我已经尝试寻找解决这个问题的方法很多周了,希望有人能帮助我。
我有一个相当简单的网络:
- 具有多个 NIC 的 Windows Server 2012R2
- 一些子网 (VLAN),其中 DHCP 的路由器选项设置为该子网上服务器的相应 NIC
- 每个子网中的所有 NIC 上均已启用 DHCP 和 DNS(并正常运行)
每个 vlan 在 192.168.x.0 空间中都有自己的子网。
我想要的是:
我希望所有子网的客户端都能够连接到互联网,但不能连接到任何其他子网。
例如,客户端 192.168.4.12 应该能够 ping google.com,但不能 ping 192.168.3.0/24
我做了什么:
- 因为我想让服务器进行路由,所以我安装了 RRAS 功能作为 LAN 路由器。之后,子网的客户端可以 ping 通子网,但无法访问 Internet。
- 我将 NAT 添加到 RRAS,它们能够互相 ping 通并能访问 Internet。
我努力了:
- RRAS 中每个子网接口上的入站/出站过滤器 - 启用 NAT 时不执行任何操作
- 静态路由阻止来自子网的流量 - 也没有反应。我可能做错了,但我尝试了各种配置
- 使用 Windows 高级防火墙,但没有找到阻止从特定子网到特定子网的流量的方法
有什么办法吗?我是否遗漏了什么?或者您是如何做到的?
答案1
如果您仍然需要它,我已经找到了解决方案:
在 RRAS 控制台的常规部分中右键单击每个接口。选择属性,单击传入过滤器,单击新建,然后添加每个其他 vlan 及其 ip 地址范围作为目标网络,当然,您当前正在配置的 vlan 除外
答案2
可以在一台 RRAS 服务器上同时使用 NAT 和静态过滤器。即使 RRAS 静态过滤器是无状态的,而 NAT 需要有状态防火墙。
如果您在 NAT 会话处于活动状态时查看 NAT 会话映射(右键单击 > 查看映射),您将看到每个会话有 3 个 IP 地址:公共、私有和远程。我将公共 IP 和私有 IP/范围都添加到“丢弃除...之外的所有数据包”入站静态过滤器中,该过滤器位于我的“公共”RRAS 接口上。
RRAS“常规”部分中“公共”NAT 接口上的入站静态过滤器:
1:来源:任意,目标:“公共” IP,255.255.255.255 子网(隔离到单个 IP 地址)
2:来源:任意,目的地:“私有” IP/范围(例如,/24 子网为 255.255.255.0)
这似乎允许 NAT(任意 > 公共)和转发(任意 > 私有)发生,并排除其他不必要的路由。
似乎可以将第二个过滤器设置为公共>私人,但这对我来说不起作用,我需要任何>私人