LAN 有两个入口点 - 如何管理流量

LAN 有两个入口点 - 如何管理流量

我问昨天这个问题当我(似乎)无法通过路由器传输流量时。

从那时起,我花了很多时间进行数据包捕获、ASA 5505 cli/ASDM 和 wireshark。

我终于意识到我的问题是 LAN 有两个条目。

LAN 为 10.10.5.0/24,PDC(DHCP/DNS/等)位于 10.10.5.5,Watchguard 防火墙位于 10.10.5.1

一个入口点设置了 Watchguard 防火墙,其目的是管理我们组织中的几乎所有流量。事实上,除了一组特定流量外,它负责处理所有流量。

这是单个客户端的另一个入口点。该客户端的服务器位于 10.10.5.30,ASA 5505 路由器位于 10.10.5.2(通过调制解调器桥接)。

我们在 UDP 3000 上的多台服务器上运行服务。对于所有其他服务器,我们希望所有互联网、ftp 等流量都通过主 Watchguard 网关传出。事实也确实如此。

但是对于那台服务器,我只希望端口 3000-3002 UDP 通过 ASA 5505 出去。来自其他服务器(包括端口 3000-3002)的所有 UDP 数据都要通过 WG。

我发现,当流量通过 10.10.5.2(ASA5505)进入时,正确的服务器 10.10.5.30 正在接收数据,但随后 10.10.5.30 正尝试通过 10.10.5.1 防火墙将 ACK 请求发回。

症状是看起来 ASA 上没有流量通过,我们没有收到任何流量。我如何才能强制此服务器的某些协议和端口通过 ASA 而不是 WG?

ASA 5505 具有 NAT 规则,可将所有 UDP 直接转发到 .30 并丢弃所有其他内容。

重要笔记:其他服务器通过 WatchGuard 在 10.10.5.1 使用相同的协议和端口,所以我不能只将所有 LAN 的 UDP 端口 3000 数据推送出一个连接 - 我需要将其拆分。

更新 本质上我需要在服务器 10.10.5.30 上为 UDP 端口 3000-3002 明确创建一条路由。我认为。它是 Windows 2003 Server SP2

答案1

啊。

路线-p添加0.0.0.0 0.0.0.0 10.10.5.2 度量2

为我提供一个跨越所需 ASA 5505 的持久新网关。

度量为 2 意味着服务器的当前网关仍然存在但已被弃用(度量为 10),这反映在 ipconfig 中 - 10.10.5.2 现在是默认网关。

相关内容