svyaznoy Опубликовано 4 апреля, 2018 · Жалоба Доброго времени суток. Посоветуйте как правильно настроить Firewall (filter rules и nat) для ниже указанной схемы, если пользователи привязаны к железке со статическими айпинишками с маской/30? Кстати, в состав департамента входят множество отделов в разных офисах. Каждый департамент заводится в отдельный маршрутизатор с отдельным vlanом. Также нужно уточнить, что для разных пользователей в пределах одного департамента нужны доступы к разным сервисам, а не нужные необходимо закрыть. Настроить нужно закрытый файрвол. Для некоторых пользователей нужен выход в инет. Необходимо чтобы клиентов и сервисы для них можно было дабавлять, переключать и удалять и так далее. Жду от вас более развернутого ответа. Заранее спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 5 апреля, 2018 · Жалоба Я бы делал через VRF. На микротике, они реализованы криво (вероятно это устаревшая технология), но в принципе работать можно. Делаете разные ВРФы и общий для сервисов и рулите доступами между ними. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 6 апреля, 2018 · Жалоба И все бы ничего, но это не изоляция. Название одно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 6 апреля, 2018 · Жалоба Почему нет? Клиенты канеш могут постучаться на инт микротика в чужом врф (это косяк реализации микротика), но дальше то они не уйдут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 6 апреля, 2018 · Жалоба Если я правильно понял схему, то клиентам, находящимся в одном L2 сегменте назначили /30 сети. Прописываем себе /24 и общаемся с соседями сколько душе угодно Или на сетевку Alias назначить Так что дизайн - УГ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
.None Опубликовано 6 апреля, 2018 · Жалоба 1 час назад, myth сказал: Прописываем себе /24 и общаемся с соседями сколько душе угодно если прав хватит Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 6 апреля, 2018 · Жалоба Почему бы просто не ограничивать доступ по IP клиента доступ к сервисам на маршрутизаторе у серверов? И обслуживание резко становится простым и понятным... 10 часов назад, .None сказал: если прав хватит когда я был молодым и неопытным админом и открыл для себя маски подсети, тоже думал, что это просто, удобно и безопасно. Но это не так. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 7 апреля, 2018 (изменено) · Жалоба А при добавлении новых сервисов постоянно править правила фаера, мне кажется это не очень удобно. Маски, это конечно же лажа. Пользователей надо делать по уровням их доступа к различным сервисам. Удобнее это делать через врф ИМХО. Когда добавляется новый сервис или пользователь, он просто запихивается в нужный врф и все. Изменено 7 апреля, 2018 пользователем VolanD666 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 8 апреля, 2018 · Жалоба Горка ипсетов тоже подойдет. Особенно если юзеров не столь много Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...