Новые ответы

NAT наоборот,

vigogne, 26-Ноя-12, 15:42 [смотреть все]

В одном из подразделений есть две внутренние сети. Одна (допустим 10.0.0.0/16) имеет свободный выход в другие подразделения области и регионы через арендованные каналы. Вторая сеть (192.168.0.0/24) автономна и не должна отсвечивать в других сетях.
Но есть в этой сети ряд видеосерверов, которые вдруг стало необходимо просматривать начальству в Управлении (сеть управления, допустим 10.1.0.0/16)
Конечно, стандартная ip nat inside source static network 192.168.0.0 10.0.0.0 /24 extendable решит проблему, но тогда и вся эта сеть откроется как на ладони для других, и они смогут гулять по другим сетям, что очень нежелательно.
После нескольких дней раскурки мануалов и поисков примеров запутался окончательно, голова опухла и стала заманчивой для хедшота :)
Как же дать доступ к внутренним ресурсам и не допустить снижения секурити?

Ответить | Сообщить модератору

NAT наоборот, fantom, 15:54 , 26-Ноя-12 (1)
>[оверквотинг удален]
> Вторая сеть (192.168.0.0/24) автономна и не должна отсвечивать в других сетях.
> Но есть в этой сети ряд видеосерверов, которые вдруг стало необходимо просматривать
> начальству в Управлении (сеть управления, допустим 10.1.0.0/16)
> Конечно, стандартная ip nat inside source static network 192.168.0.0 10.0.0.0 /24 extendable
> решит проблему, но тогда и вся эта сеть откроется как на
> ладони для других, и они смогут гулять по другим сетям, что
> очень нежелательно.
> После нескольких дней раскурки мануалов и поисков примеров запутался окончательно, голова
> опухла и стала заманчивой для хедшота :)
> Как же дать доступ к внутренним ресурсам и не допустить снижения секурити?
1. Фильтр.
2. прокси с авторизацией.
3. доступ в сеть через VPN сервер, а начальственные компу - клиентами.
4. каждому начальнику поставить по второму компу, через который будет доступна исключительно нужная сеть.
и т.д. и т.п...
Ответить | Сообщить модератору

NAT наоборот, vigogne, 17:22 , 26-Ноя-12 (3)
>[оверквотинг удален]
>> очень нежелательно.
>> После нескольких дней раскурки мануалов и поисков примеров запутался окончательно, голова
>> опухла и стала заманчивой для хедшота :)
>> Как же дать доступ к внутренним ресурсам и не допустить снижения секурити?
> 1. Фильтр.
> 2. прокси с авторизацией.
> 3. доступ в сеть через VPN сервер, а начальственные компу - клиентами.
> 4. каждому начальнику поставить по второму компу, через который будет доступна исключительно
> нужная сеть.
> и т.д. и т.п...
Хмм, а разве нельзя все это сделать на имеющемся оборудовании? Все это, думаю, возможно на Cisco (кстати, C2821). Ведь выставляют сервера из внутренней сети в Интернет...
Мне же нужно просто ограничить круг адресов, которым разрешено занатиться к тем серверам и исключить обратный нат... Я просто пресытился информацией, вкупе с тем, что имеется море примеров как раз обратной задачи (дать доступ определенным лицам В интернет, закрыв доступ ИЗ интернета). Просто я пока не могу уловить, как это сделать в моем случае, поэтому и прошу у знатоков, которые уже давно переварили данную тему и постоянно это делают, толкнуть меня в нужную сторону или ткнуть носом в похожий пример...
Ответить | Сообщить модератору

NAT наоборот, 1, 16:45 , 26-Ноя-12 (2)
> Как же дать доступ к внутренним ресурсам и не допустить снижения секурити?
дать этим серверам удобные вторые ip (10.х...) ну а далее будет достаточно маршрутизации + фаер на вход/выход на стыке автономки.
Ответить | Сообщить модератору
NAT наоборот, spiegel, 17:45 , 26-Ноя-12 (4)
>[оверквотинг удален]
> Вторая сеть (192.168.0.0/24) автономна и не должна отсвечивать в других сетях.
> Но есть в этой сети ряд видеосерверов, которые вдруг стало необходимо просматривать
> начальству в Управлении (сеть управления, допустим 10.1.0.0/16)
> Конечно, стандартная ip nat inside source static network 192.168.0.0 10.0.0.0 /24 extendable
> решит проблему, но тогда и вся эта сеть откроется как на
> ладони для других, и они смогут гулять по другим сетям, что
> очень нежелательно.
> После нескольких дней раскурки мануалов и поисков примеров запутался окончательно, голова
> опухла и стала заманчивой для хедшота :)
> Как же дать доступ к внутренним ресурсам и не допустить снижения секурити?
ip nat inside source static <ip_videoserver> interface <ip_wan_interface>
access-list 101 permit ip host <ip_шев_в _управлении> host <ip_videoserver>
int <wan_interface>
ip access-group 101 in
ip nat outside
int <lan_interface>
ip nat inside
Ответить | Сообщить модератору

