Есть у нас на работе один отдел. Дошли они до того, что нашего интернета им стало мало и захотели они свой. И не только захотели, но и выбили. Выбили выделенку на 3х человек! 0.о Мы были в шоке, но интернет им сделали. Выделенку они организовали у другого провайдера (буду его называть ISP2, а нашего провайдера - ISP1). Я им поставил и настроил муршрутизатор (D-Link Dir-100), прописал его в качестве шлюза по умолчанию и пошел по своим делам...
Через некоторое время начали творится странные глюки с нашим инетом - он то пропадал, то появлялся. Звоню нашему провайдеру (ISP1) - объясняют, что их оборудование нас банит, за то, что мы шлем пакеты с неверным обратным адресом, который принадлежит подсети нашего провайдера. Узнаю точные IP, которые светились в качестве обратного адреса и понимаю, что они принадлежат второму провайдеру (ISP2). Прихожу к выводу, что каким-то образом пакеты из подсети ISP2 просачиваются в нашу сеть, а затем и в сеть нашего провайдера (ISP1). В голову приходит самое очевидное решение - заблокировать на нашем шлюзе такие пакеты внутри локальной нашей сети. Самое интересное, что я прекрасно понимал как это сделать на IPTables, а у нас на шлюзе стояла Win2k3 и RRAS.
Немного порывшись в инете и настройках RRAS нашел решение: в настройках RRAS в категории NAT/простой брандмауэр, на интерфейсе, который смотрит в нашу локалку, запретить входящие пакеты из подсетей провайдеров (10.0.0.0/8) с помощью функции фильтрации пакетов.
Чуть позже переписал правило фильтрации так, чтобы принимались только пакеты из наших подсетей (172.20.16.0/23, 172.20.18.0/24, 172.16.0.0/24).
Пока все работает и проблема больше не повторялась.
Через некоторое время начали творится странные глюки с нашим инетом - он то пропадал, то появлялся. Звоню нашему провайдеру (ISP1) - объясняют, что их оборудование нас банит, за то, что мы шлем пакеты с неверным обратным адресом, который принадлежит подсети нашего провайдера. Узнаю точные IP, которые светились в качестве обратного адреса и понимаю, что они принадлежат второму провайдеру (ISP2). Прихожу к выводу, что каким-то образом пакеты из подсети ISP2 просачиваются в нашу сеть, а затем и в сеть нашего провайдера (ISP1). В голову приходит самое очевидное решение - заблокировать на нашем шлюзе такие пакеты внутри локальной нашей сети. Самое интересное, что я прекрасно понимал как это сделать на IPTables, а у нас на шлюзе стояла Win2k3 и RRAS.
Немного порывшись в инете и настройках RRAS нашел решение: в настройках RRAS в категории NAT/простой брандмауэр, на интерфейсе, который смотрит в нашу локалку, запретить входящие пакеты из подсетей провайдеров (10.0.0.0/8) с помощью функции фильтрации пакетов.
Чуть позже переписал правило фильтрации так, чтобы принимались только пакеты из наших подсетей (172.20.16.0/23, 172.20.18.0/24, 172.16.0.0/24).
Пока все работает и проблема больше не повторялась.
Комментариев нет:
Отправить комментарий