Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
|
Крайне не рекомендую выставлять единственным сетевым интерфейсом Win2003 сервер в интернет, ибо налетит туча мелких африканских хакеров -)) 01.06.06 08:52 Число просмотров: 3084
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 01.06.06 08:52 Количество правок: 1
|
2003 сервер привязывает свои основные службы (lanmanserver, netbios и т.п.) к сетевым интерфейсам (карточкам сетевым), а не к IP адресам. Поэтому всё это будет видеться в интернете, елси выставить два IP на интерфейс.
Лучший вариант защиты — установить отдельно на другой, можно не очень мощный компьютер, брандмауэр на проверенной надёжной ОС вроде Linux или *BSD, там же поднять NAT для пользователей, а нужные TCP порты, которые должен "слушать" Win2003, прокинуть на win2003 средствами брандмауэра.
Такое моё ИМХО.
|
|
<networking>
|
NAT на одном сетевом интерфейсе под Windows 2003 Server 01.06.06 06:36
Автор: xxx45xxx Статус: Незарегистрированный пользователь
|
Доброго времени суток, уважаемые читатели сей ветки.
Помогите, пожалуйста, разобраться со следущей ситуацией:
Имеется Win2003ServerEE, один сетевой интерфейс REALTEK 8139 и два IP адреса на нем 10.0.100.1 (маска 255.255.255.0) и 195.19.x.y (маска 255.255.255.0).
Первый для локалки (наш офис).
Второй является анонсированным постоянным внешним интернет-адресом, доступным хоть из Африки.
Задача:
Получить компьютерам офиса полный доступ в интернет ( TCP/UDP/ICMP и пр ).
Компьютеры в офисе соединены посредством витой пары и обычных свичей.
Из одного из таких свичей уходит провод к интернет-провайдеру.
Люди знающие, помогите настроить NAT на одном интерфейсе.
P.S. в линуксе это возможно
вот похожая ситуация
http://www.nestor.minsk.by/sr/2004/06/40609.html
но есть требование сделать то же самое на Win2003Server
P.P.S. об подсчете трафика пока не заморачиваться, хотя в будущем, несомненно, будет нужно.
|
|
isa 2004 это умеет 04.06.06 21:12
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
|
|
|
Крайне не рекомендую выставлять единственным сетевым интерфейсом Win2003 сервер в интернет, ибо налетит туча мелких африканских хакеров -)) 01.06.06 08:52
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 01.06.06 08:52 Количество правок: 1
|
2003 сервер привязывает свои основные службы (lanmanserver, netbios и т.п.) к сетевым интерфейсам (карточкам сетевым), а не к IP адресам. Поэтому всё это будет видеться в интернете, елси выставить два IP на интерфейс.
Лучший вариант защиты — установить отдельно на другой, можно не очень мощный компьютер, брандмауэр на проверенной надёжной ОС вроде Linux или *BSD, там же поднять NAT для пользователей, а нужные TCP порты, которые должен "слушать" Win2003, прокинуть на win2003 средствами брандмауэра.
Такое моё ИМХО.
|
| |
На сервере стоит хорошо настроенный файрвол. 04.06.06 19:01
Автор: xxx45xxx Статус: Незарегистрированный пользователь
|
> 2003 сервер привязывает свои основные службы (lanmanserver,
> netbios и т.п.) к сетевым интерфейсам (карточкам сетевым),
> а не к IP адресам. Поэтому всё это будет видеться в
> интернете, елси выставить два IP на интерфейс.
>
> Лучший вариант защиты — установить отдельно на другой,
> можно не очень мощный компьютер, брандмауэр на проверенной
> надёжной ОС вроде Linux или *BSD, там же поднять NAT для
> пользователей, а нужные TCP порты, которые должен "слушать"
> Win2003, прокинуть на win2003 средствами брандмауэра.
>
> Такое моё ИМХО.
На сервере стоит хорошо настроенный файрвол.
Вопрос на самом деле заключался в другом...
|
| | |
Работал с исой достаточно долго. Перед исой всегда ставили... 06.06.06 06:13
Автор: void <Grebnev Valery> Статус: Elderman
|
> > 2003 сервер привязывает свои основные службы
> (lanmanserver,
> > netbios и т.п.) к сетевым интерфейсам (карточкам
> сетевым),
> > а не к IP адресам. Поэтому всё это будет видеться в
> > интернете, елси выставить два IP на интерфейс.
