Страница 1 из 2
BM и NAT
Добавлено:
11 окт 2006, 10:44 Лукашенко Константин
Есть NW5.0 с установленным BM 3.5, к нему подходит выделенка. Часть юзеров ходит в инет через BM. Поставили себе тарелку на отдельный прокси на Винде, этот прокси шлет запросы через BM. Но для этого пришлось поднять Nat на NW5.0. Теперь юзеры, которые не были прописаны на BM могут ходить в инет через BM. Как разрешить тарелке отправлять запрос не поднимая Нат?
Добавлено:
11 окт 2006, 12:00 Иван Левшин aka Ivan L.
NAT+пакетные фильтры должны помочь. Т.е. выпускать наружу надо пакеты только с определенных машин. ИМХо - с бордюра и той машины, куда воткнута спутниковая карта.
Добавлено:
11 окт 2006, 13:18 Лукашенко Константин
Спасибо за ответ! Где и как можно это настроить?
Добавлено:
11 окт 2006, 14:05 Лукашенко Константин
т.е. где фильтры настраиваются я знаю, только что-то у меня непонятки с ними, как-то криво они работают
мне б подробнее как их прописать, только не отсылайте к инструкции, пожалуйста
Добавлено:
11 окт 2006, 15:10 Владимир Горяев
Можно по разному. Например по-простому так:
1. Грохаем все фильтры.
2. Делаем 2 правила - разрешить все самому на себя внешнему интерфейсу и разрешить все самому на себя внутреннему интерфейсу.
3. Делаем 2 правила разрешить все извне тарелочному адресу и разрешить все изнутри ему же.
4. Дальше тюним и закручиваем гайки на свой вкус.
ЗЫ обязательно накатить все паки.
Добавлено:
11 окт 2006, 15:33 Владимир Горяев
3-й пункт примерно так:
- Код: Выделить всё
Source Interface Type: Interface
Source Interface: <All>
Source Circuit:
Destination Interface Type: Interface
Destination Interface: <All>
Destination Circuit:
Packet Type: <ANY> Protocol: IP
Src Port(s): Dest Port(s):
ACK Bit Filtering: Stateful Filtering: Disabled
Src Addr Type: Any Address
Src IP Address:
Dest Addr Type: Host
Dest IP Address: ТАРЕЛКИН_ИП
Logging: Disabled
- Код: Выделить всё
Source Interface Type: Interface
Source Interface: <All>
Source Circuit:
Destination Interface Type: Interface
Destination Interface: <All>
Destination Circuit:
Packet Type: <ANY> Protocol: IP
Src Port(s): Dest Port(s):
ACK Bit Filtering: Stateful Filtering: Disabled
Src Addr Type: Host
Src IP Address: ТАРЕЛКИН_ИП
Dest Addr Type: Any Address
Dest IP Address:
Logging: Disabled
Добавлено:
11 окт 2006, 15:45 Лукашенко Константин
У меня сейчас в фильтрах стоит:
Public - <ANY> <All>
<All> - <ANY> Public
В исключениях:
Public - Accel-Auth <All> -
Public - dns/udp-st <All> -
Public - NMAP <All> -
Public - pop3-st <All> -
Public - SGDS <All> -
Public - smtp-st <All> -
Public - www-http-st <All> -
<All> - Accel-Auth Public -
<All> - dns/udp-st Public -
<All> - NMAP Public -
<All> - pop3-st Public -
<All> - SGDS Public -
<All> - smtp-st Public -
<All> - www-http-st Public -
Правильно ли это?
Добавлено:
12 окт 2006, 07:56 Лукашенко Константин
Удалил все фильтры вообще и пока не прописывал ничего, но добавил в исключения то, что советует Владимир Горяев. Все равно при отключении NAT наземный канал на тарелке пропадает.
Добавлено:
12 окт 2006, 09:16 Владимир Горяев
Лукашенко Константин писал(а):Удалил все фильтры вообще и пока не прописывал ничего, но добавил в исключения то, что советует Владимир Горяев. Все равно
при отключении NAT наземный канал на тарелке пропадает.
Ну дык, все логично, как же оно работать будет баз НАТа.
Добавлено:
12 окт 2006, 10:11 Лукашенко Константин
В общем НАТ все равно нужен? Хорошо, но как мне ограничить юзеров? На BM стоит проверка по IP, и если юзер не прописан на BM, то ему 403 на экран. А с НАТом получается что любой при прописывании у себя шлюзом BM имеет выход инет!
Добавлено:
12 окт 2006, 10:34 Владимир Горяев
Лукашенко Константин писал(а):В общем НАТ все равно нужен?
Как один из вариантов. Можно попробовать и без него, напр через transparent telnet proxy,
Лукашенко Константин писал(а):А с НАТом получается что любой при прописывании у себя шлюзом BM имеет выход инет!
Что-то не так с фильтрами, мб. в п.2 (сомневаюсь, однако, когда-то я вроде так и делал), а может паки нужно.
Добавлено:
12 окт 2006, 10:50 Лукашенко Константин
Мне писали:
1. Грохаем все фильтры.
Грохнул. Но что взамен написать?
2. Делаем 2 правила - разрешить все самому на себя внешнему интерфейсу и разрешить все самому на себя внутреннему интерфейсу.
Я привел пример своих исключений - они не правильные?
3. Делаем 2 правила разрешить все извне тарелочному адресу и разрешить все изнутри ему же.
Их мне расписал Владимир - я их сделал, но оставил свои, которые не понятно правильные или нет.
А в transparent telnet proxy какой порт указать?[/quote]
Добавлено:
12 окт 2006, 11:07 Владимир Горяев
Лукашенко Константин писал(а):Но что взамен написать?
взамен п. 2 и 3.
Лукашенко Константин писал(а):Я привел пример своих исключений - они не правильные?
не нужны после п.2
Лукашенко Константин писал(а):А в transparent telnet proxy какой порт указать?
ну какие... 53, 80, 25, 110, 21,20, etc. Попробовать конечно можно, но думаю вариант етот не очень...
Добавлено:
12 окт 2006, 14:22 Лукашенко Константин
Но ведь пункты 2 и 3 это же касательно исключений, а в самом фильтре что написать?
Добавлено:
12 окт 2006, 14:58 Владимир Горяев
Лукашенко Константин писал(а):Но ведь пункты 2 и 3 это же касательно исключений, а в самом фильтре что написать?
Не факт.
Если
Action: Deny Packets in Filter List, то все на все.
Если
Action: Permit Packets in Filter List, то ничего.