Ограничение Доступа Пользователей Доверенной Сети

[elly]

нужно ограничить доступ некоторых абонентских пунктов сети, с которой установлены доверительные отношения, к нашей сети. как это лучше сделать?

(если в iplir.conf прописать filterdefault=drop, то не перезапишется ли это при получении экспорта из доверенной сети?)

[slavanchuk]

нужно ограничить доступ некоторых абонентских пунктов сети, с которой установлены доверительные отношения, к нашей сети. как это лучше сделать?

(если в iplir.conf прописать filterdefault=drop, то не перезапишется ли это при получении экспорта из доверенной сети?)

Фильтры сетевого экрана не должны перезаписываться при обновлении.

В случае, если отсутствуют более конкретные ранее фильтры, то это ограничение должно работать.

P.S. У нас подобное реализовано несколько иначе. Внешние АП - за одним координатором, внутренние - за другим. Сервер, который должен быть доступен вовне - стоит за внешним координатором. Сквозной связи нет. Но, естественно, всё можно сделать и на одном координаторе.

[elly]

и в дополнение.

в доверенной сети имеются туннелируемые компьютеры. как лучше управлять их доступом в нашу сеть?

[slavanchuk]

и в дополнение.

в доверенной сети имеются туннелируемые компьютеры. как лучше управлять их доступом в нашу сеть?

Ни разу не пробовал. Но стоит присмотреться к параметру blockforward=on. Он, как написано в документации, умеет блокировать транзитные пакеты от узла и к узлу, в котором заданы такие настройки.