NAT наоборот, vigogne, 17:59 , 26-Ноя-12 (5)
>>[оверквотинг удален]
> ip nat inside source static <ip_videoserver> interface <ip_wan_interface>
> access-list 101 permit ip host <ip_шев_в _управлении> host <ip_videoserver>
> int <wan_interface>
> ip access-group 101 in
> ip nat outside
> int <lan_interface>
> ip nat inside
А разве тогда не будут ли иметь доступ к этому подразделению ТОЛЬКО <ip_шев_в _управлении>? По идее, как я думаю, фильтровать нужно после NAT, а самое правильное, в самом NAT, иначе мы теряем нашу легитимную подсеть подразделения (10.х). Вот тут-то я и поплыл. Отбор адресов в NAT я и не смог одолеть... :)
Ответить | Сообщить модератору

NAT наоборот, spiegel, 18:24 , 26-Ноя-12 (6)
>[оверквотинг удален]
>> int <wan_interface>
>> ip access-group 101 in
>> ip nat outside
>> int <lan_interface>
>> ip nat inside
> А разве тогда не будут ли иметь доступ к этому подразделению ТОЛЬКО
> <ip_шев_в _управлении>? По идее, как я думаю, фильтровать нужно после NAT,
> а самое правильное, в самом NAT, иначе мы теряем нашу легитимную
> подсеть подразделения (10.х). Вот тут-то я и поплыл. Отбор адресов в
> NAT я и не смог одолеть... :)
Тогда я не понял. Вы писали: "Вторая сеть (192.168.0.0/24) автономна и не должна отсвечивать в других сетях." Отсюда вывод: сеть 192.168.0.0/24 извне недоступна, кроме доступа у шефа и только к конкретному видеосерверу или серверам.
Ответить | Сообщить модератору

NAT наоборот, spiegel, 19:31 , 26-Ноя-12 (7)
>[оверквотинг удален]
>>> int <lan_interface>
>>> ip nat inside
>> А разве тогда не будут ли иметь доступ к этому подразделению ТОЛЬКО
>> <ip_шев_в _управлении>? По идее, как я думаю, фильтровать нужно после NAT,
>> а самое правильное, в самом NAT, иначе мы теряем нашу легитимную
>> подсеть подразделения (10.х). Вот тут-то я и поплыл. Отбор адресов в
>> NAT я и не смог одолеть... :)
> Тогда я не понял. Вы писали: "Вторая сеть (192.168.0.0/24) автономна и не
> должна отсвечивать в других сетях." Отсюда вывод: сеть 192.168.0.0/24 извне недоступна,
> кроме доступа у шефа и только к конкретному видеосерверу или серверам.
access-list 101 не правильно написал, надо:
access-list 101 permit ip host <ip_шеф> host <ip_wan_interface>
Ведь локальный адрес видеосервера извне будет адресом внешнего интерфейса.
Ответить | Сообщить модератору
NAT наоборот, vigogne, 12:59 , 27-Ноя-12 (9)
>[оверквотинг удален]
>>> int <lan_interface>
>>> ip nat inside
>> А разве тогда не будут ли иметь доступ к этому подразделению ТОЛЬКО
>> <ip_шев_в _управлении>? По идее, как я думаю, фильтровать нужно после NAT,
>> а самое правильное, в самом NAT, иначе мы теряем нашу легитимную
>> подсеть подразделения (10.х). Вот тут-то я и поплыл. Отбор адресов в
>> NAT я и не смог одолеть... :)
> Тогда я не понял. Вы писали: "Вторая сеть (192.168.0.0/24) автономна и не
> должна отсвечивать в других сетях." Отсюда вывод: сеть 192.168.0.0/24 извне недоступна,
> кроме доступа у шефа и только к конкретному видеосерверу или серверам.
Но если такой access-list применить к WAN-интерфейсу, то не пропадет ли все подразделение для всех, кроме адреса шефа?
Ладно, это я понял, тут нужно тогда не простой ACL, а ip access-list extended, со всеми диапазонами кому и чего можно... Попробую. Спасибо за мысль!
Ответить | Сообщить модератору

NAT наоборот, pavlinux, 02:30 , 27-Ноя-12 (8)
> Как же дать доступ к внутренним ресурсам и не допустить снижения секурити?
Google: DMZ

Ответить | Сообщить модератору