playnet

"Более того, эксперты по сетевой безопасности уверены, что подобная ситуация - одна из первых," Одна из первых за 2017? Ничего, что "xbox shutdown" уже года 2? Правда, там сами хозяева говорят... Но с рекламой ok google тоже несколько лет уже как, а там срабатывало у всех телефонов рядом.

А еще по такой оптике проводят черный нал. Но посколько "черный" - неполиткорректно, ее назвали темной.

Althathwe Не обязательно. С двухсторонним действительно есть проблемы выравнивания потенциалов, поэтому мы всегда только с 1 стороны заземляем. Тут тоже момент: заземленный с 1 стороны фтп в разы уменьшает вероятность выгорания портов в свичах, когда медь между зданиями. Про "рядом с 220" - метров по 20 лежит нормально обычный utp, только необходимо, чтобы они не соприкасались - требования техники безопасности. В кабель-каналах на несколько "подканалов" нормально лежит. 380 - пересекать можно спокойно, там наводок не будет, а вот вдоль - тут надо смотреть уже стандарты и на месте приборами. Если же кабель ВЧ или высоковольтный - действительно нужен ftp и выше или оптика, причем на многомоде выходит не сильно дороже, но хоть около 110кВ клади, ничего ему не будет.

Так чего получается, вариантов нет вообще?

А это и есть базовые задачи для маршрутизации. Я ж не прошу поднимать на циске днс, да ещё с описанными выше костылями. Или получается, что простой нат оно умеет, а двойной - только в железках за много-много килобаксов? Да, циска 851.

И вдогонку: есть ли в циске аналоги snat и dnat? Можно было бы на них тогда сварганить. И ещё: если нет vrf, может как-то через loopback попробовать?

Есть циска, за которой локалка, которой хотим заменить 2003 сервер с керио. Что есть: домен вида local.site.ru, который работает как из мира, так и локалки и ведёт внутрь нашей сети. Пробросы большого количества портов внутрь на разные айпи. Также есть куча доменов, ведущих на наш айпи, в том числе вообще никак нам не подконтрольных. Поэтому что требуется: такая же работа но на циске. Работа из офиса через эту циску есть, доступ из мира в локалку есть. НО - нет доступа из локалки в локалку же. Поскольку доменов ссылается достаточно много, вариант решения через view для локалки не вариант вообще, плюс иногда на внешних доменах сами владельцы меняют записи, когда например что-то из тестового режима переводится в рабочий и выставляется на нормальных серверах. И получается, что в такой схеме из офиса будет видна старая версия, а всем в инете - новая. Или надо пилить костыли, которые будут проверять, ссылается ли сейчас этот домен на нас, и если да - делать подмену ответа на локальную версию, если же нет - отдавать нормальный ответ. Плюс - гит и свн у нас висят на нестандартных портах в инет и на стандартных в локалке, вдобавок разные порты - разные сервера. Так что нужен маппинг портов. Получается, для локалки у нас будет двойной нат - сначала с локалки "в мир", потом второй нат с маппингом в локалку. Вопрос - как это сделать. И можно ли обойтись без vrf, которого вроде как в нашей циске нет.

как вообще может быть маршрутизатор без ната? Это ж простой l3-свич иначе будет..