VIP en las políticas de FW

[aprendizforti]

Buenas tardes,

Tengo una duda a la hora de "matchear" las reglas cuando en el destino hay una VIP.

Si existe una regla con origen X, que va hacia un servidor A que a la vez hace NAT a un servidor B mediante un VIP, y en esa regla está el servicio DNS por ejemplo...entiendo que esa regla solo "matcheará" si se dan todos los casos, no? es decir, si se cumple todo pero el sevicio es HTTP, esa conexión no entrará por esa regla, verdad?

A parte de ese, tengo otra duda/problema que no tiene nada que ver, y esa a la hora de crear VIPs...no puedo crear varias VIP que tenga un mismo origen y distintos destinos (sin hacer ningún tipo de port forwarding)... ¿es eso normal? pensaba que sí podriá, y luego en la regla al diferenciar por servicio (utilizaría un VIP para un servicio y otro para otro), no habría confusiones...

Muchas gracias.

[gabyrossi]

hola,
1) depende de como armaste el vip? solo para udpo 53 por ejemplo?


2) mismo origen te referis a misma ip publica?
solo podrias si fueran port diferentes.
o que le ajutes el origen de la ip que va a consumir ese servicio.

saludos.

[aprendizforti]

hola,
1) depende de como armaste el vip? solo para udpo 53 por ejemplo?


2) mismo origen te referis a misma ip publica?
solo podrias si fueran port diferentes.
o que le ajutes el origen de la ip que va a consumir ese servicio.

saludos.

Hola Gabyrossi, te contesto sobre cada una

1) en el VIP solo puse dirección IP original y dirección a la que se mapea (a la que se hace el NAT). En el VIP no he puesto nada en los puertos, es decir, no he hecho port forwarding. Es en la regla general, donde uso el VIP como dirección destino, y además, en dicha regla es donde le pongo el servicio...

2) con mismo origen me refiero a misma ip pública sí. Entonces, solo puedo poner misma ip pública con distinta ip privada si le hago port forwarding en el VIP?¿o poniendo port forwarding sin cambiar de puerto pero usando alguno de ellos?

[gabyrossi]

hola, si en el vipo solo vas a usar es mejor que ahi acostes el puerto y no solo en la politica.
porque primero estarias abriendo todo, pero cortandolo en la politica y segunda ya es aip publica no podrias usarla mas en otro vip.



con la primera se resuelve la segunda.

[aprendizforti]

hola, si en el vipo solo vas a usar es mejor que ahi acostes el puerto y no solo en la politica.
porque primero estarias abriendo todo, pero cortandolo en la politica y segunda ya es aip publica no podrias usarla mas en otro vip.



con la primera se resuelve la segunda.

Es que tengo creados varios VIP, que luego uso en varias reglas...es decir, un mismo VIP lo utilizo en varias reglas, cambiando el origen de la regla, servicio, etc...

Por eso de mi pregunta, que quiero saber seguro, si un una regla que tiene como destino un VIP y un servicio solo matchea cuando coindicen en la regla el origen, el VIP y el servicio....es decir, si coincide todo menos el servicio, entiendo que no matchearía la regla...¿me lo confirmas entonces?

Muchas gracias.

[gabyrossi]

hola, mostra el vip y las politicias

No muestres la ip publica real.

saludos

[aprendizforti]

Hola Gabyrossi,

Me parece que si no pones el puerto en el VIP, da igual que le pongas el puerto en la regla, que no funciona correctamente...es decir, hace el nateo del vip sea para el puerto que sea, por mucho que le pongas por ejemplo SMTP en el servicio de la política....por lo tanto, habría que poner en el vip, el puerto 25, y a parte en la política también.

Por tanto, me da que siempre que quiera utilizar un VIP en una regla, deberé poner el puerto que necesite usar ese VIP tanto en el proopio objeto VIP como en la política donde utilice ese VIP como destino, ¿verdad?

[gabyrossi]

Hola, si le aclaras en port en el vip (port forwarding) no es necesario en la politica. Pero para dejarlo mas claro, siempre ponelo tambien.

saludos.

[aprendizforti]

Hola, si le aclaras en port en el vip (port forwarding) no es necesario en la politica. Pero para dejarlo mas claro, siempre ponelo tambien.

saludos.

Y en el ejemplo del DNS, si quiero hacer el port forwarding al 53 tanto de TCP como de UDP....tendré que crear dos VIP pero variando TCP por UDP y añadiendolos en la misma regla, verdad? es decir, ambos VIP como destino. ¿No habrá problema con añadir los dos VIP en la misma regla como destino a la hora de hacer el nateo de los VIP?

Muchisimas gracias.

[gabyrossi]

hola, si deberias hacerlo asi. 2 vip

saludos.