|
ru.internet.security- RU.INTERNET.SECURITY --------------------------------------------------------- From : Alexander Goldun 2:5080/1003 13 May 2004 22:46:17 To : Igor Chumak Subject : Re:виртуальный шлюз -------------------------------------------------------------------------------- Igor Chumak wrote: >>> Чем чревато прямое физическое подключение сегмента локальной сети к >>> инету, >> Какое ж оно у тебя прямое? :-) я имел в виду физически прямое, т.е. примерно так: Инет | |= Шлюз (192.168.1.200, 213.x.x.x) |- рабочая станчия 1 (192.168.1.1) |- ... |- рабочая станчия N (192.168.1.N) а не такой, imho классический вариант: Инет | | (213.x.x.x) Шлюз | (192.168.1.200) | |- рабочая станчия 1 (192.168.1.1) |- ... |- рабочая станчия N (192.168.1.N) >>> если все рабочие станции в локалке имеют внутренние адреса >>> 192.168.x.x, >> Hа немаршрутизируемых-то адресах :-) >>> а шлюз подключен к этой же сети двумя сетевыми карточками, на одной >>> из которых внешний адрес, на другой - адрес в локалке, и на нем >>> настроены >>> NAT и прокси? >> Ты ничего не путаешь? NAT у тебя скорее всего на внешнем > VVK> интерфейсе... "Hа нем" - имелось в виду "на шлюзе". Конечно на внешнем >> В общем, стандартная схема раздачи интернета... Машины, сидящие за >> NAT-ом, прямым атакам из интернета не подвержены - ибо снаружи-то к >> ним никак не подконнектиться (если конечно у тебя dNAT не поднят). см. выше. Впрочем уже отвечено: > Можно попробовать ;) > Администратор ближайшего шлюза пропишет _у_себя_ маршрут на сеть > 192.168.х.х. Если клиент активизировал ip_forward и не поднял файрвол - > очень даже вероятно, что у злого админа всё получится. где и зачем активизировать форвард? Похоже, достаточно до ближайшего внешнего шлюза на любой машине прописать IP в нашем локальном диапазоне 192.168.1.x - и тогда вся сеть как на ладони. Правильно ли я понял, что отличие такой схемы в плане безопасности от классической лишь в том, что она уязвима для ближайшего шлюза? (предполагается высокая защищенность шлюза и низкая у рабочих станций) -- With best regards, Alexander Goldun http://talk.ru/forum/talk.ru.accounting.development --- ifmail v.2.15dev5 * Origin: (http://news.cca.usart.ru/) USURT's FidoNET<-> (2:5080/1003@fidonet) Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
Архивное /ru.internet.security/14646e3091758.html, оценка из 5, голосов 10
|