Насчёт случая, когда интерфейсов много, и локальные подсети должны видеть друг друга
В правилах с Source = Firewall (или один из его интерфейсов) NAT – лишний.
Насчёт случая, когда интерфейсов много, и локальные подсети должны не только ходить в интернет, но и видеть друг друга, рассмотрим на примере двух LAN1 и LAN2 и одного иинтерфейса WAN1:
PERMIT Firewall -> any:any
-//- : Ping
DROP LAN1, LAN2 -> Firewall // Нечего, собственно, обслуживаемым подсетям на роутере делать
PERMIT LAN1 -> LAN2:any NAT (Int.IP2)
PERMIT LAN2 -> LAN1:any NAT (Int.IP1)
PERMIT LAN1, LAN2 -> any:some_services NAT (Ext.IP)
…
DROP any -> any:any
где Int.IP1, Int.IP2 – внутренние интерфейсы KWF, принадлежащие к LAN1 и LAN2 соответственно, Ext.IP – внешний интерфейс, принадлежащий к WAN.
Усложним задачу – теперь у нас есть не только две локалки (ими вполне могут быть и VPN-подсети) LAN1 и LAN2, но и два провайдера, интерфейсы, смотрящие на которых, соответственно WAN1 и WAN2.
Оставляем все предыдущее как есть, только вместо правила
PERMIT LAN1, LAN2 -> any:some_services NAT (Ext.IP)
пишем
1. PERMIT LAN1, LAN2 -> any:some_services NAT (Ext.IP1)
, потом добавляем
2. PERMIT LAN1, LAN2 -> any:some_services NAT (Ext.IP2)
Включаем их поочерёдно, в зависимости от требуемого (в данный момент работающего) провайдера. Дополнительные условия – удаляем в системе Default gateway и пишем в Static Routes
1. для провайдера 1 (WAN1)
Net 0.0.0.0 Mask 0.0.0.0 Gate IP_of_gateway_1 Interface WAN1
2. для второго
Net 0.0.0.0 Mask 0.0.0.0 Gate IP_of_gateway_2 Interface WAN2
и также включаем их поочерёдно, т.е. для правила 1 маршрут 1, для правила 2 – маршрут 2.
Пока мы тут рассуждаем, вышел новый релиз KWF 6.1. Рассмотрим вкратце, чего же он может дать такого, чего не могут предыдущие.
1. Теперь можно авторизовывать пользователей сразу из нескольких доменов. При этом даже предоставляется автоматический сервис по замене совпадающих логинов пользователей на желаемые не только в users, но и в других закладках, где они могут быть определены (например, Traffic Policy). Не стоит забывать, что “разные” домены, обрабатываемые одновременно, всё же должны быть родственными (иерархическими, трастовыми), т.к. машина с KWF не может одновременно принадлежать сразу к нескольким доменам, а членство её в домене является обязательным условием работы механизма AD-авторизации.
2. Появился механизм, с помощью которого можно практически из любого места WWW влазить в собственную локальную сеть через Web-интерфейс – естественно, под правами того пользователя, доменные реквизиты которого будут указаны при логине (замечательная штука!).
3. Теперь не нужно ломать голову над маршрутизацией при создании VPN-тоннелей. KWF готов попытаться настроить их автоматически за Вас. Если всё же Вы считаете, что данные настройки чем-то Вас не устраивают, по-прежнему к Вашим услугам проверенный временем старый добрый метод “Хочешь сделать что-то хорошо – сделай это сам”.