LAN 有两个入口点 - 如何管理流量

我问昨天这个问题当我（似乎）无法通过路由器传输流量时。

从那时起，我花了很多时间进行数据包捕获、ASA 5505 cli/ASDM 和 wireshark。

我终于意识到我的问题是 LAN 有两个条目。

LAN 为 10.10.5.0/24，PDC（DHCP/DNS/等）位于 10.10.5.5，Watchguard 防火墙位于 10.10.5.1

一个入口点设置了 Watchguard 防火墙，其目的是管理我们组织中的几乎所有流量。事实上，除了一组特定流量外，它负责处理所有流量。

这是单个客户端的另一个入口点。该客户端的服务器位于 10.10.5.30，ASA 5505 路由器位于 10.10.5.2（通过调制解调器桥接）。

我们在 UDP 3000 上的多台服务器上运行服务。对于所有其他服务器，我们希望所有互联网、ftp 等流量都通过主 Watchguard 网关传出。事实也确实如此。

但是对于那台服务器，我只希望端口 3000-3002 UDP 通过 ASA 5505 出去。来自其他服务器（包括端口 3000-3002）的所有 UDP 数据都要通过 WG。

我发现，当流量通过 10.10.5.2（ASA5505）进入时，正确的服务器 10.10.5.30 正在接收数据，但随后 10.10.5.30 正尝试通过 10.10.5.1 防火墙将 ACK 请求发回。

症状是看起来 ASA 上没有流量通过，我们没有收到任何流量。我如何才能强制此服务器的某些协议和端口通过 ASA 而不是 WG？

ASA 5505 具有 NAT 规则，可将所有 UDP 直接转发到 .30 并丢弃所有其他内容。

重要笔记：其他服务器通过 WatchGuard 在 10.10.5.1 使用相同的协议和端口，所以我不能只将所有 LAN 的 UDP 端口 3000 数据推送出一个连接 - 我需要将其拆分。

更新 本质上我需要在服务器 10.10.5.30 上为 UDP 端口 3000-3002 明确创建一条路由。我认为。它是 Windows 2003 Server SP2