Requisito especial de roteamento e NAT

Navegue suas respostas
2

Eu tenho um problema especial de roteamento e NAT que espero poder consertar de alguma forma. Dentro da minha empresa, rodamos uma supernet como 192.168.0.0/21 (192.168.0.1 - 192.168.7.254). Todos os computadores têm essa máscara de sub-rede, sem a necessidade de roteamento para alcançar qualquer um dos outros computadores dentro deste segmento.

Para alguns clientes, configuramos alguns túneis IPSec entre eles e nosso firewall. Além disso, alguns clientes aceitam tráfego somente através do túnel para determinados IPs de origem de dentro da minha rede privada. Como o cliente A só aceita tráfego para seus servidores (temos que buscar, por exemplo, RDP, SAPGUI, etc.) se a fonte estiver entre 192.168.1.1-192.168.1.10. Outro só aceita a fonte 192.168.3.0/24 e assim por diante. Até agora, lidei com isso atribuindo um IP do intervalo responsável para esse PC cliente específico. Mas agora isso está ficando complicado e também muda no mesmo dia. O usuário precisa se conectar ao cliente A às 9h e ao cliente B às 11h ....

Para ser mais flexível, pensei em centralizar isso tendo um roteador dentro da minha lan, que eu digo que o tráfego para o cliente A deve ir para a interface A, que tem um IP do intervalo necessário. Mas também NAT o tráfego, a fim de ocultar o IP de origem do cliente real.

Desta forma, eu poderia configurar algumas rotas específicas para os destinos certos para passar por este roteador. Eu eliminaria a necessidade de sempre trocar os IPs de origem do cliente de acordo com as necessidades. Mas temo que não consiga fazer isso funcionar, já que meu roteamento seria do mesmo para a mesma rede novamente. Não é da minha lan para a lan do cusotmer, isso é feito via IPSec mais tarde no meu firewall, mas eu só tenho que esconder o IP do cliente como 192.169.2.1/21 afirmando ser 192.168.1.2/21

Alguma ideia? Eu pensei em Windows RRAS Server, mas isso é bom para rotear de um segmento para outro. Mas dentro da mesma rede apenas trocando IP's.

    
por user160011 14.02.2013 / 18:45

2 respostas

1

Eu não posso enfatizar o quão ruim é a idéia de executar um / 21 internamente SE você tiver hosts suficientes para garantir o uso de um / 21.

Como em, para você precisar de um / 21 (2000+ hosts), um / 22 (mais de 1000 hosts) não era bom o suficiente. Se você está executando um / 21 com 10 hosts, então não importa.

Se este é um farm de servidores onde o tráfego de broadcast é baixo e entendido, então não há problema.

Mas se (como parece) Se você estiver executando um / 21 com 1049+ estações de trabalho na mesma sub-rede, você terá um tempo ruim. Seu tráfego de transmissão seria um pesadelo cheio de spam.

    
por 15.02.2013 / 01:13
0

SNAT / MASQUERADING está em POSTROUTING, portanto, por definição, o roteamento não é mais um problema.

Você pode até mesmo alterar a tabela de roteamento em um dos seus sistemas locais para que ela não tente entregar pacotes para 192.168.0.0/21 localmente através de seu link, mas os envie para o gateway: 

ip route del 192.168.0.0/21

No gateway, você deve permitir o encaminhamento dentro da rede LAN, é claro. Mas então você pode usar o SNAT mesmo localmente. Isso é provavelmente mais divertido do que testar com a conexão com o cliente. : -)

    
por 14.02.2013 / 19:30

Tags

A restauração do MySQL ZRM falhou com o comando mysql error unknown \ 0 Combinando desinstalar, parar, instalar, iniciar script via monit