forum.opennet.ru - "NAT наоборот" (9)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"NAT наоборот"

Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"NAT наоборот"	+/–
Сообщение от vigogne (ok) on 26-Ноя-12, 15:42
В одном из подразделений есть две внутренние сети. Одна (допустим 10.0.0.0/16) имеет свободный выход в другие подразделения области и регионы через арендованные каналы. Вторая сеть (192.168.0.0/24) автономна и не должна отсвечивать в других сетях. Но есть в этой сети ряд видеосерверов, которые вдруг стало необходимо просматривать начальству в Управлении (сеть управления, допустим 10.1.0.0/16) Конечно, стандартная ip nat inside source static network 192.168.0.0 10.0.0.0 /24 extendable решит проблему, но тогда и вся эта сеть откроется как на ладони для других, и они смогут гулять по другим сетям, что очень нежелательно. После нескольких дней раскурки мануалов и поисков примеров запутался окончательно, голова опухла и стала заманчивой для хедшота :) Как же дать доступ к внутренним ресурсам и не допустить снижения секурити?
Ответить \| Правка \| Cообщить модератору

Оглавление

NAT наоборот, fantom, 15:54 , 26-Ноя-12, (1)

NAT наоборот, vigogne, 17:22 , 26-Ноя-12, (3)

NAT наоборот, 1, 16:45 , 26-Ноя-12, (2)
NAT наоборот, spiegel, 17:45 , 26-Ноя-12, (4)

NAT наоборот, vigogne, 17:59 , 26-Ноя-12, (5)

NAT наоборот, spiegel, 18:24 , 26-Ноя-12, (6)

NAT наоборот, spiegel, 19:31 , 26-Ноя-12, (7)
NAT наоборот, vigogne, 12:59 , 27-Ноя-12, (9)

NAT наоборот, pavlinux, 02:30 , 27-Ноя-12, (8)

Сообщения по теме [Сортировка по времени | RSS]

1. "NAT наоборот" +/–

Сообщение от fantom (ok) on 26-Ноя-12, 15:54

>[оверквотинг удален]
> Вторая сеть (192.168.0.0/24) автономна и не должна отсвечивать в других сетях.
> Но есть в этой сети ряд видеосерверов, которые вдруг стало необходимо просматривать
> начальству в Управлении (сеть управления, допустим 10.1.0.0/16)
> Конечно, стандартная ip nat inside source static network 192.168.0.0 10.0.0.0 /24 extendable
> решит проблему, но тогда и вся эта сеть откроется как на
> ладони для других, и они смогут гулять по другим сетям, что
> очень нежелательно.
> После нескольких дней раскурки мануалов и поисков примеров запутался окончательно, голова
> опухла и стала заманчивой для хедшота :)
> Как же дать доступ к внутренним ресурсам и не допустить снижения секурити?
1. Фильтр.
2. прокси с авторизацией.
3. доступ в сеть через VPN сервер, а начальственные компу - клиентами.
4. каждому начальнику поставить по второму компу, через который будет доступна исключительно нужная сеть.
и т.д. и т.п...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "NAT наоборот" +/–

Сообщение от vigogne (ok) on 26-Ноя-12, 17:22

>[оверквотинг удален]
>> очень нежелательно.
>> После нескольких дней раскурки мануалов и поисков примеров запутался окончательно, голова
>> опухла и стала заманчивой для хедшота :)
>> Как же дать доступ к внутренним ресурсам и не допустить снижения секурити?
> 1. Фильтр.
> 2. прокси с авторизацией.
> 3. доступ в сеть через VPN сервер, а начальственные компу - клиентами.
> 4. каждому начальнику поставить по второму компу, через который будет доступна исключительно
> нужная сеть.
>  и т.д. и т.п...
Хмм, а разве нельзя все это сделать на имеющемся оборудовании? Все это, думаю, возможно на Cisco (кстати, C2821). Ведь выставляют сервера из внутренней сети в Интернет...
Мне же нужно просто ограничить круг адресов, которым разрешено занатиться к тем серверам и исключить обратный нат...  Я просто пресытился информацией, вкупе с тем, что имеется море примеров как раз обратной задачи (дать доступ определенным лицам В интернет, закрыв доступ ИЗ интернета). Просто я пока не могу уловить, как это сделать в моем случае, поэтому и прошу у знатоков, которые уже давно переварили данную тему и постоянно это делают, толкнуть меня в нужную сторону или ткнуть носом в похожий пример...

