简而言之
是否可以在一个网关 + 防火墙下拥有两个独立的网络(由 IP 地址和子网分隔),该网关 + 防火墙内的 IP 和子网配置位于网络#1 上,并且仍然过滤往返于网络#2 的入站/出站流量?
细节
网关 + 防火墙(m0n0wall 软件)的内部地址为 192.168.0.100,子网为 255.255.255.0
- 计算机的地址为 192.168.0.x,子网为 /24
- 一些设备位于 192.168.1.x 上,子网为 /24
从内部来看,我当然可以从地址为 192.168.1.Y 的计算机访问设备。
问题是 - 是否可以将某些端口从外部 IP(办公室外)转发到 IP 为 192.168 的设备?1.X?如果防火墙位于“不同的网络”上,它会起作用吗?
到目前为止我已经
- 将端口 443 转发至 192.168.1.X:443
- 设置防火墙规则以完全信任我的外部 IP 地址的所有入站和出站端口。
尝试连接到办公室外网IP,端口 443
- 在浏览器中我得到
ERR_TIMED_OUT - 在办公室防火墙日志文件中我看到 外出办公外部 IP,允许 192.168.1.104 的 1560 端口,443 TCP 端口
- 有时我也看到外出办公外部 IP,端口 1560被否认到 办公室外网IP,端口 443 TCP
- 我不在日志文件中查看来自 192.168.1.X 的任何答复。
如果我将 443 映射到地址 192.168.0.X,一切正常。
请问这是什么问题?如何解决?
我怀疑防火墙不在同一子网。如果我将子网号降低到 255.255.0.0 以使防火墙包含两个网络,这会不会破坏整个网络?
答案1
从内部来看,我当然可以从地址为 192.168.1.Y 的计算机访问设备。
你没有给我们足够的细节:
您有两个独立的逻辑网络
- 192.168.0.0/24
- 192.168.1.0/24
您的防火墙位于 192.168.0.100。这意味着 192.168.1.0 无法与您的防火墙通信,除非我遗漏了其他部分。192.168.1.0/24 如何与您的防火墙通信?您必须具有以下任一功能:
- m0n0wall 上的辅助接口也具有 192.168.1.0 上的地址
- 两个网络之间的路由器
- 有一个网桥或一些设备在两个网络之间进行 NAT
您需要告诉我们这里我们遗漏了谜题的哪一部分。
答案2
简而言之,是的。
iptables -L -n详细信息:请显示、iptables -L -n -t nat、ip route show和的输出ip addr list。
答案3
在大多数情况下,您需要告诉防火墙,除了直接连接的网络之外,防火墙后面还有其他或次要的网络。防火墙还需要知道如何将数据包路由到此次要网络,因为它位于另一个子网上。您还需要设置 NAT,以将您的一个可用公共 IP 地址转换为相关服务器的内部地址。