TS
На циско нэйтив
Size: a a a
2020 October 30
TS
Все верно говоришь, семпай
PT
harpin nat
Как я понимаю, при hairpin nat нужно из правил убрать упоминание интерфейсов?
PS
Все верно говоришь, семпай
так в чем вопрс-то?
TS
Ну первый вопрос заключался в том, что правильно ли я всё понял. С этим уяснили. Щас будет второй.
PS
native vlan нужен только внутри свича
TS
native vlan нужен только внутри свича
да, я понимаю
PS
Как я понимаю, при hairpin nat нужно из правил убрать упоминание интерфейсов?
наоборот
надо явно указать интерфейс
надо явно указать интерфейс
TS
Вот есть схемка. Как ты сделаешь так, чтобы .36 не смог пингануть .39?
PT
наоборот
надо явно указать интерфейс
надо явно указать интерфейс
У меня явно указан interface-list=WAN для проброса snat
Если я добавляю такое правило, то нифига не работет. Если у первого правила убираю interface-list=WAN, то нафинает работать
Если я добавляю такое правило, то нифига не работет. Если у первого правила убираю interface-list=WAN, то нафинает работать
add action=src-nat chain=srcnat dst-address=172.17.0.12 dst-port=443 protocol=tcp src-address=172.17.0.0/24 to-addresses=172.17.0.1
PS
У меня явно указан interface-list=WAN для проброса snat
Если я добавляю такое правило, то нифига не работет. Если у первого правила убираю interface-list=WAN, то нафинает работать
Если я добавляю такое правило, то нифига не работет. Если у первого правила убираю interface-list=WAN, то нафинает работать
add action=src-nat chain=srcnat dst-address=172.17.0.12 dst-port=443 protocol=tcp src-address=172.17.0.0/24 to-addresses=172.17.0.1
потому что в данном случае не ван а лан)
TS
Вообще, мне кажется делать два еоипа нет смысла, будет достаточно одного
TS
петля иначе
TS
короче, считай, что еоип один
PS
запрещу на схт форвард с 36 на 39
PS
но схема пахнет плохо, очень плохо
PT
потому что в данном случае не ван а лан)
Вот два правила.
add action=dst-nat chain=dstnat comment=https dst-port=443 in-interface-list=WAN protocol=tcp to-addresses=172.17.0.12 to-ports=443
add action=src-nat chain=srcnat dst-address=172.17.0.12 dst-port=443 protocol=tcp src-address=172.17.0.0/24 to-addresses=172.17.0.1
add action=dst-nat chain=dstnat comment=https dst-port=443 in-interface-list=WAN protocol=tcp to-addresses=172.17.0.12 to-ports=443
add action=src-nat chain=srcnat dst-address=172.17.0.12 dst-port=443 protocol=tcp src-address=172.17.0.0/24 to-addresses=172.17.0.1
TS
но схема пахнет плохо, очень плохо
ну вот я видел, как здоровые люди делают - прокидывают два еоипа, каждый для своего влана, влан и еоип соответственно соединяют бриджами
VP
Как я понимаю, при hairpin nat нужно из правил убрать упоминание интерфейсов?
Для Вашего правила dst-nat - да
PT
Для Вашего правила dst-nat - да
Т.е. я правильно подумал?