svyaznoy Posted April 4, 2018 Posted April 4, 2018 Доброго времени суток. Посоветуйте как правильно настроить Firewall (filter rules и nat) для ниже указанной схемы, если пользователи привязаны к железке со статическими айпинишками с маской/30? Кстати, в состав департамента входят множество отделов в разных офисах. Каждый департамент заводится в отдельный маршрутизатор с отдельным vlanом. Также нужно уточнить, что для разных пользователей в пределах одного департамента нужны доступы к разным сервисам, а не нужные необходимо закрыть. Настроить нужно закрытый файрвол. Для некоторых пользователей нужен выход в инет. Необходимо чтобы клиентов и сервисы для них можно было дабавлять, переключать и удалять и так далее. Жду от вас более развернутого ответа. Заранее спасибо. Вставить ник Quote
VolanD666 Posted April 5, 2018 Posted April 5, 2018 Я бы делал через VRF. На микротике, они реализованы криво (вероятно это устаревшая технология), но в принципе работать можно. Делаете разные ВРФы и общий для сервисов и рулите доступами между ними. Вставить ник Quote
myth Posted April 6, 2018 Posted April 6, 2018 И все бы ничего, но это не изоляция. Название одно. Вставить ник Quote
VolanD666 Posted April 6, 2018 Posted April 6, 2018 Почему нет? Клиенты канеш могут постучаться на инт микротика в чужом врф (это косяк реализации микротика), но дальше то они не уйдут. Вставить ник Quote
myth Posted April 6, 2018 Posted April 6, 2018 Если я правильно понял схему, то клиентам, находящимся в одном L2 сегменте назначили /30 сети. Прописываем себе /24 и общаемся с соседями сколько душе угодно Или на сетевку Alias назначить Так что дизайн - УГ Вставить ник Quote
.None Posted April 6, 2018 Posted April 6, 2018 1 час назад, myth сказал: Прописываем себе /24 и общаемся с соседями сколько душе угодно если прав хватит Вставить ник Quote
myth Posted April 6, 2018 Posted April 6, 2018 Почему бы просто не ограничивать доступ по IP клиента доступ к сервисам на маршрутизаторе у серверов? И обслуживание резко становится простым и понятным... 10 часов назад, .None сказал: если прав хватит когда я был молодым и неопытным админом и открыл для себя маски подсети, тоже думал, что это просто, удобно и безопасно. Но это не так. Вставить ник Quote
VolanD666 Posted April 7, 2018 Posted April 7, 2018 (edited) А при добавлении новых сервисов постоянно править правила фаера, мне кажется это не очень удобно. Маски, это конечно же лажа. Пользователей надо делать по уровням их доступа к различным сервисам. Удобнее это делать через врф ИМХО. Когда добавляется новый сервис или пользователь, он просто запихивается в нужный врф и все. Edited April 7, 2018 by VolanD666 Вставить ник Quote
myth Posted April 8, 2018 Posted April 8, 2018 Горка ипсетов тоже подойдет. Особенно если юзеров не столь много Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.