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "NAT наоборот" +/–

Сообщение от 1 (??) on 26-Ноя-12, 16:45

> Как же дать доступ к внутренним ресурсам и не допустить снижения секурити?
дать этим серверам удобные вторые ip (10.х...) ну а далее будет достаточно маршрутизации + фаер на вход/выход на стыке автономки.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "NAT наоборот" +/–

Сообщение от spiegel (ok) on 26-Ноя-12, 17:45

>[оверквотинг удален]
> Вторая сеть (192.168.0.0/24) автономна и не должна отсвечивать в других сетях.
> Но есть в этой сети ряд видеосерверов, которые вдруг стало необходимо просматривать
> начальству в Управлении (сеть управления, допустим 10.1.0.0/16)
> Конечно, стандартная ip nat inside source static network 192.168.0.0 10.0.0.0 /24 extendable
> решит проблему, но тогда и вся эта сеть откроется как на
> ладони для других, и они смогут гулять по другим сетям, что
> очень нежелательно.
> После нескольких дней раскурки мануалов и поисков примеров запутался окончательно, голова
> опухла и стала заманчивой для хедшота :)
> Как же дать доступ к внутренним ресурсам и не допустить снижения секурити?
ip nat inside source static <ip_videoserver> interface <ip_wan_interface>
access-list 101 permit ip host <ip_шев_в _управлении> host <ip_videoserver>
int <wan_interface>
ip access-group 101 in
ip nat outside
int <lan_interface>
ip nat inside

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "NAT наоборот" +/–

Сообщение от vigogne (ok) on 26-Ноя-12, 17:59

>>[оверквотинг удален]
> ip nat inside source static <ip_videoserver> interface <ip_wan_interface>
> access-list 101 permit ip host <ip_шев_в _управлении> host <ip_videoserver>
> int <wan_interface>
> ip access-group 101 in
> ip nat outside
> int <lan_interface>
> ip nat inside
А разве тогда не будут ли иметь доступ к этому подразделению ТОЛЬКО <ip_шев_в _управлении>? По идее, как я думаю, фильтровать нужно после NAT, а самое правильное, в самом NAT, иначе мы теряем нашу легитимную подсеть подразделения (10.х). Вот тут-то я и поплыл. Отбор адресов в NAT я и не смог одолеть... :)

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "NAT наоборот" +/–

Сообщение от spiegel (ok) on 26-Ноя-12, 18:24

>[оверквотинг удален]
>> int <wan_interface>
>> ip access-group 101 in
>> ip nat outside
>> int <lan_interface>
>> ip nat inside
> А разве тогда не будут ли иметь доступ к этому подразделению ТОЛЬКО
> <ip_шев_в _управлении>? По идее, как я думаю, фильтровать нужно после NAT,
> а самое правильное, в самом NAT, иначе мы теряем нашу легитимную
> подсеть подразделения (10.х). Вот тут-то я и поплыл. Отбор адресов в
> NAT я и не смог одолеть... :)
Тогда я не понял. Вы писали: "Вторая сеть (192.168.0.0/24) автономна и не должна отсвечивать в других сетях." Отсюда вывод: сеть 192.168.0.0/24 извне недоступна, кроме доступа у шефа и только к конкретному видеосерверу или серверам.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "NAT наоборот" +/–

Сообщение от spiegel (ok) on 26-Ноя-12, 19:31

>[оверквотинг удален]
>>> int <lan_interface>
>>> ip nat inside
>> А разве тогда не будут ли иметь доступ к этому подразделению ТОЛЬКО
>> <ip_шев_в _управлении>? По идее, как я думаю, фильтровать нужно после NAT,
>> а самое правильное, в самом NAT, иначе мы теряем нашу легитимную
>> подсеть подразделения (10.х). Вот тут-то я и поплыл. Отбор адресов в
>> NAT я и не смог одолеть... :)
> Тогда я не понял. Вы писали: "Вторая сеть (192.168.0.0/24) автономна и не
> должна отсвечивать в других сетях." Отсюда вывод: сеть 192.168.0.0/24 извне недоступна,
> кроме доступа у шефа и только к конкретному видеосерверу или серверам.
access-list  101 не правильно написал, надо:
access-list 101 permit ip host <ip_шеф> host <ip_wan_interface>
Ведь локальный адрес видеосервера извне будет адресом внешнего интерфейса.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "NAT наоборот" +/–

