mirel Опубликовано 7 Сентября 2015 Жалоба Поделиться Опубликовано 7 Сентября 2015 Добрый день! Стоит задача передавать в канале между двумя Координаторами информацию сетей с разными классами защищенности (допустим по 3 интерфейса, один - связь между координаторами, два других смотрят в разные сети), при этом естественно, чтобы потоки информации гарантированно не смешивались. Представители ИнфоТеКС говорили, что такое возможно и лигитимно. Осталось разобраться как настроить. Казалось бы в файле firewall.conf есть секция [tunnel], но прописать в ней можно туннелируемые ip-адреса только с одной стороны( либо from либо to), а с другой стороны должен быть идентификатор Координатора, то есть за Координатором потоки уже не поделить. Может копаю не в ту сторону и есть иной способ настроить правила? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
ibshkiper Опубликовано 8 Сентября 2015 Жалоба Поделиться Опубликовано 8 Сентября 2015 Я, конечно, не знаю на каком уровне понимания и настройки вы находитесь. Если вам необходимо передавать информация с компьютера из сети А на компьютер в сеть Б, то туннели прописываются не в firewall.conf. Их можно прописать в ручную в iplir config каждого координатора, но лучше задать туннели в ЦУСе. После разослать обновления и координатор всегда будет знать про туннели из адресных справочников. Если у вас межсетевое взаимодействие, то вы прописываете в своем ЦУСе свои ip, другая организация в своем ЦУСе свои ip, обменивайтесь экспортом и рассылаете обновления на свой координатор. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
mirel Опубликовано 8 Сентября 2015 Автор Жалоба Поделиться Опубликовано 8 Сентября 2015 спасибо за Ваш ответ)Туннели давно настроены описаным Ваши способом и это не является межсетевым взаимодействием. Идея в том, чтобы часть защищаемых компьютеров, которые подключеные к отдельному интерфейсу Координатора(допустим)1 могла обращаться только к части защищаемых компьютеров за Координатором 2 (тоже отдельный интерфейс), подобное настраивается, насколько я понимаю, именно правилами в firewall.conf . Таким образом разграничение трафика необходимо произвести внутри Координаторов по интерфейсам, то есть если у Координатора1 3 интерфейса: 1 - для связи с Координатором2 и 2, 3 интерфейсы в разных сетях, трафик между которыми проходя через Координаторы не должны смешиваться. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
ibshkiper Опубликовано 8 Сентября 2015 Жалоба Поделиться Опубликовано 8 Сентября 2015 Простите, что не понял с первого раза.А пробовали просто дропать пакеты при обращении к компьютерам за другим интерфейсом? Например rule= proto any from 192.168.1.1-192.168.1.10 to 10.74.255.50-10.74.255.100 dropПолучается что на координаторе А нужная часть защищенных компьютеров (за 192.168.1.1-192.168.1.10 при обращении к не нужным компьютерам 10.74.255.50-10.74.255.100 за координатором Б будут блокироваться. В секции туннель если у вас все адреса во всех сетях туннелируются.Если что я такое делать не пробовал, сейчас в голову пришло! Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
mirel Опубликовано 8 Сентября 2015 Автор Жалоба Поделиться Опубликовано 8 Сентября 2015 Спасибо, наверное мой вопрос изначально был задан сумбурноА в какой именно секции Вы предлагаете прописать правило?Если бы можно было прописать в том виде, что указали Вы , было бы идеально. Логичнее прописать в [tunnel], однако у секции есть особенность: либо за "from", либо "to" должен быть идентификатор узла (в нашем случае Координатора2), получается конкретные компьютеры, к которым необходимо разграничить доступ, за этим узлом уже не указать. Может Вы имеете в виду другую секцию, где нет такой особенности? тогда поделитесь какую ломаю голову...Дропать пакеты получалось, но пробовалось именно с правилом в секции [tunnel] Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.