[kim-aa]

Butunin Klim
Мдяя, судя по всему мы скоро переплюнем "Санта-Барбару"

Вот что я вам посоветую.
Самое простое и прозрачное решение.

Вставте (или купите) в GATE второй сетевой интерфейс.
Присвойте ему адрес 10.0.0.2 /24
Повесьте на этот интерфейс отдельный свич для изолированной сети.
Собственно так вы реализуете схему подобную той что обсуждалась с вами же тут http://forum.oszone.net/thread-69237.html

[Butunin Klim]

kim-aa
Спаибо реальная идею про еще один интерфейс

[Negativ]

kim-aa
общие понятия мне известны. Я хотел бы подробности!!!

Цитата:

Вообще хотелось бы по-побольше примеров с указанными ip адресами на интерфейсах. Маршрут пакетов от WAN к WEB серверу и содержание заголовков пакетов на всех точках прохождения от интерфеса WAN до WEB сервера и обратно.

Именно эти вещи меня интересуют.

[kim-aa]

1)

Цитата:

предположим у меня есть достаточно WAN адресов для реализации DMZ без использования NAT

Для реализации любых сегментов сети Вам нужны не адреса, а сети (субсети).

2)

Цитата:

Маршрут пакетов от WAN к WEB серверу и содержание заголовков пакетов на всех точках прохождения от интерфеса WAN до WEB сервера и обратно.

А с чего Вы взяли что содержимое заголовков будет меняться? Вы же сами указали что Вы реализуете схему без NAT.
С точки зрения "внешнего" мира Ваши сервера прекрасно видны, иное дело что вы можете осуществлять фильтрацию на шлюзе DMZ-зоны (субсети).

С точки зрения внутренней сети (за NAT), Ваши сервера являются опять же внешними и ничем не отличаются от скажем oszone.ru

[Butunin Klim]

Пришли к выводу что легче сделать так.
Разбить на разные подсети на ОДИН сетевой интерфейс настройить 2 подсети задействовать протокол 802.1Q. купить сетевое оборудование 2 уровня но с IP MAC banding пример DES 3526 http://www.dlink.ru/products/prodvie...type=13&id=407

По идеи должно работать.

[kim-aa]

А ваш фаервол поддерживает 802.1Q?
Вы же по сути создаете на нем субинтерфейсы с разными IP, причем каждый из них должен находиться в своей VLAN.

Если же вы просто настроите фильтрацию по MAC+IP+port, то непонятно на кой ляд Вам 802.1Q?

[Butunin Klim]

ДА потдерживает.
Ай пи мак бандинг для того что бы при изменении ip адреса swich блокировал все пакеты на этот ip адрес

[Butunin Klim]

Кому Интерестно как я это сделал нa dlink
Задача:
есть 3 влан
1- интернет шлюзы (1-8 порты)
2- сеть с поль (9-16порты)
3- сеть с пользователями (17-24 порты)

Задача:
Сдеоать так что бы 2-3 влан имели доступ на 1влан по портам 80 8080 110 25
Сделать так что бы 2-3 в лан не имели доступ друг к другу.

Я использовал обычный com консль
24портовый свич

config traffic_segmentation 1-24 forwarding_list 1-8
config traffic_segmentation 9-16 forwarding_list 1-16
config traffic_segmentation 17-24 forwarding_list 1-8,17-24
create access_profile ip tcp dst_port_mask 0xFFFF profile_id 1 -
создаём профиль доступа для разрешения определённого TCP порта
config access_profile profile_id 1 add access_id 10 ip tcp dst_port 80
port 9-16 permit - создаём правило разрешающее с портов 9-16,
например, обращение к TCP порту 80
config access_profile profile_id 1 add access_id 20 ip tcp dst_port
25 port 9-16 permit
config access_profile profile_id 1 add access_id 30 ip tcp dst_port
110 port 9-16 permit
config access_profile profile_id 1 add access_id 40 ip tcp dst_port
8080 port 9-16 permit - разрешаем остальные TCP порты
create access_profile ip tcp dst_port_mask 0x0000 profile_id 2 -
создаём профиль доступа для запрещения всех остальных TCP портов
config access_profile profile_id 2 add access_id 10 ip tcp dst_port
0 port 9-16 deny - создаём правило запрещающее с портов 9-16,
например, обращение к любым другим TCP портам

[Butunin Klim]

начинают появляться подводные камни.
При блокировке всех портов кроме см выше.
Компьютер начинает очень сильно тормозить. Подскажите порты отвечающите за хождение нормального трафика внутри сети НО ЧТО БЫ доступа к рессурсам небыло

[kim-aa]

Бууу. Какой трафик вы обзываете "нормальным"?
Если Win, то блокируйте 135-139 (UDP&TCP), 445(TCP)
Еще я бы блокировал, RDP, ICA, RAdmin, telnet, ssh - в общем все удаленной управление