Зарегистрирован: Sun Mar 11 2007, 03:10PM Сообщений: 91
Компьютер имеет две сетевые карты, одна из которых подсоединена к интернету через DSL модем, вторая подсоединена к служебной локальной сети организации, т.е. компьютер имеет два IP-адреса приватный и публичный в соответствии с сетевыми интерфейсами. Маршрутизация отсутствует. Политика сетевой безопасности организации запрещает физический контакт служебной сети и интернета. Является ли подобное подключение нарушением политики сетевой безопасности, возможно, ли проникновение через подобный узел из интернета в служебную сеть, возможно ли этого избежать при подобном подключении? Нет, работы я не люблю. Я предпочитаю бездельничать и мечтать о том, сколько чудесного можно было бы сделать. Я не люблю работы - никто ее не любит, - но мне нравится, что она дает нам возможность найти себя, наше подлинное "я", скрытое от всех остальных, найти его для себя, не для других. Люди видят лишь внешнюю оболочку и никогда не могут сказать, что за ней скрывается.
Зарегистрирован: Fri May 05 2006, 08:21AM Сообщений: 93
Если на данном компьютере не предприняты специальные меры по защите, то практически вы выставили вашу сеть в Интернет и нарушили политику сетевой безопасности. Под специальными мерами я понимаю : 1. Хотя-бы включенный фаервол с вразумительными правилами блокировки всего из сети внешней. 2. Лучше конечно установить специализированный фаервол, прокси на данный компьютер. Например ISA Server 2006 от Microsoft. Настроить небходимые правила и постоянно обновлять ПО. Это конечно не панацея , но в таком варианте Вы уже не нарушите политику безопасности.
Зарегистрирован: Thu Dec 07 2006, 05:35PM Сообщений: 12
Здравствуйте. Похожая же проблема и у меня. Посоветуйте, как лучше поступить…
Есть сервер linux, на нем прокси-сервер, 3 сетевых платы. Одна соединена с adsl модемом, другие смотрят в сеть. Все компы сети выходят в Интернет через прокси. Firewall не работает.
Сейчас хотят статический ip адрес (хотят пользоваться определенным сетевым сервисом на 5-10 компах, который привязан к определенному ip адресу).
Статический ip – это дополнительные требования к безопасности, а у меня и так все плохо.
Настраивать firewall на сервере? А как быть с сетевым сервисом? Спасибо.
Зарегистрирован: Fri May 05 2006, 08:21AM Сообщений: 93
В таком случае на фаерволе - прокси настраивают NAT (как бы выставляют компьютеры во внешнюю сеть под конкретным статическим адресом или адресами). Для внешнего сетевого сервиса это как бы компьютеры с интернет адресами. А на вашем сервере linux поднимаете firewall и настраиваете правила между внешей зоной (внешняя сетевуха) и внутринними зонами (внутринние сетевые). Теоретически как то так. Хотя более правильно на фаерволе создать из трех карт три зоны: 1. Внутренняя сеть 2. ДМЗ (демилитаризованная зона) 3. Внешняя сеть (Интернет)
В ДМЗ помещают сервисы для ваботы с клиентами интернета (почту, веб сервер)
Зарегистрирован: Thu Dec 07 2006, 05:35PM Сообщений: 12
Спасибо... Вот сегодня целый день просидел с iptables вроде удалось что-то настроить. Пока только чать сервер-локальная сеть, а сервер-интернет, взял готовый какой-то(позже настрою как нужно): Запретил все. Затем разрешил только ping, apache, squid, dns, samba, MYSQL. Позже попробую настроить NAT для компьютеров, которые будут использовать веб-сервис (порты 80 и 7777) Почту пока не нужно.
Нужно еще перепроверить, что в том конфиге для сервер-интернет