J
объект не обязательно должен представлять одну сеть, за отдельным сетевым интерфейсом
Size: a a a
2018 March 19
RP
всё время забываю что файрволл можно использовать по разному. Не только на границе сети...
RP
оке, спасибо
J
1.0.0.0/24 может быть за eth0 и 1.0.1.0/24 - за другим. объект с 1.0.0.0/23 адресом будет охватывать два этих физических интерфейса
RP
да, логично
J
сумбурно, но смысл понятен, думаю
EO
Вообще мне кажется это какой-то баг CP. Имхо если трафик ходит между Internal интерфейсами, то NAT-а по дефолту не должно быть
RP
не баг, а фича, видимо
J
Вообще мне кажется это какой-то баг CP. Имхо если трафик ходит между Internal интерфейсами, то NAT-а по дефолту не должно быть
иногда это нужно для корректной работы сети. в случае плохого дизайна, например
RP
Ручками создайте правило в политиках NAT и поставьте его первым
Это сработало. Спасибо.
RP
ну то есть по факту. для моей задачи мне не нужно это самое первое правило
J
совершенно верно
EO
Я обычно в рамках внедрения сразу создаю группу всех локальный сетей и делаю правило в NAT - НЕ НАТИТЬ
RP
Нет. Я погорячился когда сказал что всё заработало. Я сделал тест для одного хоста и это было ок. судя по всему это статический NAT. Мне же нужен динамический. И вот что произошло когда я указал вместо хоста сеть. Например сеть источник - 10.200.0.0/24. Адрес в который я хочу снатить - 100.100.100.50
Так вот, если проверять трафик из хоста 10.200.0.10, то по логам он снатировался в 100.100.100.60
Так вот, если проверять трафик из хоста 10.200.0.10, то по логам он снатировался в 100.100.100.60
RP
то есть он прибавил разницу между 10.200.0.10 и 10.200.0.0 (то есть число 10) к IP адресу в который я хотел его снатить
EO
скрин правила скиньте
RP
первый раз вижу такую логику
EO
там нужно выставить hide
RP
где? в каком объекте?
