BM и NAT
Сообщений: 17
• Страница 1 из 2 • 1, 2
BM и NAT
Лукашенко Константин » 11 окт 2006, 10:44
Есть NW5.0 с установленным BM 3.5, к нему подходит выделенка. Часть юзеров ходит в инет через BM. Поставили себе тарелку на отдельный прокси на Винде, этот прокси шлет запросы через BM. Но для этого пришлось поднять Nat на NW5.0. Теперь юзеры, которые не были прописаны на BM могут ходить в инет через BM. Как разрешить тарелке отправлять запрос не поднимая Нат?
- Лукашенко Константин
- Сообщения: 134
- Зарегистрирован: 18 июн 2002, 07:19
Иван Левшин aka Ivan L. » 11 окт 2006, 12:00
NAT+пакетные фильтры должны помочь. Т.е. выпускать наружу надо пакеты только с определенных машин. ИМХо - с бордюра и той машины, куда воткнута спутниковая карта.
- Иван Левшин aka Ivan L.
- Сообщения: 2592
- Зарегистрирован: 05 июн 2002, 18:36
- Откуда: Новомосковск, Тул. обл.
Лукашенко Константин » 11 окт 2006, 14:05
т.е. где фильтры настраиваются я знаю, только что-то у меня непонятки с ними, как-то криво они работают
мне б подробнее как их прописать, только не отсылайте к инструкции, пожалуйста
мне б подробнее как их прописать, только не отсылайте к инструкции, пожалуйста
- Лукашенко Константин
- Сообщения: 134
- Зарегистрирован: 18 июн 2002, 07:19
Владимир Горяев » 11 окт 2006, 15:10
Можно по разному. Например по-простому так:
1. Грохаем все фильтры.
2. Делаем 2 правила - разрешить все самому на себя внешнему интерфейсу и разрешить все самому на себя внутреннему интерфейсу.
3. Делаем 2 правила разрешить все извне тарелочному адресу и разрешить все изнутри ему же.
4. Дальше тюним и закручиваем гайки на свой вкус.
ЗЫ обязательно накатить все паки.
1. Грохаем все фильтры.
2. Делаем 2 правила - разрешить все самому на себя внешнему интерфейсу и разрешить все самому на себя внутреннему интерфейсу.
3. Делаем 2 правила разрешить все извне тарелочному адресу и разрешить все изнутри ему же.
4. Дальше тюним и закручиваем гайки на свой вкус.
ЗЫ обязательно накатить все паки.
Бардак автоматизировать невозможно!!!
_________________
_________________
-
Владимир Горяев - Сообщения: 3473
- Зарегистрирован: 05 июн 2002, 13:37
- Откуда: Смоленск
Владимир Горяев » 11 окт 2006, 15:33
3-й пункт примерно так:
- Код: Выделить всё
Source Interface Type: Interface
Source Interface: <All>
Source Circuit:
Destination Interface Type: Interface
Destination Interface: <All>
Destination Circuit:
Packet Type: <ANY> Protocol: IP
Src Port(s): Dest Port(s):
ACK Bit Filtering: Stateful Filtering: Disabled
Src Addr Type: Any Address
Src IP Address:
Dest Addr Type: Host
Dest IP Address: ТАРЕЛКИН_ИП
Logging: Disabled
- Код: Выделить всё
Source Interface Type: Interface
Source Interface: <All>
Source Circuit:
Destination Interface Type: Interface
Destination Interface: <All>
Destination Circuit:
Packet Type: <ANY> Protocol: IP
Src Port(s): Dest Port(s):
ACK Bit Filtering: Stateful Filtering: Disabled
Src Addr Type: Host
Src IP Address: ТАРЕЛКИН_ИП
Dest Addr Type: Any Address
Dest IP Address:
Logging: Disabled
Бардак автоматизировать невозможно!!!
_________________
_________________
-
Владимир Горяев - Сообщения: 3473
- Зарегистрирован: 05 июн 2002, 13:37
- Откуда: Смоленск
Лукашенко Константин » 11 окт 2006, 15:45
У меня сейчас в фильтрах стоит:
Public - <ANY> <All>
<All> - <ANY> Public
В исключениях:
Public - Accel-Auth <All> -
Public - dns/udp-st <All> -
Public - NMAP <All> -
Public - pop3-st <All> -
Public - SGDS <All> -
Public - smtp-st <All> -
Public - www-http-st <All> -
<All> - Accel-Auth Public -
<All> - dns/udp-st Public -
<All> - NMAP Public -
<All> - pop3-st Public -
<All> - SGDS Public -
<All> - smtp-st Public -
<All> - www-http-st Public -
Правильно ли это?
