Single m0n0wall - Duas sub-redes LAN - Como configurar

4

Eu tenho duas sub-redes LAN que preciso vincular, elas são 192.168.4.0/24 e 192.168.5.0/24

Existe um m0n0wall em execução no 192.168.4.1. É a conexão LAN que sai para o nosso switch de rede e sua porta WAN sai para o nosso modem ADSL. A WAN está conectada via PPPoE.

A sub-rede 192.168.4.0 contém todas as nossas estações de trabalho de escritório. A sub-rede 192.168.5.0 contém servidores de desenvolvimento e máquinas de teste que precisam obter acesso à Internet e ser "gerenciados" por computadores na sub-rede 192.168.4.0, mas também precisam estar em sua própria sub-rede.

Eu tenho um Draytek 2820N configurado em 192.168.5.1 com sua porta WAN2 configurada como 192.168.4.25 e um gateway padrão de 192.168.4.1. Máquinas na sub-rede 5.0 podem se conectar à internet via m0n0wall bem.

Eu configurei uma rota estática na interface LAN m0n0wall, Rede 192.168.5.0/24 e Gateway 192.168.4.25.

As máquinas na sub-rede 5.0 podem executar ping em máquinas na rede 4.0, mas o contrário não funciona. Configurei uma nova regra de firewall no m0n0wall que permite que qualquer tráfego na interface da LAN com um IP de origem 192.168.4.25 seja permitido. O firewall DrayTek está atualmente configurado para passar todo o tráfego independentemente.

Quando tento pingar uma máquina na sub-rede 5.0 a partir do 4.0, vejo isso no meu log m0n0wall:

BLOCO 14: 45: 27.888157 LAN 192.168.4.25 192.168.4.37, tipo echoreply / 0 ICMP

Portanto, a resposta está sendo enviada da sub-rede 5.0, mas não está recebendo permissão para acessar minha estação de trabalho porque o firewall está bloqueando-a. Por que o firewall está bloqueando isso?

Espero que a explicação da minha rede seja clara. Pergunte se você precisa de mais esclarecimentos.

Obrigado.

    
por SnAzBaZ 12.02.2011 / 15:55

1 resposta

1

Se o pacote ICMP foi enviado de 192.168.4.37 para 192.168.5.xe a resposta é recebida de 192.168.4.25, pergunto-me se isto pode ser considerado uma falsificação. Nas configurações avançadas do m0n0wall, observo essas duas opções:

  • Verificação de spoofing bloqueia pacotes não originados da sub-rede da interface em que o pacote foi recebido em
  • Ignorar regras de firewall para tráfego na mesma interface

Eu não conheço o funcionamento interno do m0n0wall. Mas eu me pergunto se há regras de firewall do sistema adicionadas que não são realmente mostradas na interface da web de regras que podem estar bloqueando o ecoreply.

Você pode ir para /exec.php e postar a saída do comando:

ipfw list

Isso provavelmente ajudaria na depuração.

    
por 28.03.2011 / 09:59