 192.168.3.254 172.20.1.0/24 next-hop 192.168.1.254 這樣設 內部對外基本上有達成目地 但問題來了 192.168.11.0/24 裡面有些ip有mapping WAN1的外部IP 例如: 192.168.11.100 mapping WAN1:1.1.1.1 外部會無法連進來 會變成 由WAN1進來 從WAN2出?? 在不要把mapping IP 改成WAN2的情況下,有什麼做法呢? 欲達成 1.內對外上網行為都走FW2 2.外對內維持走FW1 P.S 沒有FW2情況下 Static routing改回 0.0.0.0/0 next-hop 192.168.1.254 外對內 內對外 都是OK的喔 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 59.124.164.127 ※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1436411214.A.797.html
07/09 11:27, , 1F
client ip怎麼會給個mapping ip? 高風險架構A
07/09 11:27, 1F
07/09 11:29, , 2F
rounting是從core sw走的 一改架構二手動抓出來走fw1
07/09 11:29, 2F
07/09 11:30, , 3F
另外問wan之間的ip該不會給整段C?
07/09 11:30, 3F
07/09 11:32, , 4F
有些歷史包袱 在不想更變原架構orIP情況下 有無其他辦
07/09 11:32, 4F
07/09 12:16, , 5F
可以用PBR不過會變成192.168.11.x出去的一定要走FW1出去
07/09 12:16, 5F
07/09 12:20, , 6F
可能沒辦法 最大目地就是要讓192.168.11.x 走FW2
07/09 12:20, 6F
07/09 12:24, , 7F
這樣會有問題啊~~你的fw2沒進來的session,可是有出去的
07/09 12:24, 7F
07/09 12:25, , 8F
session,這樣fw2會認為有問題~~就會檔下來啊~~
07/09 12:25, 8F
07/09 12:35, , 9F
已知會有問題了 所以想問在條件下有沒有解法?
07/09 12:35, 9F
07/09 12:36, , 10F
不然把map拿掉,fw1和fw2拿一條線把他接起來~~加static
07/09 12:36, 10F
07/09 12:38, , 11F
ASA可以解決session不同方向進出的問題
07/09 12:38, 11F
07/09 12:38, , 12F
route 進fw1後送到fw2~~然後騙你老闆說~~你看,現在
07/09 12:38, 12F
07/09 12:39, , 13F
是走fw2出去~~科科科~
07/09 12:39, 13F
07/09 12:55, , 14F
樓上可能誤會意思了 clinet內對外走FW2 目前沒問題
07/09 12:55, 14F
07/09 12:57, , 15F
問題是外對內mapping FW1進來的 他會走FW2出去 這段會
07/09 12:57, 15F
07/09 12:57, , 16F
有問題 應該是要走FW1才對
07/09 12:57, 16F
07/09 12:58, , 17F
要改動的話 要滿足原本"內對外都走FW2"的條件
07/09 12:58, 17F
07/09 12:59, , 18F
但FW1進來的 不限制 怎麼進來就怎麼出去 如果有辦法讓
07/09 12:59, 18F
07/09 13:00, , 19F
FW1進來從FW2出 也是可以
07/09 13:00, 19F
07/09 13:01, , 20F
哪就設PBR啊~~不過map哪幾個ip進出都是會走fw1
07/09 13:01, 20F
07/09 14:19, , 21F
不少防火牆都能放行非對稱路由的tcp session了
07/09 14:19, 21F
07/09 14:20, , 22F
你只要找出你家防火牆開放該功能的設定方式即可
07/09 14:20, 22F
07/09 14:20, , 23F
主要是FW2要開啟這個功能
07/09 14:20, 23F
07/09 14:30, , 24F
Ascenlink 一台就搞定了.那來一堆問題
07/09 14:30, 24F
07/09 14:35, , 25F
"不肯改架構"就是問題的來源嘍XD
07/09 14:35, 25F
07/09 15:00, , 26F
直接在core做PBR最快阿
07/09 15:00, 26F
07/09 16:08, , 27F
用haproxy就可以解決
07/09 16:08, 27F
07/09 16:54, , 28F
WAN1繞送進來的多做source nat 但這樣系統access log
07/09 16:54, 28F
07/09 16:54, , 29F
會被遮蔽為少數IP
07/09 16:54, 29F
07/09 16:55, , 30F
非同步路由不太建議在FW上打開 會失去些許功能(session)
07/09 16:55, 30F
07/09 16:56, , 31F
AscenLink在某些情況下 本身就是問題 效能不優
07/09 16:56, 31F
07/09 16:56, , 32F
可能被買走後也許會慢慢改善吧
07/09 16:56, 32F
07/09 17:08, , 33F
最根本的方法是把那幾台會讓外面連進來的搬到DMZ去吧
07/09 17:08, 33F
07/09 17:09, , 34F
放在內網又要讓外網連入、又要上網是哪招?
07/09 17:09, 34F
07/09 17:16, , 35F
是...Client網段應該明確與提供服務的Server切分
07/09 17:16, 35F
07/09 17:16, , 36F
提供外部服務的歸屬於DMZ比較正常
07/09 17:16, 36F
07/09 17:17, , 37F
但可能某些公司或多或少 都有些包袱或故事 沒辦法這樣做吧
07/09 17:17, 37F
07/09 19:30, , 38F
不知道fw1設定mapping的那一條policy的source nat 啟用會
07/09 19:30, 38F
07/09 19:30, , 39F
不會有辦法解決
07/09 19:30, 39F
07/09 21:02, , 40F
見鬼了,原po就是用 Ascenlink...
07/09 21:02, 40F
更多 gamecheat 的文章
文章代碼(AID): #1LdULEUN (MIS)
MIS 近期熱門文章
更多 近期熱門文章 >>
PTT職涯區 即時熱門文章
更多 即時熱門文章 >>
更多 gamecheat 的文章
文章代碼(AID): #1LdULEUN (MIS)