Сообщение от vigogne (ok) on 27-Ноя-12, 12:59

>[оверквотинг удален]
>>> int <lan_interface>
>>> ip nat inside
>> А разве тогда не будут ли иметь доступ к этому подразделению ТОЛЬКО
>> <ip_шев_в _управлении>? По идее, как я думаю, фильтровать нужно после NAT,
>> а самое правильное, в самом NAT, иначе мы теряем нашу легитимную
>> подсеть подразделения (10.х). Вот тут-то я и поплыл. Отбор адресов в
>> NAT я и не смог одолеть... :)
> Тогда я не понял. Вы писали: "Вторая сеть (192.168.0.0/24) автономна и не
> должна отсвечивать в других сетях." Отсюда вывод: сеть 192.168.0.0/24 извне недоступна,
> кроме доступа у шефа и только к конкретному видеосерверу или серверам.
Но если такой access-list применить к WAN-интерфейсу, то не пропадет ли все подразделение для всех, кроме адреса шефа?
Ладно, это я понял, тут нужно тогда не простой ACL, а ip access-list extended, со всеми диапазонами кому и чего можно... Попробую. Спасибо за мысль!

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "NAT наоборот" +/–

Сообщение от pavlinux (ok) on 27-Ноя-12, 02:30

> Как же дать доступ к внутренним ресурсам и не допустить снижения секурити?
Google: DMZ

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "NAT наоборот"	+/–
Сообщение от fantom (ok) on 26-Ноя-12, 15:54
>[оверквотинг удален] > Вторая сеть (192.168.0.0/24) автономна и не должна отсвечивать в других сетях. > Но есть в этой сети ряд видеосерверов, которые вдруг стало необходимо просматривать > начальству в Управлении (сеть управления, допустим 10.1.0.0/16) > Конечно, стандартная ip nat inside source static network 192.168.0.0 10.0.0.0 /24 extendable > решит проблему, но тогда и вся эта сеть откроется как на > ладони для других, и они смогут гулять по другим сетям, что > очень нежелательно. > После нескольких дней раскурки мануалов и поисков примеров запутался окончательно, голова > опухла и стала заманчивой для хедшота :) > Как же дать доступ к внутренним ресурсам и не допустить снижения секурити? 1. Фильтр. 2. прокси с авторизацией. 3. доступ в сеть через VPN сервер, а начальственные компу - клиентами. 4. каждому начальнику поставить по второму компу, через который будет доступна исключительно нужная сеть. и т.д. и т.п...
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	3. "NAT наоборот"	+/–
	Сообщение от vigogne (ok) on 26-Ноя-12, 17:22
	>[оверквотинг удален] >> очень нежелательно. >> После нескольких дней раскурки мануалов и поисков примеров запутался окончательно, голова >> опухла и стала заманчивой для хедшота :) >> Как же дать доступ к внутренним ресурсам и не допустить снижения секурити? > 1. Фильтр. > 2. прокси с авторизацией. > 3. доступ в сеть через VPN сервер, а начальственные компу - клиентами. > 4. каждому начальнику поставить по второму компу, через который будет доступна исключительно > нужная сеть. > и т.д. и т.п... Хмм, а разве нельзя все это сделать на имеющемся оборудовании? Все это, думаю, возможно на Cisco (кстати, C2821). Ведь выставляют сервера из внутренней сети в Интернет... Мне же нужно просто ограничить круг адресов, которым разрешено занатиться к тем серверам и исключить обратный нат... Я просто пресытился информацией, вкупе с тем, что имеется море примеров как раз обратной задачи (дать доступ определенным лицам В интернет, закрыв доступ ИЗ интернета). Просто я пока не могу уловить, как это сделать в моем случае, поэтому и прошу у знатоков, которые уже давно переварили данную тему и постоянно это делают, толкнуть меня в нужную сторону или ткнуть носом в похожий пример...
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору

2. "NAT наоборот"	+/–
Сообщение от 1 (??) on 26-Ноя-12, 16:45
> Как же дать доступ к внутренним ресурсам и не допустить снижения секурити? дать этим серверам удобные вторые ip (10.х...) ну а далее будет достаточно маршрутизации + фаер на вход/выход на стыке автономки.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

