Bezpecnostni rozdeleni segmentu ?
Zdenek Kaminski
xkaminsk na fi.muni.cz
Sobota Říjen 12 02:59:33 CEST 2002
Dobry den,
On Fri, 11 Oct 2002, Turoň Ivo Ing. wrote:
> Zajimalo by mne jestli uz nekdo zkousel mit dva segmenty site ( u mne
> konkretne dve VLAN site ) , ktere by byly ve stejnem segmentu cislovani IP
> a.b.c.d. Urcite neni problem vytvorit jednotny plan tak aby se v obou sitich
Ano zkousel. Mel jsem mimo jine dve sitkovky, obe mely stejnou IP adresu i
masku a v te jedne "siti" jsem mel jen par stroju a na ne jsem omezoval
pristup. Pouzil jsem takovy postup, kdy jsem mel nastavenou routovani one
site do sitovky s "vetsim poctem komplu" a staticky nastavene routovani
onech par komplu do druhe sitkovy a samozrejme jsem nezapomel na proxy
arp.
No a v iptables pak jen omezoval pristup v pravidlech forward...
Ale bylo to davno a potreboval jsem to udelat rychle a nebyl cas na
zkoumani moznych reseni a protoze jsem byl zacatecnik, tak ani nevim,
jestli to je to nejelegantnejsi. A protoze jsem to uz nikdy nepotreboval,
tak jsem nad tim nebadal ani dale.
Ale mozna to pujde elegantneji vyresit pres bridging ci jak se to
jmenuje :)
No a pokud nepozadujete striktne to, ze to musi byt dva segmenty, tak
si ten Vas stavajici rozdelte...
> nevyskytly stejne IP. V te chranene by stejne byly jen nastavitelne prvky
> site jako jsou switche a chci aby k nastavovani a monitoringu mnely pristup
> jen vybrana PC z globalni site PC.
> Da se neco takoveho uskutecnit nebo to bude muset byt v jinem segmentu.
> Pripadne co je treba nastavovat, jestli se to deje v IPTABLES ci v ROUTE ?
> Kazkou pomoc uvitam.
> Zatim je ten segment tak bezpecny ze se tam nedostanu ani ja pokud si tam
> nepripnu NTB.
>
Hezky den.
---------------------------------------------------------------------------
Bc. Zdenek Kaminski <xkaminsk at fi.muni.cz>
homepage: http://www.fi.muni.cz/~xkaminsk/
IPv6 router homepage: http://merlot.ics.muni.cz/
Další informace o konferenci Linux