7sysadmin Опубликовано 5 Декабря 2013 Жалоба Поделиться Опубликовано 5 Декабря 2013 В координаторе настроены туннели (не мной. увы...). Из диапазона туннелируемых адресов нужно исключить 2 адреса.Диапазон тунеллируемых адресов 10.1.51.1-10.1.51.254Все работает и трогать это без крайней необходимости очень не хочется...Не могу понять одного, где надо выполнять настройки? В секции [id] для координатора? Или в секции [forward] файрвола, в которой стоит правило по умолчанию: rule= proto any from any to any pass Это правило включено и разрешает трафик между всеми туннелируемыми ресурсами и всеми защищенными узлами, с которыми связан ПАК. Такая запись эквивалентна заданию 2-х следующих правил для туннелируемых ресурсов: rule= proto any from anyid to anyip pass rule= proto any from anyip to anyid pass Цель - сделать так, чтобы один из адресов туннелируемого диапазона выделялся для файрвола... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
7sysadmin Опубликовано 5 Декабря 2013 Автор Жалоба Поделиться Опубликовано 5 Декабря 2013 Я так понимаю, в секции [id] координатора задается диапазон или список туннеллируемых адресов. А в секции [forward] задаются уже правила для тунеллируемых адресов. Или я ошибаюсь? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
ingenico Опубликовано 5 Декабря 2013 Жалоба Поделиться Опубликовано 5 Декабря 2013 Я так понимаю, в секции [id] координатора задается диапазон или список туннеллируемых адресов. А в секции [forward] задаются уже правила для тунеллируемых адресов. Или я ошибаюсь?Всё верно. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
7sysadmin Опубликовано 5 Декабря 2013 Автор Жалоба Поделиться Опубликовано 5 Декабря 2013 вот только где убрать нужный айпишник? ограничить диапазон туннелируемых адресов в секции id? Или правилами запретить?Мы ведь сами являемся только частью випнет сети и туннели настроены были специально для интеграции с другими узлами, которых я даже не знаю... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
intellegent Опубликовано 17 Декабря 2013 Жалоба Поделиться Опубликовано 17 Декабря 2013 Если вопрос "исключить", то ответ однозначен - в iplir.conf редактируем параметр tunnel=.... Стоит иметь в виду, что если Вам этот диапазон "приезжает" из другой сети в справочниках, то Ваши изменения будут замещены, т.е. все вернется обратно.Если вопрос звучит как "запретить работать с парой туннелей", то редактируем firewall.conf секцию [tunnel] соответствующий диапазон. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.