Туннели На Coordinator Hv-1000

[7sysadmin]

В координаторе настроены туннели (не мной. увы...). Из диапазона туннелируемых адресов нужно исключить 2 адреса.

Диапазон тунеллируемых адресов 10.1.51.1-10.1.51.254

Все работает и трогать это без крайней необходимости очень не хочется...

Не могу понять одного, где надо выполнять настройки? В секции [id] для координатора? Или в секции [forward] файрвола, в которой стоит правило по умолчанию:

rule= proto any from any to any pass

Это правило включено и разрешает трафик между всеми туннелируемыми ресурсами и всеми защищенными узлами, с которыми связан ПАК. Такая запись эквивалентна заданию 2-х следующих правил для туннелируемых ресурсов:

rule= proto any from anyid to anyip pass

rule= proto any from anyip to anyid pass

Цель - сделать так, чтобы один из адресов туннелируемого диапазона выделялся для файрвола...

[7sysadmin]

Я так понимаю, в секции [id] координатора задается диапазон или список туннеллируемых адресов. А в секции [forward] задаются уже правила для тунеллируемых адресов. Или я ошибаюсь?

[ingenico]

Я так понимаю, в секции [id] координатора задается диапазон или список туннеллируемых адресов. А в секции [forward] задаются уже правила для тунеллируемых адресов. Или я ошибаюсь?

Всё верно.

[7sysadmin]

вот только где убрать нужный айпишник?

ограничить диапазон туннелируемых адресов в секции id? Или правилами запретить?

Мы ведь сами являемся только частью випнет сети и туннели настроены были специально для интеграции с другими узлами, которых я даже не знаю...

[intellegent]

Если вопрос "исключить", то ответ однозначен - в iplir.conf редактируем параметр tunnel=.... Стоит иметь в виду, что если Вам этот диапазон "приезжает" из другой сети в справочниках, то Ваши изменения будут замещены, т.е. все вернется обратно.

Если вопрос звучит как "запретить работать с парой туннелей", то редактируем firewall.conf секцию [tunnel] соответствующий диапазон.