4. "NAT наоборот"	+/–
Сообщение от spiegel (ok) on 26-Ноя-12, 17:45
>[оверквотинг удален] > Вторая сеть (192.168.0.0/24) автономна и не должна отсвечивать в других сетях. > Но есть в этой сети ряд видеосерверов, которые вдруг стало необходимо просматривать > начальству в Управлении (сеть управления, допустим 10.1.0.0/16) > Конечно, стандартная ip nat inside source static network 192.168.0.0 10.0.0.0 /24 extendable > решит проблему, но тогда и вся эта сеть откроется как на > ладони для других, и они смогут гулять по другим сетям, что > очень нежелательно. > После нескольких дней раскурки мануалов и поисков примеров запутался окончательно, голова > опухла и стала заманчивой для хедшота :) > Как же дать доступ к внутренним ресурсам и не допустить снижения секурити? ip nat inside source static <ip_videoserver> interface <ip_wan_interface> access-list 101 permit ip host <ip_шев_в _управлении> host <ip_videoserver> int <wan_interface> ip access-group 101 in ip nat outside int <lan_interface> ip nat inside
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	5. "NAT наоборот"	+/–
	Сообщение от vigogne (ok) on 26-Ноя-12, 17:59
	>>[оверквотинг удален] > ip nat inside source static <ip_videoserver> interface <ip_wan_interface> > access-list 101 permit ip host <ip_шев_в _управлении> host <ip_videoserver> > int <wan_interface> > ip access-group 101 in > ip nat outside > int <lan_interface> > ip nat inside А разве тогда не будут ли иметь доступ к этому подразделению ТОЛЬКО <ip_шев_в _управлении>? По идее, как я думаю, фильтровать нужно после NAT, а самое правильное, в самом NAT, иначе мы теряем нашу легитимную подсеть подразделения (10.х). Вот тут-то я и поплыл. Отбор адресов в NAT я и не смог одолеть... :)
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "NAT наоборот"	+/–
	Сообщение от spiegel (ok) on 26-Ноя-12, 18:24
	>[оверквотинг удален] >> int <wan_interface> >> ip access-group 101 in >> ip nat outside >> int <lan_interface> >> ip nat inside > А разве тогда не будут ли иметь доступ к этому подразделению ТОЛЬКО > <ip_шев_в _управлении>? По идее, как я думаю, фильтровать нужно после NAT, > а самое правильное, в самом NAT, иначе мы теряем нашу легитимную > подсеть подразделения (10.х). Вот тут-то я и поплыл. Отбор адресов в > NAT я и не смог одолеть... :) Тогда я не понял. Вы писали: "Вторая сеть (192.168.0.0/24) автономна и не должна отсвечивать в других сетях." Отсюда вывод: сеть 192.168.0.0/24 извне недоступна, кроме доступа у шефа и только к конкретному видеосерверу или серверам.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "NAT наоборот"	+/–
	Сообщение от spiegel (ok) on 26-Ноя-12, 19:31
	>[оверквотинг удален] >>> int <lan_interface> >>> ip nat inside >> А разве тогда не будут ли иметь доступ к этому подразделению ТОЛЬКО >> <ip_шев_в _управлении>? По идее, как я думаю, фильтровать нужно после NAT, >> а самое правильное, в самом NAT, иначе мы теряем нашу легитимную >> подсеть подразделения (10.х). Вот тут-то я и поплыл. Отбор адресов в >> NAT я и не смог одолеть... :) > Тогда я не понял. Вы писали: "Вторая сеть (192.168.0.0/24) автономна и не > должна отсвечивать в других сетях." Отсюда вывод: сеть 192.168.0.0/24 извне недоступна, > кроме доступа у шефа и только к конкретному видеосерверу или серверам. access-list 101 не правильно написал, надо: access-list 101 permit ip host <ip_шеф> host <ip_wan_interface> Ведь локальный адрес видеосервера извне будет адресом внешнего интерфейса.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	9. "NAT наоборот"	+/–
	Сообщение от vigogne (ok) on 27-Ноя-12, 12:59
	>[оверквотинг удален] >>> int <lan_interface> >>> ip nat inside >> А разве тогда не будут ли иметь доступ к этому подразделению ТОЛЬКО >> <ip_шев_в _управлении>? По идее, как я думаю, фильтровать нужно после NAT, >> а самое правильное, в самом NAT, иначе мы теряем нашу легитимную >> подсеть подразделения (10.х). Вот тут-то я и поплыл. Отбор адресов в >> NAT я и не смог одолеть... :) > Тогда я не понял. Вы писали: "Вторая сеть (192.168.0.0/24) автономна и не > должна отсвечивать в других сетях." Отсюда вывод: сеть 192.168.0.0/24 извне недоступна, > кроме доступа у шефа и только к конкретному видеосерверу или серверам. Но если такой access-list применить к WAN-интерфейсу, то не пропадет ли все подразделение для всех, кроме адреса шефа? Ладно, это я понял, тут нужно тогда не простой ACL, а ip access-list extended, со всеми диапазонами кому и чего можно... Попробую. Спасибо за мысль!
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору

8. "NAT наоборот"	+/–
Сообщение от pavlinux (ok) on 27-Ноя-12, 02:30
> Как же дать доступ к внутренним ресурсам и не допустить снижения секурити? Google: DMZ
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору