Как разделить трафик между двумя ip адресами на одном порту?

Question

[John Doe]

Есть сеть
внешний ip WAN: 11.22.33.44
Внутренний LAN: 192.168.2.0/24
В данной сети есть почтовый сервер 192.168.2.100, у которого опубликованы порты 80, 443, 25, 110, 587, 995, 143

Провайдер выделил secondary ip (из другой подсети) 33.55.66.77 который был добавлен на интерфейс WAN.
В сеть так же был введен еще один почтовый сервер 192.168.2.200, у которого нужно опубликовать те же самые порты 80, 443, 25, 110, 587, 995, 143.

Подскажите, как разграничить трафик между этими двумя ip адресами.

Comments

[Keffer]

Вы что ли 2 ip адреса повесили на 1 интерфейс???

[Valentin Barbolin]

> Провайдер выделил secondary ip (из другой подсети) 33.55.66.77
Точно из другой подсети? В таком случае нельзя вешать адрес на один и тот же интерфейс.

[Keffer]

Andrey Barbolin, в любом случае 2 ip адреса не вешаются на 1 фейс. Иначе, придется городить целый большой огород с машрутизацией и разделением трафика.

[Valentin Barbolin]

Keffer, Вешают, никакой проблемы нет, если адреса из одной сети и у них общий GW. Такую схему часто предлагает провайдер и ничего страшного тут нет.

[Keffer]

Andrey Barbolin, судя по тому что мы имеем, то адреса разные, с разных сетей.

[Valentin Barbolin]

Keffer, Это я и хочу уточнить. В погоне за конфиденциальностью, пользователь часто путается в показаниях)

[John Doe]

Andrey Barbolin, Да нет, я не путаюсь. Адес действительно из другой подсети.

[Valentin Barbolin]

V N, Тогда нужно кое что перенастроить:
- NAT. Вместо masquerade использовать SNAT
- все правила проброса (DNAT) привязывать к IP, а не к интерфейсу WAN
- 192.168.2.200 выпускать в интернет только через второй IP (SNAT)

[John Doe]

Andrey Barbolin,
- Т.е. мне нужно исключить secondary ip из masquerade и создать отдельное правило SNAT
- все правила проброса (DNAT) привязывать к IP -- именно так и настроено
Я правильно вас понял?

[Valentin Barbolin]

V N, Должно быть как-то так. От masquerade надо отказаться, должно быть только action=src-nat.

/ip firewall nat
add action=src-nat chain=srcnat out-interface=wan src-address=192.168.2.200 to-addresses=33.55.66.77
add action=src-nat chain=srcnat out-interface=wan src-address=!192.168.2.200 to-addresses=11.22.33.44

Answer 1

[nApoBo3]

Правила dst-nat, в нем указываете dst-ip и передает трафик на соответствующий почтовый сервер.
Можно еще пометить соединение и сделать обратный маршрут на основании этих меток, но проще выпускать каждый сервер через свой ip.
Тогда в src-nat нужно сделать два правила на основе src-ip с указание соответствующего to-addresses.