Схема подключения следующая: есть два гейта: gate1 и gate2. Веб-сервер в DMZ зоне имеет айпишник x.x.47.2.Веб-сервер подлкючен к обоим гейтам. IP сетевого интерфейса DMZ
на gate1 - x.x.47.254,
на gate2 - x.x.47.1 соотвественно.
Сеть 10.1.x.x ходит через gate1,
10.2.x.x - через gate2.
На веб-сервере прописаны роуты:
для сети 10.1.x.x - x.x.47.254
и для сети 10.2.x.x - x.x.47.1.
Схема 10.1.x.x->gate1->dmz->gate1->10.1.x.x работает. Схема 10.2.x.x->gate2->dmz->gate2->10.2.x.x также работает.
Хотелось бы, чтобы абоненты работали по такой схеме:
1) 10.1.x.x->gate1->dmz->gate2->10.1.x.x
2) 10.2.x.x->gate2->dmz->gate1->10.2.x.x соответственно.
Рассмотрим 1-й случай: пытаюсь зайти на веб-сервер, но не получается.
При этом, на сетевом интерфейсе DMZ на gate2 вижу пакеты, но на внтуреннем интерфейсе gate2 в локалку пакетов уже нет. Аналогчино и для 2-го варианта - на сетевом интерфейсе DMZ на gate1 вижу пакеты, а на внутреннем нет.
Кусок pf gate1:
Код: Выделить всё
ext_if = "em0"
int_if = "em1"
dmz_if = "em2"
table <LAN> const { 192.168.0.0/16, 10.0.0.0/8, 197.0.0.0/8 }
pass quick from XX.XX.XX.XX to <LAN> keep state
block on { $ext_if, $int_if } allПо идее pass quick выше - должно перекрывать block on, но сайт не работает.
Если закомментировать
Код: Выделить всё
#block on { $ext_if, $int_if } all, то пакеты видим на внутреннем интерфейсе gate2, видим на сетевухе абонента wireshark`ом, но сайт при этом все равно не открывается.
ICMP и порт 53 ходят отлично.
