Главная страница
О проекте Навигация Контакт
Поиск


ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Ilya Kulagin                         2:5020/871.18  13 Mar 2003  19:00:58
 To : Denis CyxoB
 Subject : Две подсети: одна подсеть для "чужих", а другая для "своих" с одним
 -------------------------------------------------------------------------------- 
 
 
 Однажды 13 Mar 03  14:35:58, Вы изволили написать к Motylkov Maxim:
 
  >>  ${fwcmd} add deny all from 172.16.250.0/24 to 172.16.249.0/24
 
  DC> попробую... а как поступить в реальной ситуации с пятью подсетями?
  DC> По моим расчетам это 25 строк в конфиг файервола для запрета трафика 
  DC> между всеми подсетями...
 
 Hе так уж много.
 
 >===== Open PIPE  [ipfw list |wc -l] =====<
 
        260
 
 >===== Close PIPE [ipfw list |wc -l] =====<
 
 При том, что эта машина даже не раутер.
 
 Можно ещё и наоборот (как раз реальная конфигурация с 6 подсетями):
 
 01400 allow ip from 192.168.0.0/24 to 192.168.0.0/24
 01400 allow ip from 192.168.1.0/24 to 192.168.1.0/24
 01400 allow ip from 192.168.2.0/24 to 192.168.2.0/24
 01400 allow ip from 192.168.3.0/24 to 192.168.3.0/24
 01400 allow ip from 192.168.4.0/24 to 192.168.4.0/24
 01400 allow ip from 192.168.5.0/24 to 192.168.5.0/24
 01500 deny ip from 192.168.0.0/16 to any
 01500 deny ip from any to 192.168.0.0/16
 
  DC> Hесколько подсетей созданы для того, чтобы разные клиенты не лезли друг 
  DC> к другу.
 
 Вот и пусть не лазают. Только VLANы нужны и правила на раутере ограничивающие.
 
  DC> нужен интернет для всех через natd, общий доступ к самбовской шаре на 
  DC> сервере
 
 Чтобы туда каждая собака могла положить любимый троян? В баню, сразу и навсегда.
 Или - это разные сетки (и никто никому ничего не посылает), или одна (и посылают
 кто кому чего надо, а потом сами и маются с этим).
 
  DC> Интересно, что обычным образом на мастдайках не просматриваются шары
  DC> в чужих подсетях, а вирусы расползлись с астрономической скоростью.
 
 А вот когда кто-либо из клиентов ещё и ip-адрес себе на офисную сетку сменит,
 вот тут будет совсем весело. Именно поэтому самбу и снести. А не ограничивать по
 ip.
 
 Примите уверения в совершеннейшем к Вам почтении
 /kiv
 
 --- QDed/FreeBSD
  * Origin: Moose 2:5020/871.18 (2:5020/871.18)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 Две подсети: одна подсеть для "чужих", а другая для "своих" с одним   Ilya Kulagin   13 Mar 2003 19:00:58 
Архивное /ru.unix.bsd/39743e709d02.html, оценка 1 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional