faq обучение настройка
Текущее время: Пн июл 28, 2025 18:47

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 12 ] 
Автор Сообщение
 Заголовок сообщения: Межсетевой экран
СообщениеДобавлено: Вс окт 05, 2008 09:29 
Не в сети

Зарегистрирован: Чт фев 08, 2007 11:55
Сообщений: 47
Здравствуйте!
Есть вопрос:
Нужно максимально заградить свою сеть от другой сети(тоесть чтоб другой сети было сложно понять что за моим компьютером сидит толпа народу).
Один хороший человек мне когдато написал:
1. гарантировать что с интерфейса будет уходить сигнал с нужным МАК-ом, ИП-ом
2. произвести подмену TTL таким образом, чтобы при этом traceroute не перестал работать

как организовать это на оборудовании D-Link?
и может что то можно есчё дополнить к списку задач?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вс окт 05, 2008 10:14 
Не в сети

Зарегистрирован: Вт окт 24, 2006 13:05
Сообщений: 276
Откуда: Москва
Простое решение: любой маршрутизатор.
Любое решение: DSA-3110 и его ручная настройка из командной строки. Любой вид маршрутизации и более сложные задачи с разделением трафика по нескольким провайдерам ... в общем почти все :)


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вс окт 05, 2008 10:47 
Не в сети

Зарегистрирован: Чт фев 08, 2007 11:55
Сообщений: 47
но это решение для сети с VPN авторизацией.
у меня сеть построена в основном на des-3526.

Стоит сервак на базе w2k3 перед ним стоит des-3526 через который собираются вланы от других сетей(для которых я и должен остаться незамечанным) и выдаются на один порт(на котором висит этот самый сервак).


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вс окт 05, 2008 12:27 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
Посмотрите на линейку DFL-210/800/1600. Если у вас нет цели максимально ужаться по деньгам, то это лучший выбор.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вс окт 05, 2008 13:16 
Не в сети

Зарегистрирован: Вт окт 24, 2006 13:05
Сообщений: 276
Откуда: Москва
Василий747 писал(а):
но это решение для сети с VPN авторизацией.
у меня сеть построена в основном на des-3526.


Кто Вам такое сказал? То на нем можно построить и небольшую VPN сеть - это да. Но если у Вас более 100 компьютеров или Вы действительно неограничены в деньгах - посмотрите предыдущий ответ YuriAM.

PS^ все определяется задачами.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вс окт 05, 2008 13:51 
Не в сети

Зарегистрирован: Чт фев 08, 2007 11:55
Сообщений: 47
а на DI-804HV это возможно?
у меня несколько сетей для которых нужно это сделать
тоды получится на каждый провод смотрящий в эти сети я повешаю настроенный DI-804HV.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вс окт 05, 2008 14:42 
Не в сети

Зарегистрирован: Вт окт 24, 2006 13:05
Сообщений: 276
Откуда: Москва
У DSA-3110 4 интерфейса. 1 под локальную сеть, а 3 остальных используюте под WAN, DMZ или LAN

Абсолютно неясна задача, что Вам конкретно нужно?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вс окт 05, 2008 15:26 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
Да. Опишите максимально полно что вы хотите. Можно на словах. Лучше на картинке.

Какие сети, их адреса, сколько пользователей в них. Какой трафик между ними будет ходить через нужный вам маршрутизатор. Нужная схема соединения (т.е. топология).

И т.д. Чем больше информации, тем лучше.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вс окт 05, 2008 16:11 
Не в сети

Зарегистрирован: Чт фев 08, 2007 11:55
Сообщений: 47
Моя задача:
Нужно максимально заградить свою сеть от другой сети(тоесть чтоб другой сети было сложно понять что за моим компьютером сидит толпа народу).
Один хороший человек мне когдато написал:
1. гарантировать что с интерфейса будет уходить сигнал с нужным МАК-ом, ИП-ом
2. произвести подмену TTL таким образом, чтобы при этом traceroute не перестал работать

Грубо говоря мне нужно сделать так чтоб меня не спалили несколько провайдеров. что за моим серваком сидит куча народа.

Имеется w2k3, des-3526, карта 560t(с созданными VLAN на которых и висят эти провайдера) и обычная карта с моей локалкой. усё в разных подсетях.
провайдеров 3 шт
ADSL, LAN и провайдер использующий PPPOE через сетевую карту.
2 провайдера (LAN и провайдер использующий PPPOE через сетевую карту) приходят на сервак через VLAN c des-3526 на 560T и биллингом раздаётся в мою сеть.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вс окт 05, 2008 16:35 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
В зависимости от кол-ва работающих пользователей в инете вас должен устроить DFL-210 (до 50 польз.) или DFL-800 (до 150).

Раз несколько провайдеров, придется повозиться с настройкой Policy Based Routing.

А может вообще обойтись без маршрутизатора и пусть сервер работает как шлюз в инет?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вс окт 05, 2008 17:03 
Не в сети

Зарегистрирован: Вт окт 24, 2006 13:05
Сообщений: 276
Откуда: Москва
Конечно самое важное Вы не сообщили, но стало понятно.
Думаю, что Вам ничего не нужно, возможностей стандартного w2k3 Вам должно вполне хватить. Если нужен нормальный фарьевол, смотрите в сторону ISA Server 2006.
Если хотите именно дополнительную коробку (это кстати, в случае пароноидального типа защиты не отменяет ISA сервера) то подойдет очень многое. То что предложил YuriAM - вполне годится и для этого предназначено, если хотите иметь полный контроль над трафиком и вручную править правила, то вполне подходит то что я написал (по моему опыту при двух 4 Мбит канала в Интернет и 100 пользователей DSA-3110 легко справляется, при этом работая местами как нат, местами режет ... в общем все что угодно, но требуются знания Linux).


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн окт 06, 2008 12:09 
Не в сети

Зарегистрирован: Чт фев 08, 2007 11:55
Сообщений: 47
спс всем


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 12 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 243


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB