Нужен совет по фаерволу

Обсуждение технических вопросов по продуктам Novell под Linux, а также *nix систем

Сообщение Иван Левшин aka Ivan L. » 25 янв 2008, 00:12

v13 писал(а):Гы. И в чем здесь бред ? Один из вариантов.


Бридж - устройство второго уровня! Что фильтруем-то? :) MAC-адреса? Или (даже подумать боюсь) - LLC-информацию? :)
Иван Левшин aka Ivan L.
 
Сообщения: 2576
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Сообщение Сергей.М. » 25 янв 2008, 07:24

Иван Левшин aka Ivan L. писал(а):
v13 писал(а):Гы. И в чем здесь бред ? Один из вариантов.


Бридж - устройство второго уровня! Что фильтруем-то? :) MAC-адреса? Или (даже подумать боюсь) - LLC-информацию? :)


Иван, Ваша безаппеляционность с которой Вы отправляете людей читать документацию просто умиляет. А сами не пробовали последовать своему совету?


http://www.cisco.com/en/US/prod/collate ... c1d00.html

......
Layer 2 transparent firewall-Provides the ability to rapidly deploy Cisco ASA 5500 Series appliances into existing networks without requiring any addressing changes, and delivers high-performance stealth Layers 2-7 security services and provides protection against network layer attacks with integration in complex routing, high-availability, and multicast environments.
.....

Layer 2 Transparent Firewall

• Supports deployment of a Cisco ASA 5500 Series appliance in a secure Layer 2 bridging mode, providing rich Layer 2-7 firewall security services for the protected network while remaining "invisible" to devices on each side of it
• Simplifies Cisco ASA 5500 Series appliance deployments in existing network environments by not requiring businesses to readdress the protected networks

Это выдержки из Data Sheets. Если интересно узнать больше читайте дальше в разделе Configuring.
Аватара пользователя
Сергей.М.
 
Сообщения: 189
Зарегистрирован: 06 июн 2002, 08:14

Сообщение Иван Левшин aka Ivan L. » 25 янв 2008, 18:14

Сергей.М. писал(а):Иван, Ваша безаппеляционность с которой Вы отправляете людей читать документацию просто умиляет. А сами не пробовали последовать своему совету?

Сергей, давайте таки определяться - что есть bridge (мост в простонародье)? То, на что ссылается кусок документации, Вами приведенный, выполняет немного больше, чем просто обслуживание второго уровня:
Код: Выделить всё
providing rich Layer 2-7 firewall security services

Объясните мне, плз, как мост может работать выше второго уровня.

Видимо, общая microsoft-тенденция к рассмотрению стандартов "по своему" - распространима и на Cisco? Раз уж у нас appliance, способный работать с 7 уровнем, называется мостом... Ну тогда да, в таком контексте я, конечно же, неправ :)

А так, насколько я помню - bridge есть устройство второго уровня (в книжках по Ethernet мне еще попадалось упоминание о том, что layer 2 switch есть multiport bridge). Второй уровень поддерживает две функции - LLC (нижний подуровень, управление доступом к среде) и MAC (адресация). Если Вас не затруднит объяснить - что тут фильтровать (ну кроме MAC, как фильтровать LLC я даже предположить не берусь), буду признателен ;)

Или, может, предложите DNS изучать по "реализации" от Microsoft? :)
Иван Левшин aka Ivan L.
 
Сообщения: 2576
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Сообщение v13 » 26 янв 2008, 16:57

Бридж может отлично фильтровать, вот статья как это сделать на freebsd.
http://www.opennet.ru/base/net/FilterBridge.txt.html
Аватара пользователя
v13
 
Сообщения: 660
Зарегистрирован: 31 авг 2007, 09:07

Сообщение Сергей.М. » 26 янв 2008, 20:25

Никто и не спорит что данные устройства выполняют гораздо более расширенные функции нежели бридж. Как бридж устройство ведет себя только на сетевом уровне, установленный как правило между 2-мя L3 устройствами. Все действия по фильтрации трафика осуществляются над пакетами "внутри" устройства. Не нравится слово бридж, используйте более правильное название Transparent Firewall, Transparent IPS. И с чего Вы взяли что только Cisco выпускает такого типа устройства? Я привел Вам пример от Cisco по той простой причине, что наша компания использует в качестве активного сетевого оборудования только этого вендора, и мне легко и быстро было найти нужное описание. У меня нет никакого желания лазить по сайтам других вендоров чтобы продемонстрировать Вам их возможности.
Аватара пользователя
Сергей.М.
 
Сообщения: 189
Зарегистрирован: 06 июн 2002, 08:14

Сообщение Иван Левшин aka Ivan L. » 26 янв 2008, 22:03

Сергей.М. писал(а):Никто и не спорит что данные устройства выполняют гораздо более расширенные функции нежели бридж. Как бридж устройство ведет себя только на сетевом уровне, установленный как правило между 2-мя L3 устройствами. Все действия по фильтрации трафика осуществляются над пакетами "внутри" устройства. Не нравится слово бридж, используйте более правильное название Transparent Firewall, Transparent IPS. И с чего Вы взяли что только Cisco выпускает такого типа устройства? Я привел Вам пример от Cisco по той простой причине, что наша компания использует в качестве активного сетевого оборудования только этого вендора, и мне легко и быстро было найти нужное описание. У меня нет никакого желания лазить по сайтам других вендоров чтобы продемонстрировать Вам их возможности.


1. Коллега, не я первый призываю правильно пользоваться терминами - не правда ли? :)
2. Покажите мне, где я призывал Вас специально для меня лазить по сайтам вендоров. До сих пор я, в общем, старался обходиться без чужой помощи в поисках подобного рода.

Спор ни о чем. Я под "бридж" понимаю то, о чем написал - и вроде как Вы с этим согласились? Что дебатируем-то? То, что железка, умеющая обращаться с пакетами со 2 по 7 уровень может работать как бридж - спору нет. Просто по моему скромному разумению цена подобных железяк несколько не вписывается в бюджет вопрошающего. Ему уже дали ответ - что и как делать.

v13 - тот же призыв - "не играйте терминами". Бридж ничего фильтровать не может - в заданных условиях. Transparent firewall и иже с ними - не есть бридж. Только и всего. Иначе договоримся до обзывания чего-нить типа Cisco 6xxx "бриджем" - просто потому, что оно это умеет.
Иван Левшин aka Ivan L.
 
Сообщения: 2576
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Сообщение Андрей Тр. aka RH » 14 фев 2008, 10:42

Спасибо всем за посильный вклад :) Вроде имеет смысл почитать тут : http://www.linux-foundation.org/en/Net:Bridge и там далее упоминается про :
Can I do bridging in combination with netfilter/iptables?
Yes. The code for this is available in most kernels. See ebtables project.
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Пред.

Вернуться в *nix

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 11

cron