我正在尝试使用具有多个 LAN 的 VSphere 实现小型实验室基础设施,其中 2 个 LAN 是:
- 工作:使用员工笔记本电脑
- 受信任:对我的所有服务器(位于单独 DMZ 中的网站除外)
在这些 LAN 之间,我有一个带有多个网络适配器的 CentOS 主机,它用作内部防火墙并路由 LAN 之间的所有流量。
在受信任的 LAN 中,我有一个名为“domain.testing”的域的 Windows 域控制器,我尝试从工作 LAN 中的客户端计算机连接到它。每次我尝试连接到域控制器时,我都可以在 CentOS 主机上(使用 tcpdump)看到客户端正在端口 137 上发送 UDP NetBios 广播,即使我禁用了用于防火墙的防火墙,广播也不会从工作 LAN 转发到受信任的 LAN。在域控制器端,我看不到来自客户端主机的任何广播。
我在互联网上看到我应该激活网络定向广播,但我找不到如何使用 CentOS 来做到这一点。
以下是该基础设施的示意图:
|Client| ------------(ens192) |CentOS| (ens160)------------- |Domain Controller|
10.2.0.2 10.2.0.1 10.3.0.1 10.3.0.4
以下是防火墙规则:
# firewall-cmd --zone=trusted --list-all
trusted (active)
target: default
icmp-block-inversion: no
interfaces: ens160
sources:
services: dns http https kerberos ldap ldaps mdns rpc-bind samba-client samba
ports: 514/tcp 6514/tcp
protocols:
masquerade: yes
forward-ports:
sourceports:
icmp-blocks:
rich rules:
# firewall-cmd --zone=work --list-all
work (active)
target: default
icmp-block-inversion: no
interfaces: ens192
sources:
services: dns http https kerberos ldap ldaps mdns rpc-bind samba samba-client
ports:
protocols:
masquerade: yes
forward-ports:
sourceports:
icmp-blocks:
rich rules:
这是 CentOS 上的路由:
# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.2.0.0 0.0.0.0 255.255.255.0 U 0 0 0 ens192
10.3.0.0 0.0.0.0 255.255.255.0 U 0 0 0 ens160
在我尝试将域添加到客户端主机后,tcpdump 的输出如下:
# tcpdump -i ens192 -nn
15:35:31.018000 IP 10.2.0.2.137 > 10.2.0.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
15:35:31.755710 IP 10.2.0.2.137 > 10.2.0.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
15:35:32.505686 IP 10.2.0.2.137 > 10.2.0.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST