NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Пример одной из конфигураций:<br />
Существует IP-правило, задающее действие NAT для всего HTTP-трафика, проходящего в Интернет<br />
через WAN-интерфейс:<br />
Действие<br />
(Action)<br />
Интерфейс<br />
источника<br />
(Src Iface)<br />
Сеть<br />
источника<br />
(Src Net)<br />
Интерфейс<br />
назначения<br />
(Dest Iface)<br />
Сеть<br />
назначения<br />
(Dest Net)<br />
NAT lan lannet wan all-nets http<br />
Параметры<br />
(Parameters)<br />
Следовательно, в таблице маршрутизации содержится следующий заданный по умолчанию маршрут:<br />
Интерфейс<br />
(Interface)<br />
Сеть<br />
назначения<br />
(Destination)<br />
Шлюз<br />
(Gateway)<br />
Метрическая<br />
величина<br />
(Metric)<br />
wan all-nets 195.66.77.1 10 Off<br />
Мониторинг<br />
(Monitoring)<br />
Резервный маршрут создается для DSL-соединения и для него также включена функция Route<br />
Monitoring. Соответствующая запись в таблице маршрутизации примет вид:<br />
№ маршрута<br />
(Route #)<br />
Интерфейс<br />
(Interface)<br />
Сеть<br />
назначения<br />
(Destination)<br />
Шлюз<br />
(Gateway)<br />
Метрическая<br />
величина<br />
(Metric)<br />
1 wan all-nets 195.66.77.1 10 On<br />
2 Dsl all-nets 193.54.68.1 20 Off<br />
Следует отметить, что функция Route Monitoring включена только для первого маршрута.<br />
Мониторинг<br />
(Monitoring)<br />
Система будет работать по этому сценарию до тех пор, пока основной WAN-маршрут доступен. В<br />
случае отказа первого WAN-маршрута будет использоваться второй, резервный маршрут.<br />
Однако, если происходит отказ маршрута, то для маршрута заданного по умолчанию следует<br />
использовать DSL-интерфейс. При установлении HTTP-соединения из локальной сети, поиск<br />
маршрутов будет заканчиваться DSL-интерфейсом назначения. Соединение будет отклонено,<br />
поскольку в IP-правиле, задающем действие NAT, указан WAN-интерфейс назначения.<br />
Кроме того, любые открытые Интернет-соединения, соответствующие правилу NAT также будут<br />
отклонены в результате изменения интерфейса.<br />
Для решения такой проблемы все возможные интерфейсы назначения должны быть сгруппированы в<br />
группу интерфейсов, для которой необходимо включить флаг Security/Transport Equivalent. После<br />
политики безопасности будут рассматривать данную группу как отдельный интерфейс назначения.<br />
Более подробная информация о группах приведена в Разделе 3.3.6, «Interface Groups».<br />
Генерирование Gratuitous ARP-запросов<br />
По умолчанию система NetDefendOS генерирует Gratuitous ARP-запросы для осуществления<br />
контроля над состоянием маршрута. Данные запросы предназначены для уведомления систем<br />
окружения об изменении маршрута. Этот режим работы может регулироваться настройками<br />
Gratuitous ARP on Fail.<br />
4.2.4. Мониторинг хостов (Host Monitoring) при<br />
резервировании маршрутов<br />
Обзор<br />
Дополнительная функция системы NetDefendOS Host Monitoring обеспечивает гибкий и легко<br />
конфигурируемый способ контроля надежности маршрута. Данный метод позволяет системе<br />
152