Jump to content
Sign in to follow this  
mirel

Разделение Сетей С Помощью Vipnet Координатора

Recommended Posts

Добрый день! Стоит задача передавать в канале между двумя Координаторами информацию сетей с разными классами защищенности (допустим по 3 интерфейса, один - связь между координаторами, два других смотрят в разные сети), при этом естественно, чтобы потоки информации гарантированно не смешивались. Представители ИнфоТеКС говорили, что такое возможно и лигитимно. Осталось разобраться как настроить. Казалось бы в файле firewall.conf есть секция [tunnel], но прописать в ней можно туннелируемые ip-адреса только с одной стороны( либо from либо to), а с другой стороны должен быть идентификатор Координатора, то есть за Координатором потоки уже не поделить. Может копаю не в ту сторону и есть иной способ настроить правила?

Share this post


Link to post
Share on other sites

Я, конечно, не знаю на каком уровне понимания и настройки вы находитесь. Если вам необходимо передавать информация с компьютера из сети А на компьютер в сеть Б, то туннели прописываются не в firewall.conf. Их можно прописать в ручную в iplir config каждого координатора, но лучше задать туннели в ЦУСе. После разослать обновления и координатор всегда будет знать про туннели из адресных справочников. Если у вас межсетевое взаимодействие, то вы прописываете в своем ЦУСе свои ip, другая организация в своем ЦУСе свои ip, обменивайтесь экспортом и рассылаете обновления на свой координатор.

Share this post


Link to post
Share on other sites

спасибо за Ваш ответ)

Туннели давно настроены описаным Ваши способом и это не является межсетевым взаимодействием. Идея в том, чтобы часть защищаемых компьютеров, которые подключеные к отдельному интерфейсу Координатора(допустим)1 могла обращаться только к части защищаемых компьютеров за Координатором 2 (тоже отдельный интерфейс), подобное настраивается, насколько я понимаю, именно правилами в firewall.conf . Таким образом разграничение трафика необходимо произвести внутри Координаторов по интерфейсам, то есть если у Координатора1 3 интерфейса: 1 - для связи с Координатором2 и 2, 3 интерфейсы в разных сетях, трафик между которыми проходя через Координаторы не должны смешиваться.

Share this post


Link to post
Share on other sites

Простите, что не понял с первого раза.

А пробовали просто дропать пакеты при обращении к компьютерам за другим интерфейсом? Например

rule= proto any from 192.168.1.1-192.168.1.10 to 10.74.255.50-10.74.255.100 drop

Получается что на координаторе А нужная часть защищенных компьютеров (за 192.168.1.1-192.168.1.10 при обращении к не нужным компьютерам 10.74.255.50-10.74.255.100 за координатором Б будут блокироваться. В секции туннель если у вас все адреса во всех сетях туннелируются.

Если что я такое делать не пробовал, сейчас в голову пришло!

Share this post


Link to post
Share on other sites

Спасибо, наверное мой вопрос изначально был задан сумбурно

А в какой именно секции Вы предлагаете прописать правило?Если бы можно было прописать в том виде, что указали Вы , было бы идеально. Логичнее прописать в [tunnel], однако у секции есть особенность: либо за "from", либо "to" должен быть идентификатор узла (в нашем случае Координатора2), получается конкретные компьютеры, к которым необходимо разграничить доступ, за этим узлом уже не указать. Может Вы имеете в виду другую секцию, где нет такой особенности? тогда поделитесь какую :) ломаю голову...

Дропать пакеты получалось, но пробовалось именно с правилом в секции [tunnel]

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.