HW1000 и VipnetClient

[CUKS MCHS Crimea]

Добрый день!

Установили Vipnet Client 3.2 сторонней организации со своей лицензией, как ограничить их доступ к нашим ресурсам на HW1000 и разрешить им ходить только на один IP-адрес (видеосервер).

Спасибо!

[basid]

Вообще непонятно, кто на ком стоял ...
Установлено рабочее место чужой ViPNet-сети в вашей локалке или установлены межсетевые отношения, чтобы рабочее место из чужой ViPNet-сети получило доступ к вашим ресурсам?

[Rinya]

Добрый день!

правила фильтрации туннелируемых IP-пакетов, создаете правило фильтрации в секции [tunnel] на фаерволе координатора

по умолчагнию в firewall.conf секция [tunnel] присутствует правило разрешающие все соединения с туннелируемыми узлами.

В документации есть даже пример организации туннелей между защищенными и открытыми узлами.

[w03zd8rc]

Зависит от того, имеется ли випнет клиент на сервере, присутствует ли он с секции tunnel фаервола или нет.

1) Если он не в туннеле и без клиента - то прописать его туда, в собственную секцию [id], и действовать по пп2

2) Если он без клиента, но в туннеле прописан - то, как говорилось ранее, через секцию [tunnel] фаервола координатора:

[tunnel]
rule= num 1 proto any from 0x000002 to 192.168.100.100  pass
rule= num 2 proto any from 0x000002 to any drop

где 0x000002 - id клиента, 192.168.100.100 - адрес сервера

3) Ну а если есть клиент - то в ЦУСе просто не делать связи между ними

 

[CUKS MCHS Crimea]

Спасибо.

[rfvbk]

а вы можете им для клиента в цусе поставить ограничения для настроек(уровень полномочий изменить), т.е. они не смогут випнет клиент без пароля администратора настраивать. вбиваете им один туннель для видеосервера на клиенте и всё.

да разумеется связь только с координатором и администратором оставить.(как выше написано)