Разделение Сетей С Помощью Vipnet Координатора

[mirel]

Добрый день! Стоит задача передавать в канале между двумя Координаторами информацию сетей с разными классами защищенности (допустим по 3 интерфейса, один - связь между координаторами, два других смотрят в разные сети), при этом естественно, чтобы потоки информации гарантированно не смешивались. Представители ИнфоТеКС говорили, что такое возможно и лигитимно. Осталось разобраться как настроить. Казалось бы в файле firewall.conf есть секция [tunnel], но прописать в ней можно туннелируемые ip-адреса только с одной стороны( либо from либо to), а с другой стороны должен быть идентификатор Координатора, то есть за Координатором потоки уже не поделить. Может копаю не в ту сторону и есть иной способ настроить правила?

[ibshkiper]

Я, конечно, не знаю на каком уровне понимания и настройки вы находитесь. Если вам необходимо передавать информация с компьютера из сети А на компьютер в сеть Б, то туннели прописываются не в firewall.conf. Их можно прописать в ручную в iplir config каждого координатора, но лучше задать туннели в ЦУСе. После разослать обновления и координатор всегда будет знать про туннели из адресных справочников. Если у вас межсетевое взаимодействие, то вы прописываете в своем ЦУСе свои ip, другая организация в своем ЦУСе свои ip, обменивайтесь экспортом и рассылаете обновления на свой координатор.

[mirel]

спасибо за Ваш ответ)

Туннели давно настроены описаным Ваши способом и это не является межсетевым взаимодействием. Идея в том, чтобы часть защищаемых компьютеров, которые подключеные к отдельному интерфейсу Координатора(допустим)1 могла обращаться только к части защищаемых компьютеров за Координатором 2 (тоже отдельный интерфейс), подобное настраивается, насколько я понимаю, именно правилами в firewall.conf . Таким образом разграничение трафика необходимо произвести внутри Координаторов по интерфейсам, то есть если у Координатора1 3 интерфейса: 1 - для связи с Координатором2 и 2, 3 интерфейсы в разных сетях, трафик между которыми проходя через Координаторы не должны смешиваться.

[ibshkiper]

Простите, что не понял с первого раза.

А пробовали просто дропать пакеты при обращении к компьютерам за другим интерфейсом? Например

rule= proto any from 192.168.1.1-192.168.1.10 to 10.74.255.50-10.74.255.100 drop

Получается что на координаторе А нужная часть защищенных компьютеров (за 192.168.1.1-192.168.1.10 при обращении к не нужным компьютерам 10.74.255.50-10.74.255.100 за координатором Б будут блокироваться. В секции туннель если у вас все адреса во всех сетях туннелируются.

Если что я такое делать не пробовал, сейчас в голову пришло!

[mirel]

Спасибо, наверное мой вопрос изначально был задан сумбурно

А в какой именно секции Вы предлагаете прописать правило?Если бы можно было прописать в том виде, что указали Вы , было бы идеально. Логичнее прописать в [tunnel], однако у секции есть особенность: либо за "from", либо "to" должен быть идентификатор узла (в нашем случае Координатора2), получается конкретные компьютеры, к которым необходимо разграничить доступ, за этим узлом уже не указать. Может Вы имеете в виду другую секцию, где нет такой особенности? тогда поделитесь какую ломаю голову...

Дропать пакеты получалось, но пробовалось именно с правилом в секции [tunnel]