Цитата DemonSKED:
|
то сеть 192.168.1.0 не может видеть остальную сеть »
|
Это неконкретная формулировка без специальной сисадминской терминологии. Что значит 'видеть' в данном контексте? Видеть в списке сетевого окружения?
Вы сами в начале писали: "
Цитата DemonSKED:
|
Но эта сеть через этот же нат свободно ходит в сеть 10.0.0.0-10.0.3.255. »
|
Выходит, NAT 'изоляции 192.168.1.0/24' (запрета хостов сети 192.168.1.0/24 общаться с хостами сети 10.0.0.0/14) не помогает. Он помогает в другом случае - из сети 10.0.0.0/14 никто не может пробиться к 192.168.1.0/24, но не наоборот. Потому что 'двери на вход' с сети 10.0.0.0/14 (временное сопоставление внутреннего адреса и порта и внешнего адреса и порта) открываются только по требованию хостов 192.168.1.0/24. Они т.о. не правы.
Цитата DemonSKED:
|
один сервер нужно открыть в сети 192.168.1.0 как это сделать фильтрами не понимаю »
|
Ура! Вы теперь уже не говорите 'встроенный фаер'
У RRAS-фильтров ограниченные возможности: запретить всё, кроме, или разрешить всё, кроме. Вам же теперь нужно запретить всё, кроме, но с исключением. Здесь уже не легко и просто, потому что одновременно в фильтре нельзя иметь и разрешающие, и запрещающие правила с отработкой в порядке приоритета...
К сожалению, я по-другому понял выражение 'один сервер нужно открыть в сети 192.168.1.0': подумал, что компам сети 10.0.0.0/14 'один сервер нужно открыть в сети 192.168.1.0'. Поэтому, всё что в '----' относится к тому случаю, переписывать не вариант
:
----
Компам сети 10.0.0.0/14 нужно будет, например, через DHCP разослать маршрут до сети 192.168.1.0/24, чтобы они знали, через какой маршрутизатор доступен сервер 192.168.1.x. Так точно будет работать. Но сначала можно попробовать и без этого: по идее, порядочные роутеры должны отправлять ICMP redirect с адресом 'правильного' маршрутизатора для пересылки, а порядочные хосты (если firewall не блокирует) реагировать на такие пакеты.
Я не меньше 2-х часов думал, как извратиться в этом случае. Не такой уж это простой вопрос в силу ограничений
Предлагаю следующее. Общая концепция: меняем одно правило широкого диапазона на ряд более узких, которые закрывают доступ к 10.0.0.0/14 для всех хостов, кроме 192.168.1.1-192.168.1.4, которые и будут выделены в качестве адресов для серверов. На DHCP нужно исключить эти адреса из выдачи и создать резерв для этого одного 'сервера' (или задать на хосте статические настройки, но тогда по настройкам будет видно, что он 'избранный').
Правила создавать на том же фильтре, что и ранее:
Сеть назначения: IP 10.0.0.0, маска 255.63.0.0 либо IP 10.0.0.0 и маска 255.0.0.0
Исходные сети (для каждого правила свои) + 'все протоколы':
сеть 192.168.1.128 маска 255.255.255.128 (закрывает 192.168.1.128-192.168.1.255)
сеть 192.168.1.64 маска 255.255.255.192 (закрывает 192.168.1.64 -192.168.1.127)
сеть 192.168.1.32 маска 255.255.255.224 (закрывает 192.168.1.32 -192.168.1.63)
сеть 192.168.1.16 маска 255.255.255.240 (закрывает 192.168.1.16 -192.168.1.31)
сеть 192.168.1.8 маска 255.255.255.248 (закрывает 192.168.1.8 -192.168.1.15)
сеть 192.168.1.4 маска 255.255.255.252 (закрывает 192.168.1.4 -192.168.1.7)
Чтобы ограничить и хосты 2-3 в обмене, нужно дополнительно указывать несколько правил именно для них:
сеть 192.168.1.2 маска 255.255.255.252 (закрывает 192.168.1.2 -192.168.1.3)
но использовать не 'все протоколы', а только так, чтобы закрыть всё, кроме нужного.
----
Для случая 'один сервер нужно открыть в сети 10.0.0.0/14 для сети 192.168.1.0/0' это тоже подходит: правим только 'сеть назначения' по аналогии, так чтобы неблокированным остался маленький диапазон, куда и поместить целевой сервер. Над комбинациями сеть/маска думайте сами
Как в Ipfw RRAS не может. Может TMG (бывший ISA).
Я бы изолировал сеть 192.168.1.0/24 не вообще, а только избирательно бы блокировал то, что не нужно, по ключевым точкам входа. Например, конкретные порты UDP 138,139, TCP 135, 137, 445 и т.д. Что значит 'ключевые': заблокировать TCP 135 - полностью прикрыть весь RPC-трафик. Это не так жёстко, но может быть достаточно. Какие-то порты перечислены
здесь. Главное, что тогда более гибко можно фильтры настраивать. Нас уже не ограничивают правила RRAS.
