Цитата Kiber:
|
Ну вообще, случай 'втыкания' NAT на границе с WAN это и есть частный пример подобной необходимости. »
|
Нет. Здесь не использование дополнительных адресных пространств, а необходимость связи сетей с глобальными IP и частными IP. Это совсем разные адресные пространства, одно дополнительным к другому не является.
Цитата Kiber:
|
По желанию? Извините, вопрос больше фиолософский. Чем ваше 'не из необходимости' отличается от 'необходимости'? »
|
Это противоположные понятия
NAT 'для безопасности' подходит под желание - желание поднять безопасность
А необходимость - это когда по-другому работать не будет.
Итак, уже 4 причины 'за NAT':
1. сопряжение LAN и WAN (частных IP с публичными)
2. невозможность изменить конфигурации присоединённых сетей, чтобы работало без NAT
3. отсутствие свободного адресного пространства
4. защита от незапрашиваемого изнутри трафика (типа 'безопасность')
Ещё есть? Мы доберёмся до истины
Цитата Kiber:
|
Означает что они используются повсеместно, и представить себе глобальную сеть без первого или второго немыслимо. »
|
Я про более скромные масштабы говорю, не дальше сети одного предприятия, весь Интернет для которой - сеть WAN.
Цитата Kiber:
Насколько я понял, 10.0.0 - сеть с полными правами, 192.168.1 - сеть только для интернета, плюс ограниченный набор пользователей должен иметь доступ к ресурсам 10 сети.
В таком случае легче всего воткнуть в шлюз сети 192.168 еще одну сетевушку. Выдать ей 172.16.1.1/24, линк воткнуть в оборудование 192.168.1. Перевести нужных пользователей из 192.168.1 в 172.16.1. Затем прописать фильтры для каждого пользователя с маской 32 из 172.16.1 в 10.0.0 и обратно. И фильтр между 192.168 и 172.16.1.
Если не планируете понижать маску сети 192.168.1, то можно вместо 172.16.1 использовать 192.168.128 (например). »
|
Я принял 'по умолчанию'
, что не ограниченный набор юзеров, а все юзеры сети 192.168.1.0. Ниже 'всё про юзеров (доступ нужен всем)' это имел ввиду, т.е. вся ваша информация по переводу юзеров лишняя.
Но даже если бы набор был ограниченным, мне кажется лишней 2-я сетевая карта, раз физически она будет в той же самой сети, а несколько адресов можно назначить на один и тот же адаптер.
Цитата Kiber:
|
Без разницы, какое имя имеет сервер. Если вы про доступ к виндовым шарам, то насколько я знаю, токен безопасности основывается на имени, по которому ты обращаешься, а не под которым себя видит сервер. А глубже всё резолвится в ip, а транспорт к имени не имеет никакого отношения. »
|
Без разницы, какое имя имеет сервер, главное, чтобы он его имел, а не просто на DNS A-запись была. Я вспомнил!
Есть команда NETDOM COMPUTERNAME /Add:<new-alternate-DNS-name> . Основное имя - одно и может быть несколько дополнительных. Если сделать так, то сложностей при доступе по другим именам 'с виндовыми шарами' (ещё работа с протоколом Kerberos и доступ к сетевым приложениям, RPC и т.д.) быть не должно.
Цитата Kiber:
|
Вообще никогда не понимал каким образом DHCP, сервис, который по сути не гарантирует защищенность адресных пространств, может использоваться для безопасноти. »
|
Да никак. Я про него говорю только потому, чтобы исключить из назначения или зарезервировать IP для серверов.
Цитата Kiber:
|
Допустим, падает DHCP. Сыпятся звонки - ничего не работает. И тут уж либо исправлять в кратчайшие сроки, либо каждого перенастраивать вручную. Это, кстати, один из минусов использования DNS. Хотя, на моей памяти, ни один нормально настроенный DNS не падал. »
|
Какой интересный переход DHCP-DNS
Всё может упасть. Это не минус DHCP, а вообще всего сущего
Цитата Kiber:
|
Адрес отправителя в данном случае вещь неоднозначная. »
|
Точно однозначная для доступа внутри 172.16.x.x И должна быть однозначная, если у юзера только один маршрут по умолчанию 0.0.0.0/0 через 192.168.1.1. В обоих случаях благодаря source selection algorithm, по которому компы выбирают адрес для отправки не от балды, а по строгим правилам.
Цитата Kiber:
|
Собственно, сам пример весьма рабочий, если вы, например, имели дело со спутником »
|
Это-то да. Со спутником только на приём по-другому никак. Я считаю пример не нерабочим, а 'неправильной организацией', которая используется для обхода проблемы. А Вы - молодец, что придумали. А почему не сделали, чтобы и к серверу напрямую шли?
Цитата Kiber:
|
Покажите, где написано, что трассы от клиента до сервера и от сервера до клиента должны быть симметричны. »
|
В 10 заповедях реального сисадмина. Шучу
Есть принцип 'не умножать количество сущностей без необходимости'. Пока Вы не объяснили, зачем это нужно, выглядело именно так.
Цитата Kiber:
|
Собственно, если доступ из 10 сети к юзеру ограничивать не требуется, то можно не прописывать второй ip для сервера. »
|
Цитата Kiber:
|
Вы совсем неправильно поняли предложенные схемы. »
|
Может быть не всё правильно понял. Объясните этот кусок другими словами.
Цитата exo:
|
решается арендой на 8 часов как минимум »
|
Угу. Хорошая мысль! А ещё DHCP совсем быстро и просто поднять на другом сервере. Нужно использовать избыточность, чтобы обезопаситься от отказов.