Public - <ANY> <All>
<All> - <ANY> Public
В исключениях:
Public - Accel-Auth <All> -
Public - dns/udp-st <All> -
Public - NMAP <All> -
Public - pop3-st <All> -
Public - SGDS <All> -
Public - smtp-st <All> -
Public - www-http-st <All> -
<All> - Accel-Auth Public -
<All> - dns/udp-st Public -
<All> - NMAP Public -
<All> - pop3-st Public -
<All> - SGDS Public -
<All> - smtp-st Public -
<All> - www-http-st Public -
Правильно ли это?
- Лукашенко Константин
- Сообщения: 134
- Зарегистрирован: 18 июн 2002, 07:19
Лукашенко Константин » 12 окт 2006, 07:56
Удалил все фильтры вообще и пока не прописывал ничего, но добавил в исключения то, что советует Владимир Горяев. Все равно при отключении NAT наземный канал на тарелке пропадает. 
- Лукашенко Константин
- Сообщения: 134
- Зарегистрирован: 18 июн 2002, 07:19
Владимир Горяев » 12 окт 2006, 09:16
Ну дык, все логично, как же оно работать будет баз НАТа.Лукашенко Константин писал(а):Удалил все фильтры вообще и пока не прописывал ничего, но добавил в исключения то, что советует Владимир Горяев. Все равно при отключении NAT наземный канал на тарелке пропадает.
Бардак автоматизировать невозможно!!!
_________________
_________________
-
Владимир Горяев - Сообщения: 3473
- Зарегистрирован: 05 июн 2002, 13:37
- Откуда: Смоленск
Лукашенко Константин » 12 окт 2006, 10:11
В общем НАТ все равно нужен? Хорошо, но как мне ограничить юзеров? На BM стоит проверка по IP, и если юзер не прописан на BM, то ему 403 на экран. А с НАТом получается что любой при прописывании у себя шлюзом BM имеет выход инет!
- Лукашенко Константин
- Сообщения: 134
- Зарегистрирован: 18 июн 2002, 07:19
Владимир Горяев » 12 окт 2006, 10:34
Как один из вариантов. Можно попробовать и без него, напр через transparent telnet proxy,Лукашенко Константин писал(а):В общем НАТ все равно нужен?
Что-то не так с фильтрами, мб. в п.2 (сомневаюсь, однако, когда-то я вроде так и делал), а может паки нужно.Лукашенко Константин писал(а):А с НАТом получается что любой при прописывании у себя шлюзом BM имеет выход инет!
Бардак автоматизировать невозможно!!!
_________________
_________________
-
Владимир Горяев - Сообщения: 3473
- Зарегистрирован: 05 июн 2002, 13:37
- Откуда: Смоленск
Лукашенко Константин » 12 окт 2006, 10:50
Мне писали:
Грохнул. Но что взамен написать?
Я привел пример своих исключений - они не правильные?
Их мне расписал Владимир - я их сделал, но оставил свои, которые не понятно правильные или нет.
А в transparent telnet proxy какой порт указать?[/quote]
1. Грохаем все фильтры.
Грохнул. Но что взамен написать?
2. Делаем 2 правила - разрешить все самому на себя внешнему интерфейсу и разрешить все самому на себя внутреннему интерфейсу.
Я привел пример своих исключений - они не правильные?
3. Делаем 2 правила разрешить все извне тарелочному адресу и разрешить все изнутри ему же.
Их мне расписал Владимир - я их сделал, но оставил свои, которые не понятно правильные или нет.
А в transparent telnet proxy какой порт указать?[/quote]
- Лукашенко Константин
- Сообщения: 134
- Зарегистрирован: 18 июн 2002, 07:19
Владимир Горяев » 12 окт 2006, 11:07
взамен п. 2 и 3.Лукашенко Константин писал(а):Но что взамен написать?
не нужны после п.2Лукашенко Константин писал(а):Я привел пример своих исключений - они не правильные?
ну какие... 53, 80, 25, 110, 21,20, etc. Попробовать конечно можно, но думаю вариант етот не очень...Лукашенко Константин писал(а):А в transparent telnet proxy какой порт указать?
Бардак автоматизировать невозможно!!!
_________________
_________________
-
Владимир Горяев - Сообщения: 3473
- Зарегистрирован: 05 июн 2002, 13:37
- Откуда: Смоленск
Лукашенко Константин » 12 окт 2006, 14:22
Но ведь пункты 2 и 3 это же касательно исключений, а в самом фильтре что написать?
- Лукашенко Константин
- Сообщения: 134
- Зарегистрирован: 18 июн 2002, 07:19
Владимир Горяев » 12 окт 2006, 14:58
Не факт.Лукашенко Константин писал(а):Но ведь пункты 2 и 3 это же касательно исключений, а в самом фильтре что написать?
Если Action: Deny Packets in Filter List, то все на все.
Если Action: Permit Packets in Filter List, то ничего.
Бардак автоматизировать невозможно!!!
_________________
_________________
-
Владимир Горяев - Сообщения: 3473
- Зарегистрирован: 05 июн 2002, 13:37
- Откуда: Смоленск
Сообщений: 17
• Страница 1 из 2 • 1, 2
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 6