[alef2474]

ДМЗ на то и ДМЗ, чтоб локальным компьютерам на нее не ходить.
http://daybook.org.ua/seti/chto-takoe-dmz.html

[AsvComp]

А я всегда был уверен, что ДМЗ для того, чтобы из нее не было доступа к ресурсам внутренней сети, т.к. она доступна из Интернет. В статье об этом и говорится.
Хотя, я согласен, что в данном случае эту сеть нельзя называть DMZ, поскольку в ней уже реализован доступ к некоторым ресурсам внутренней сети. Но это делал не я, мне все это хозяйство досталось в наследство.
Если в двух словах, то мне надо раздавать интернет через второго провайдера, сохранив при этом прежнего (для доступа избранных) и доступ в так называемую сеть ДМЗ. Для решения этой задачи я и решил поставить сервер с тремя адаптерами, при этом адрес одного из них будет раздаваться пользователям в качестве шлюза по умолчанию. Через второй адаптер надо реализовать доступ в/из сеть другой адресацией.
Здесь вопрос в маршрутизации, в которой я не силен. Более конкретно задача состоит в том, чтобы пользователи внутренней сети 195.168.0.0./24 имели возможость выхода в Интернет через интерфейс сервера Ext с адресом 192.168.3.52 и доступа к компьютерам через интерфейс DMZ с адресом 10.1.1.253/24
Для "избранных", которые останутся на прежнем провайдере с варварскими расценками я просто раздам IP и шлюз вручную, благо их будет от силы три машины.
Помощь нужна в настройках интерфейсов, указании шлюзов и создании маршрутов. В частности, что указывать в качестве шлюза по умолчанию для интерфейсов Int и Ext? Адреса друг друга? А для выхода в интернет написать маршрут вида 0.0.0.0 255.255.255.255 192.168.3.52?

[exo]

Цитата alef2474:

ДМЗ на то и ДМЗ, чтоб локальным компьютерам на нее не ходить. http://daybook.org.ua/seti/chto-takoe-dmz.html »

А если внимательно почитать?

Цитата:

Но, с этих серверов (что в ДМЗ) нельзя обратиться к локальной сети за файрволом.

AsvComp, схему нарисуете? что-т не могу понять...

[AsvComp]

вот попробовал нарисовать в Visio... То, что слева - типа того, что есть сейчас. "Типа" потому, что я обнаружил, что кабели подключены не так. На это пока можно забить. Меня гораздо больше волнует правая часть схемы. Мне нужно поскорее ввести в эксплуатацию этот второй шлюз, ибо предоплаченный траффик уже израсходован, а цена по превышению - вообще жесть.

[exo]

модель роутера, к которой подключена Yota? вам на нём нужно ДМЗ создавать... в обход сервера. Иначе это будет не ДМЗ.

читать дальше »

[AsvComp]

Спасибо. Я понимаю, что это будет не ДМЗ, а просто другая сеть. Человек, который давал имя сети не понимал значения этого термина.
Точнее, я думал, что это на самом деле ДМЗ и был очень удивлен, когда ко мне обратился сотрудник с жалобой, что не может попасть с сервера DMZ2 на свою машину по RDP. На что я ему сказал, что на то она и DMZ, чтобы такого доступа не было. В ответ я услышал, что такой доступ был всегда. Чтобы в дальнейшем не путаться, просто назовем ее "Сеть 2".
Но дело в том, что мне необходимо соблюсти два условия:

• Пользователи должны ходить в Интернет через новый шлюз и, соответственно, другого провайдера
• Должен сохранится доступ в/из Сети 2

Исходя из этих требований, я и решил поставить на будущий второй шлюз три сетевых адаптера. А после того, как будет реализован доступ в Интернет и доступ в Сеть 2, я смогу спокойно разобраться с первым шлюзом, обновить на нем Траффик Инспектор, (ибо там версия от 2007 года) и разобраться с физическими подключениями, т.к. там все очень запутанно, почти на 100% можно говорить о наличии петель.
Так что вопрос с настройкой маршрутизации на сервере с треммя сетевыми адаптерами, так же, как и с тем, какие шлюзы по умолчанию указывать на интрефейсах Сети 2 и внутренней сети остается открытым...

Исходя из того, что я сегодня прочитал про маршрутизацию, предполагаю, что для двух внутренних сетей указывать в качестве шлюза айпишник соседа, после чего проверить таблицу маршрутизации и убедиться, что для адреса 0.0.0.0 указан маршрут на IP внутреннего интерфейса Yota
зы Ну и разумеется, убедить руководство в необходимости перекрыть доступ из Сети 2 в локальную сеть, если это возможно.

[exo]

можно попробовать на сервере настроить NAT и LAN rounting между сетью 2 и сетью 1. И прокидывать порты в сеть 2 в том же нате.
у сети 2 шлюзом будет - сетевая на сервере из сети 10
у сети 1 шлюзом будет - сетевая на сервере из сети 192.168.0
у сервера будет шлюз в сеть 3. но тут надо кое что проверить.

так же вариант - если это не ДМЗ - выдать сети 2, вторые адреса из сети 1.

[AsvComp]

Как оказалось, ничего специально настраивать не надо.
Дело в том, что я выводил таблицу маршрутизации и пытался вручную прописать маршруты при единственном подключенном кабеле внутренней сети. Сегодня поставил этот шлюз, подключил все адаптеры и о чудо! Все необходимые маршруты на месте, доступ в Интернет и вторую сеть есть.