Межсетевой экран D-Link DFL-870 является одним из мощных девайсов с большими возможностями. В организациях часто бывают такие случаи когда в одной сети находятся несколько юридических лиц и используется одна локальная сеть. Всем пользователям разных организаций нужен доступ к общим ресурсам. Но нужно разграничить выход в интернет, т.е. сделать так чтобы сотрудники одной организации выходили в интернет со своего внешнего IP адреса, а сотрудники другой организации через другой. У обоих организаций используется один оператор связи и он выдал два внешних IP адреса по одному кабелю. У нас есть межсетевой экран DFL -870 c помощью которого нам и нужно сделать разграничение.
Для решения данной задачи нам нужно в DFL создать объекты соответствующие выданным настройкам провайдера. (рис.1,2)
wan_ipadress, Wan_Milhina - внешние ip адреса;
Wan_gwadr, WAN_gvmilhina - Шлюзы выданные провайдером;
wan_maskadr, Mask_Milhina - Маска сети, записанная в битовом виде.
wan_dns1_adr, wan_dns2_adr - DNS сервера выданные провайдером.
Да ещё объект goodline будет основным каналом, с теми настройками которые устанавливаются не посредственно на порту устройства.
Объекты 2,5,6,7,8,9 и т.д. это внутренние IP адреса пользователей организации IP_Milhina. И только эти клиенты будут выходить в интернет через внешний IP адрес Wan_Milhina., а остальные через Goodline.
После создания объектов необходимо создать ARP запись для Wan_Milhina, для того чтобы он стал виден из вне. Для этого заходим Network -> ARP/Neighbor Discovery -> Add -> ARP/Neighbor Discovery. (Рис.3)
Mode: Принимает три значения (Publish, Static и XPublish) выбираем Publish.
Interface: Порт (интервэйс) где находится выделенный внешний IP адрес.
IP address: Внешний IP адрес
MAC address: MAC адрес оставляем без изменений. (По умолчанию).
Comments: Комментарий для удобства распознования созданного объекта, можно не заполнять.
Далее нам нужно создать таблицу маршрутов перейдя Network -> Routing -> Routing Tables -> Add -> Routing Tables. (Рис.4)
Далее создаём маршруты Add -> Route IPv4(рис.5). Первое правило:
Interface: Интерфейс (порт) где резолвится внешний IP адрес;
Network: Внутренняя под сеть устанавливаем All-nets. (По умолчанию);
Gateway: Шлюз внешнего IP адреса;
Local IP address: Оставляем по умолчанию (None);
Metric: Метрику устанавливаем на 100;
Forward Broadcast Traffic: Галочку не ставим.
Comments: Любой по Вашему усмотрению.
Остальные вкладки Proxy ARP, Мonitor и Monirored Hosts их оставляем без изменений.
И второе правило (рис.6):
Interface: Интерфейс (порт) где резолвится внешний IP адрес;
Network: Устанавливаем маску сети провайдера;
Gateway: (None);
Local IP address: (None);
Metric: Метрику устанавливаем на 100;
Forward Broadcast Traffic: Галочку не ставим.
Comments: Любой по Вашему усмотрению.
Остальные вкладки Proxy ARP, Мonitor и Monirored Hosts их оставляем без изменений.
После создания маршрутов необходимо политику маршрутизации т.е. приорететы перейдя по пути Network -> Routing ->Policy-based Routing Rules -> Add - Routing Rulles. (рис.7).
Name: Имя правила любое;
Forward routing table: Наше ранее созданная таблица маршрутизации;
Return routing table: Таблица маршрутизации созданная по умолчанию;
Service: Какие службы будут проходить по данному маршруту (all-services);
Schedule: время когда данный маршрут будет активный (по умолчанию None);
Interface Source: lan1 (порт куда подключена локальная сеть предприятия);
Network Source: Milhina_IP (группа внешних адресов локальной сети которые будут выходить в интернет);
Interface Destination: Wan_goodline (внешний порт где находится внешний IP адрес;
Network Destination: all-nets (локальная подсеть нашего предприятия);
Comments: Любой по желанию;
Далее нужно создать роль и в данной роли разрешить только определённым Ip адресам выходить интернет через созданный нами маршрут. Для это перейдя по пути Policies -> Main IP Rules -> Add -> IP rule (рис.8)
Name: Любое;
Action: Принимает значения (Drop, Reject, Allow, NAT, Forward fast, SAT, SLB SAT, Multiplex SAT) выбираем NAT;
Interface Source: lan1 (порт куда подключена локальная сеть предприятия);
Network Source: Milhina_IP (группа внешних адресов локальной сети которые будут выходить в интернет);
Interface Destination: Wan_goodline (внешний порт где находится внешний IP адрес;
Network Destination: all-nets (локальная подсеть нашего предприятия);
NAT action: Specify sender address (по умолчанию);
New IP Address: Wan_Milhina (это внешний IP адрес через который будут выходить в интернет выбранные пользователи);
Application Control: По умолчанию Off;
Logging: По умолчанию ON и уровень логирования Default;
Comments: Любой по желанию;
После данных настроек выбранные пользователи будут выходить в интернет под другим внешним IP адресом.