NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
10.0.0.3:1038 => 195.55.66.77:80<br />
• Система NetDefendOS преобразует адрес в соответствии с правилом 1 и пересылает пакет в соответствии с<br />
правилом 2:<br />
10.0.0.3:1038 => 10.0.0.2:80<br />
• WEB-сервер wwwsrv обрабатывает пакет и отсылает ответ:<br />
10.0.0.2:80 => 10.0.0.3:1038<br />
Этот ответ направляется на компьютер PC1, минуя межсетевой экран, что служит причиной возникновения проблем.<br />
Компьютер PC1 ожидает ответа с 195.55.66.77:80, а не с 10.0.0.2:80. Неподходящий ответ отбрасывается, а<br />
компьютер PC1 продолжает ожидать ответа, который не придет с 195.55.66.77:80.<br />
Разрешить проблемную ситуацию можно, незначительно изменяя набор правил, как это было описано выше в<br />
примере 7.3, причем, в данном случае можно выбрать любой из двух предложенных способов, например, способ 2.<br />
# Действие<br />
Интерфейс<br />
источника<br />
Сеть<br />
источника<br />
Интерфейс<br />
назначения<br />
Сеть<br />
назначения Параметры<br />
1 SAT any all-nets core wan_ip http SETDEST wwwsrv 80<br />
2 NAT lan lannet any all-nets All<br />
3 Allow any all-nets core wan_ip http<br />
• Компьютер PC1 отсылает пакет на адрес wan_ip, чтобы выйти на сайт www.ourcompany.com:<br />
10.0.0.3:1038 => 195.55.66.77:80<br />
• Система NetDefendOS статически преобразует адрес в соответствии с правилом 1 и динамически в соответствии с<br />
правилом 2:<br />
10.0.0.1:32789 => 10.0.0.2:80<br />
• WEB-сервер wwwsrv обрабатывает пакет и отсылает ответ:<br />
10.0.0.2:80 => 10.0.0.1:32789<br />
• Ответ достигает цели и оба преобразованных адреса возвращаются в исходное состояние.<br />
195.55.66.77:80 => 10.0.0.3:1038<br />
В этом случае ответ поступает на компьютер PC1 с соответствующего адреса.<br />
Другим способом решения данной проблемы является предоставление внутренним клиентам возможности<br />
соединяться напрямую с адресом 10.0.0.2. Это полностью поможет избежать проблем связанных с трансляцией<br />
адресов, однако, это не всегда практично.<br />
7.4.2. Преобразование IP-адресов «много ко многим»<br />
Одно SAT-правило можно использовать при преобразовании целого диапазона IP-адресов. В этом<br />
случае результатом преобразования будет замена первого исходного IP-адреса на первый IP-адрес из<br />
списка преобразования и т.п.<br />
Например, политикой SAT определяется, что соединения с сетью 194.1.2.16/29 должны<br />
транслироваться на сеть 192.168.0.50. Далее представлена таблица с результатом преобразования<br />
адресов, которое последует:<br />
Исходный адрес Адрес после трансляции<br />
194.1.2.16 192.168.0.50<br />
194.1.2.17 192.168.0.51<br />
194.1.2.18 192.168.0.52<br />
341