> >
> > Лучший вариант защиты — установить отдельно на другой,
> > можно не очень мощный компьютер, брандмауэр на
> проверенной
> > надёжной ОС вроде Linux или *BSD, там же поднять NAT
> для
> > пользователей, а нужные TCP порты, которые должен
> "слушать"
> > Win2003, прокинуть на win2003 средствами брандмауэра.
> >
> > Такое моё ИМХО.
>
>
> На сервере стоит хорошо настроенный файрвол.
> Вопрос на самом деле заключался в другом...
Работал с исой достаточно долго. Перед исой всегда ставили сиску или БСД. В таком случае - иса хорошая и удобная штука.
ПС. А почему бы не поставить на ису вторую карточку (я всегда так делал). Локальный интерфейс - в ЛАН, а паблик - в сиску.
|
| | | |
сиска - я так понял = маршрутизатор cisco, принадлежащий... 07.06.06 23:09
Автор: xxx45xxx Статус: Незарегистрированный пользователь
|
> > > 2003 сервер привязывает свои основные службы
> > (lanmanserver,
> > > netbios и т.п.) к сетевым интерфейсам (карточкам
> > сетевым),
> > > а не к IP адресам. Поэтому всё это будет видеться
> в
> > > интернете, елси выставить два IP на интерфейс.
> > >
> > > Лучший вариант защиты — установить отдельно на
> другой,
> > > можно не очень мощный компьютер, брандмауэр на
> > проверенной
> > > надёжной ОС вроде Linux или *BSD, там же поднять
> NAT
> > для
> > > пользователей, а нужные TCP порты, которые должен
> > "слушать"
> > > Win2003, прокинуть на win2003 средствами
> брандмауэра.
> > >
> > > Такое моё ИМХО.
> >
> >
> > На сервере стоит хорошо настроенный файрвол.
> > Вопрос на самом деле заключался в другом...
>
> Работал с исой достаточно долго. Перед исой всегда ставили
> сиску или БСД. В таком случае - иса хорошая и удобная
> штука.
>
> ПС. А почему бы не поставить на ису вторую карточку (я
> всегда так делал). Локальный интерфейс - в ЛАН, а паблик -
> в сиску.
сиска - я так понял = маршрутизатор CISCO, принадлежащий провайдеру? :/
провод, идущий к провайдеру, воткнут в свитч и не доходит до сервера, чтобы провести упомянутую выше процедуру...
интересно, будет работать если с одного компа будут идти два провода (соотв будет 2 интерфейса) в один свитч? :/
|
| | | | |
Да. Cisco произносится "си/ыско". Второй звук произносится,... 09.06.06 04:33
Автор: void <Grebnev Valery> Статус: Elderman
|
>
> сиска - я так понял = маршрутизатор CISCO, принадлежащий
> провайдеру? :/
>
Да. Cisco произносится "си/ыско". Второй звук произносится, как среднее между 'ы' и 'и'.
Если не ошибаюсь.
> интересно, будет работать если с одного компа будут идти
> два провода (соотв будет 2 интерфейса) в один свитч? :/
Смотря, что ты потом будешь делать с этими проводами.
Если это будет два разных VLAN - то можно.
VLAN1 - "внешний" интерфейс ISA + интерфейс провайдера.
VLAN2 - "внутренний" интерфейс ISA + интерфейсы девайса/сов LAN.
Это работающее, но очень плохое решение, даже при использование неплохих железок, типа сиско.
Не советую.
|
| | | | | |
Cisco иногда еще называют Киской. 13.06.06 18:37
Автор: Den <Denis> Статус: The Elderman
|
|
|
| | | | | | |
Нет. 14.06.06 04:56
Автор: void <Grebnev Valery> Статус: Elderman
Отредактировано 14.06.06 04:58 Количество правок: 1
|
|
(Если не учитывать, что виндовз иногда называют мастэлайв :)
|
| | | | | | | |
Это не шутка. :)) 14.06.06 12:57
Автор: Den <Denis> Статус: The Elderman
|
|
|
| | | | | | | |
Да-да... А тех, кто возится с цисками, ещё называют «кошководами» ;-) 14.06.06 07:11
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 14.06.06 07:12 Количество правок: 1
|
|
|
|
|
подробно о проекте
Анализ криптографических сетевых...
