以前同じような質問をしたのですが、内容がいろいろ変更になったので、改めて投稿します。 社内ネットワーク、192.168.10.0/24があります。 192.168.10.1にルータを置き、インターネットに接続。 192.168.10.10にサーバーを置き、ファイルサーバー、プロキシサーバー、社内DNSサーバーとして運用していました。 業務拡張により、上記に加え 172.16.10.0/24 というネットワークを作ることになり、ルータにはRTX1200を使用することになりました。 LAN1は使用せず、LAN2をWAN側、LAN3をLAN側としました。 LAN3側は、192.168.10.0/24と172.16.10.0/24としてVLANを切ってあり、ルータの下にはL2スイッチがあり、タグVLANとして192.168.10.0/24、172.16.10.0/24 それぞれが接続されています。 まずはシンプルに下記のように記述したところ、192.168.10.0/24、172.16.10.0/24 どちらのクライアントもインターネットに接続でき、192.168.10.10のサーバーの共有フォルダへのアクセス、プロキシサーバーの利用もできました。 -------------------- ip lan2 address (IPアドレス) ip lan2 nat descriptor 1 ip route default gateway (GWアドレス) nat descriptor type 1 masquerade nat descriptor address outer 1 (IPアドレス) dns server (DNSサーバーのアドレス) vlan lan3/1 802.1q vid=1721 name=M010 ip lan3/1 address 172.16.10.1/24 vlan lan3/2 802.1q vid=1921 name=K010 ip lan3/2 address 192.168.10.1/24 dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 101 172.16.10.20-172.16.10.100/24 dhcp scope option 101 dns=192.168.10.10 dhcp scope 102 192.168.10.20-192.168.10.100/24 dhcp scope option 102 dns=192.168.10.10 -------------------- ここにフィルターをかけ、下記のような動作を実現したいと思っています。 ・192.168.10.0/24グループと172.16.10.0/24グループは、グループ内PC同士のアクセスは可、グループ間の相互アクセスは不可 ・サーバーが192.168.10.10にあるので、172.16.10.0/24グループもこのサーバーへは自由にアクセスできる ・インターネットの接続(www)は必ず192.168.10.10のプロキシサーバーを通したいので、クライアントから直接WAN側に(www)は出られないようにする。 ・プロキシサーバーはwwwだけなので、pop3やsmtpなど「webサイトを見る」以外はプロキシ経由でなく直接WAN側に出られるようにする 色々試しているのですが、どうもすべてうまくはいきません。 フィルタのかけ方、もしくは上記を実現するよい方法がありましたら、アドバイスいただきたいと思います。 よろしくお願いします。
↧