我试图为这个问题找到一个解决方案好几个星期,我希望有人能帮助我。
我有一个相当简单的网络:
- 具有多个 NIC 的 Windows Server 2012R2
- DHCP 的路由器选项设置为该子网上服务器的相应 NIC 的几个子网 (VLAN)
- 在每个子网中的所有 NIC 上启用(并工作)DHCP 和 DNS
每个 vlan 在 192.168.x.0 空间中都有自己的子网。
我想要的是:
我希望所有子网的客户端都能够连接到互联网,但不能连接到任何其他子网。
例如。客户端 192.168.4.12 应该能够 ping google.com 但不能 ping 192.168.3.0/24
我做了什么:
- 由于我希望服务器进行路由,因此我将 RRAS 功能安装为 LAN 路由器。之后,子网的客户端可以 ping 通子网,但无法访问 Internet。
- 我在 RRAS 中添加了 NAT,它们能够相互 ping 通,也可以 ping 通互联网。
我努力了:
- RRAS 中每个子网接口上的入站/出站过滤器 - 启用 NAT 时不执行任何操作
- 阻止跨子网流量的静态路由 - 也没有反应。我可能做错了,但我尝试了各种配置
- 使用 Windows 高级防火墙,但没有找到阻止来自特定子网的流量流向特定子网的方法
有没有办法做到这一点,我错过了什么或者你是怎么做到的?
如果您仍然需要它,我已经找到了解决方案:
右键单击常规部分中 RRAS 控制台中的每个接口。选择属性并单击传入过滤器单击新建并添加每个其他 vlan 及其 IP 地址范围作为目标网络,当然您当前正在配置的网络除外
可以在一台 RRAS 服务器上同时使用 NAT 和静态过滤器。即使 RRAS 静态过滤器是无状态的,并且 NAT 需要有状态的防火墙。
如果您在 NAT 会话处于活动状态时查看 NAT 会话映射(右键单击>查看映射),您将看到每个会话有 3 个 IP 地址:公共、私有和远程。我在我的“公共”RRAS 接口上将公共 ip 和私有 ip/范围都添加到了“丢弃所有数据包...”的入站静态过滤器中。
RRAS“常规”部分中“公共”NAT 接口上的入站静态过滤器:
1:来源:任何,目的地:“公共” ip,255.255.255.255 子网(隔离到单个 IP 地址)
2:来源:Any,目的地:“私有”IP/范围(例如 /24 子网的 255.255.255.0)
这似乎允许 NAT(任何 > 公共)和转发(任何 > 私人)发生,并排除其他不需要的路由。
似乎可以将第二个过滤器设置为 public>private,但这对我不起作用,我需要 Any>Private