我在进行网络设计项目时遇到了障碍。我们的内部网络是 192.168.1.x。我们的网络有两个网关,1 号是 .20,2 号是 .52。通常,您可以在机器级别选择网关,但我们的问题就在这里。我们有一个与两个网关相连的安全设备。无论该设备在转发数据包时收到什么第 2 层地址,它都会在其桥上接收网关的第 2 层地址。我应该提到,这种行为仅与设备正在监控的协议有关(http、smtp)。因此,最终结果是,无论各个机器为相关协议配置了什么网关,它们都会获得相同的网关。
我的任务是让不同的服务器根据我们的需求使用网关 #1 或网关 #2。如果这些服务器使用“受检”协议,情况就不太好了。
我现在的想法是在流量离开安全设备后根据数据包中的第 3 层协议对其进行路由。但我就是不知道该用什么来做这件事。或者说这是否是最好的方法。
D.
答案1
最好的方法是“修复”这个安全设备!但是,次优方法是在您控制的设备上配置某种支持 L3 的路由。如果您控制网关,则可以使用 iptables 之类的东西来配置源/目标地址,或者将数据包完全重新路由到另一个网关。
以下是一些有关使用 iptables 进行伪装的信息:
http://www.netfilter.org/documentation/HOWTO/NAT-HOWTO-6.html
答案2
您可以使用免费的防火墙/路由器设备普富思. 它允许根据端口号等做出路由决策。