Bezpecnostni rozdeleni segmentu ?

[Turoň Ivo Ing.]

> Zajimalo by mne jestli uz nekdo zkousel mit dva segmenty site ( u mne
> konkretne dve VLAN site ) , ktere by byly ve stejnem segmentu cislovani IP
> a.b.c.d. Urcite neni problem vytvorit jednotny plan tak aby se v obou
sitich

Ano zkousel. Mel jsem mimo jine dve sitkovky, obe mely stejnou IP adresu i
masku a v te jedne "siti" jsem mel jen par stroju a na ne jsem omezoval
pristup. Pouzil jsem takovy postup, kdy jsem mel nastavenou routovani one
site do sitovky s "vetsim poctem komplu" a staticky nastavene routovani
onech par komplu do druhe sitkovy a samozrejme jsem nezapomel na proxy
arp.

To je asi presne to co potrebuju. Nemate nejake stare skripty pro nastaveni
? Jako nakopnuti ze zacatku by se to hodilo.
Bridgovani pouzivam ale pouze pro zarizeni s MAC adresama a nejsem si jisty
ze to slape s IP ( pri tech MAC adresach pouzivam filtraci pomoci ebtables a
to slape zatim skvele ale ne na IP )

No a v iptables pak jen omezoval pristup v pravidlech forward...

Ale bylo to davno a potreboval jsem to udelat rychle a nebyl cas na
zkoumani moznych reseni a protoze jsem byl zacatecnik, tak ani nevim,
jestli to je to nejelegantnejsi. A protoze jsem to uz nikdy nepotreboval,
tak jsem nad tim nebadal ani dale. 

Ale mozna to pujde elegantneji vyresit pres bridging ci jak se to
jmenuje :)

No a pokud nepozadujete striktne to, ze to musi byt dva segmenty, tak
si ten Vas stavajici rozdelte... 

> nevyskytly stejne IP. V te chranene by stejne byly jen nastavitelne prvky
> site jako jsou switche a chci aby k nastavovani a monitoringu mnely
pristup
> jen vybrana PC z globalni site PC.
> Da se neco takoveho uskutecnit nebo to bude muset byt v jinem segmentu.
> Pripadne co je treba nastavovat, jestli se to deje v IPTABLES ci v ROUTE ?
> Kazkou pomoc uvitam.
> Zatim je ten segment tak bezpecny ze se tam nedostanu ani ja pokud si tam
> nepripnu NTB.
> 
-- 
ituron na et.trz.cz
Spravce PC a site
linuxovy zacatecnik a nadsenec