commutazione / routing basata su protocollo?


1

Mi sono imbattuto in un problema con un progetto di progettazione di rete a cui sto lavorando. La nostra rete interna è 192.168.1.x. Abbiamo due gateway fuori dalla nostra rete, il numero 1 è .20 e il numero 2 è .52. Normalmente puoi scegliere il tuo gateway a livello di macchina, ma qui sta il nostro problema. Abbiamo un dispositivo di sicurezza in linea con i nostri due gateway. Indipendentemente dall'indirizzo di livello 2 che il dispositivo riceve quando inoltra i pacchetti su di esso riceve l'indirizzo di livello 2 del gateway sul suo bridge. Devo dire che questo comportamento è rilevante solo sui protocolli monitorati dal dispositivo (http, smtp) Quindi, il risultato finale è tale, indipendentemente dal gateway con cui sono configurate le singole macchine per i protocolli in questione, ottengono tutti lo stesso gateway non importa cosa.

Mi è stato assegnato il compito di avere server diversi che utilizzino il gateway # 1 o il gateway # 2 in base alle nostre esigenze. Bene, non così eccezionale se quei server usano un protocollo "ispezionato".

La mia idea ora è di instradare il traffico dopo che è uscito dal dispositivo di sicurezza in base al protocollo di livello 3 nel pacchetto. Semplicemente non so cosa usare per farlo però. O del resto se questo è anche l'approccio migliore.

D.


1
Sembra che quel firewall (è un firewall, giusto?) Sta cercando di giocare al router; è impostato in modalità trasparente? Direi che la tua scommessa migliore è far smettere al tuo firewall di fare casino con le cose; il supporto per qualcosa come il routing basato su criteri sarà incostante. Avremo bisogno di conoscere almeno il produttore di quel dispositivo per aiutare con quella parte.
Shane Madden

Il suo e il server IBM eseguono il software di ispezione dei pacchetti di Websense. Credo che il loro software funzioni su CentOS, ma ho studiato il problema con Websense e sebbene dichiarino nella loro letteratura "trasparente", hanno trascurato di dire "solo al livello 2". È così che mi sono trovato in questa situazione.
Donovan,

Risposte:


0

L'approccio migliore è "riparare" questo dispositivo di sicurezza! Tuttavia, il secondo è quello di configurare una sorta di routing capace L3 su qualsiasi dispositivo che controlli. Se controlli i gateway puoi usare qualcosa come iptables per configurare gli indirizzi di origine / destinazione o reindirizzare il pacchetto interamente sull'altro gateway.

Ecco alcune informazioni sull'uso di iptables per mascherare:

http://www.netfilter.org/documentation/HOWTO/NAT-HOWTO-6.html


0

È possibile utilizzare un dispositivo firewall / router gratuito chiamato pfSense . Consente di prendere decisioni di instradamento basate su numeri di porta e simili.


Ho dato un'occhiata alla vista. Sembra che sia solo BSD da eseguire su qualsiasi hardware tu scelga. Non esattamente un "apparecchio" suppongo, ma potrebbe portare a termine il lavoro.
Donovan,

Esistono diversi fornitori commerciali che raggruppano pfSense con hardware e / o supporto se non si desidera eseguire il roll-up da soli. È molto ben sviluppato e batte facilmente molti prodotti commerciali chiusi. A proposito, cosa c'è che non va nel kernel BSD e nello stack di rete?
scatto il
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.