NAT в одну сторону, routing в другую - возможно?29.05.03 13:23 Автор: ZloyShaman <ZloyShaman> Статус: Elderman Отредактировано 02.06.03 17:01 Количество правок: 1
Как можно осуществить что-нибудь подобное:
Предположим есть две сети: 10.0.1.0/24 и 10.0.2.0/24. Было бы не плохо поставить между ними ИСУ так:
10.0.1.1/24 - внутренний интерфейс.
10.0.2.1/24 - внешний интерфейс.
На машинах сети 10.0.1.0 прописан гейтвэй 10.0.1.1, и когда они хотят получить доступ к сети 10.0.2.0, то они НАТятся посредством ISA.
Когда же машины из сети 10.0.2.0 пытаются получить доступ к сети 10.0.1.0 - они должны роутится (естественно, пакетный фильтр ISA при этом должен работать).
Я так понял, без РРАС тут точно не обойтись.
Вдобавок вопрос безотносительно софта: есть ли теоретическая возможность субжа?
Получен довольно авторитетный ответ05.06.03 11:28 Автор: ZloyShaman <ZloyShaman> Статус: Elderman
> Как можно осуществить что-нибудь подобное: > Предположим есть две сети: 10.0.1.0/24 и 10.0.2.0/24. Извиняюсь за темноту, но 10.0.1.0 и 10.0.2.0 при маске подсети 255.0.0.0 (/24)- это не одна ли сеть?
> На машинах сети 10.0.1.0 прописан гейтвэй 10.0.1.1, и когда > они хотят получить доступ к сети 10.0.2.0, то они НАТятся > посредством ISA. > Когда же машины из сети 10.0.2.0 пытаются получить доступ к > сети 10.0.1.0 - они должны роутится (естественно, пакетный > фильтр ISA при этом должен работать). Еще раз прошу прощения, но NAT разве работает не в две стороны? Или имеется в виду только случай, если TCP-соединение инициируется из 10.0.2.0 в сторону 10.0.1.0?
> Вдобавок вопрос безотносительно софта: есть ли > теоретическая возможность субжа? Теоретически, по-моему, разрулить такое можно... По крайней мере если речь о том, что я написал выше, то задача алгоритмически разрешима :)
Ну, почти принципиально (можно добавить к ней RRAS) (поправлено)29.05.03 15:23 Автор: ZloyShaman <ZloyShaman> Статус: Elderman Отредактировано 29.05.03 15:33 Количество правок: 1
Просто в ИСЕ интересуют вкусности: рулеса, доменная идентификация, примочки к ней.
> Извиняюсь за темноту, но 10.0.1.0 и 10.0.2.0 при маске > подсети 255.0.0.0 (/24)- это не одна ли сеть? Извиняюсь, сеть одна, подсети разные.
Как правильно поправил Costavaldes - маска тут 255.255.255.0
> Еще раз прошу прощения, но NAT разве работает не в две > стороны? Или имеется в виду только случай, если > TCP-соединение инициируется из 10.0.2.0 в сторону 10.0.1.0? Нужно чтобы: если соединение инициируется ИЗ 10.0.1.0 В 10.0.2.0, то НАТ. Если из 10.0.2.0 в 10.0.1.0 - то рутинг.
> Теоретически, по-моему, разрулить такое можно... По крайней > мере если речь о том, что я написал выше, то задача > алгоритмически разрешима :) Я тут тоже поразмыслил - теоретическая возможность вообще есть. Дело за реализацией ;)
М-да, опять протормозил...29.05.03 15:38 Автор: Ktirf <Æ Rusakov> Статус: Elderman Отредактировано 29.05.03 15:40 Количество правок: 1
> Просто в ИСЕ интересуют вкусности: рулеса, доменная > идентификация, примочки к ней. Ну правила, если не ощибаюсь, можно найти много где. С доменной идентификацией сложнее...
> > Извиняюсь за темноту, но 10.0.1.0 и 10.0.2.0 при маске > > подсети 255.0.0.0 (/24)- это не одна ли сеть? > Извиняюсь, сеть одна, подсети разные. Хм, да, действительно, с учетом того, что /24 - это 255.255.255.0, как правильно заметил Costavaldes... Не с той стороны посчитал :)
> Нужно чтобы: если соединение инициируется ИЗ 10.0.1.0 В > 10.0.2.0, то НАТ. Если из 10.0.2.0 в 10.0.1.0 - то рутинг. Можно придумать что-нибудь навроде такого: из 1 в 2 все как обычно, а для того, чтобы попасть из 2 в 1, машина из 2 должна соединиться с VPN, которой на самом деле является 1. Не очень глупо? Но тогда это сделать относительно нетрудно.
Всё не совсем так.29.05.03 16:03 Автор: ZloyShaman <ZloyShaman> Статус: Elderman
> Можно придумать что-нибудь навроде такого: из 1 в 2 все как > обычно, а для того, чтобы попасть из 2 в 1, машина из 2 > должна соединиться с VPN, которой на самом деле является 1. > Не очень глупо? Но тогда это сделать относительно нетрудно. во-первых. Для юезров сети 2 всё должно остаться без изменений (ну, порты конечно, закроются ненужные, но как они, например, коннетились в 1 по СМБ, так и долджны), т.е. всё прозрачно, т.е. никаких VPNов.
Вот ответ.29.05.03 15:23 Автор: Costavaldes Статус: Незарегистрированный пользователь Отредактировано 29.05.03 15:37 Количество правок: 1
> > Как можно осуществить что-нибудь подобное: > > Предположим есть две сети: 10.0.1.0/24 и 10.0.2.0/24. > Извиняюсь за темноту, но 10.0.1.0 и 10.0.2.0 при маске > подсети 255.0.0.0 (/24)- это не одна ли сеть? нет это две разных сетки класса С. /24 - означает 255.255.255.0 маску.
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
