информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Сетевые кракеры и правда о деле ЛевинаSpanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Крупный взлом GoDaddy 
 Просроченный сертификат ломает... 
 Phrack #70/0x46 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / networking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Работал с исой достаточно долго. Перед исой всегда ставили... 06.06.06 06:13  Число просмотров: 2814
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка>
> > 2003 сервер привязывает свои основные службы
> (lanmanserver,
> > netbios и т.п.) к сетевым интерфейсам (карточкам
> сетевым),
> > а не к IP адресам. Поэтому всё это будет видеться в
> > интернете, елси выставить два IP на интерфейс.
> >
> > Лучший вариант защиты — установить отдельно на другой,
> > можно не очень мощный компьютер, брандмауэр на
> проверенной
> > надёжной ОС вроде Linux или *BSD, там же поднять NAT
> для
> > пользователей, а нужные TCP порты, которые должен
> "слушать"
> > Win2003, прокинуть на win2003 средствами брандмауэра.
> >
> > Такое моё ИМХО.
>
>
> На сервере стоит хорошо настроенный файрвол.
> Вопрос на самом деле заключался в другом...

Работал с исой достаточно долго. Перед исой всегда ставили сиску или БСД. В таком случае - иса хорошая и удобная штука.

ПС. А почему бы не поставить на ису вторую карточку (я всегда так делал). Локальный интерфейс - в ЛАН, а паблик - в сиску.
<networking>
NAT на одном сетевом интерфейсе под Windows 2003 Server 01.06.06 06:36  
Автор: xxx45xxx Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Доброго времени суток, уважаемые читатели сей ветки.

Помогите, пожалуйста, разобраться со следущей ситуацией:

Имеется Win2003ServerEE, один сетевой интерфейс REALTEK 8139 и два IP адреса на нем 10.0.100.1 (маска 255.255.255.0) и 195.19.x.y (маска 255.255.255.0).
Первый для локалки (наш офис).
Второй является анонсированным постоянным внешним интернет-адресом, доступным хоть из Африки.

Задача:
Получить компьютерам офиса полный доступ в интернет ( TCP/UDP/ICMP и пр ).

Компьютеры в офисе соединены посредством витой пары и обычных свичей.
Из одного из таких свичей уходит провод к интернет-провайдеру.

Люди знающие, помогите настроить NAT на одном интерфейсе.

P.S. в линуксе это возможно
вот похожая ситуация
http://www.nestor.minsk.by/sr/2004/06/40609.html
но есть требование сделать то же самое на Win2003Server

P.P.S. об подсчете трафика пока не заморачиваться, хотя в будущем, несомненно, будет нужно.
isa 2004 это умеет 04.06.06 21:12  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
Крайне не рекомендую выставлять единственным сетевым интерфейсом Win2003 сервер в интернет, ибо налетит туча мелких африканских хакеров -)) 01.06.06 08:52  
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 01.06.06 08:52  Количество правок: 1
<"чистая" ссылка>
2003 сервер привязывает свои основные службы (lanmanserver, netbios и т.п.) к сетевым интерфейсам (карточкам сетевым), а не к IP адресам. Поэтому всё это будет видеться в интернете, елси выставить два IP на интерфейс.

Лучший вариант защиты — установить отдельно на другой, можно не очень мощный компьютер, брандмауэр на проверенной надёжной ОС вроде Linux или *BSD, там же поднять NAT для пользователей, а нужные TCP порты, которые должен "слушать" Win2003, прокинуть на win2003 средствами брандмауэра.

Такое моё ИМХО.
На сервере стоит хорошо настроенный файрвол. 04.06.06 19:01  
Автор: xxx45xxx Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> 2003 сервер привязывает свои основные службы (lanmanserver,
> netbios и т.п.) к сетевым интерфейсам (карточкам сетевым),
> а не к IP адресам. Поэтому всё это будет видеться в
> интернете, елси выставить два IP на интерфейс.
>
> Лучший вариант защиты — установить отдельно на другой,
> можно не очень мощный компьютер, брандмауэр на проверенной
> надёжной ОС вроде Linux или *BSD, там же поднять NAT для
> пользователей, а нужные TCP порты, которые должен "слушать"
> Win2003, прокинуть на win2003 средствами брандмауэра.
>
> Такое моё ИМХО.


На сервере стоит хорошо настроенный файрвол.
Вопрос на самом деле заключался в другом...
Работал с исой достаточно долго. Перед исой всегда ставили... 06.06.06 06:13  
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка>
> > 2003 сервер привязывает свои основные службы
> (lanmanserver,
> > netbios и т.п.) к сетевым интерфейсам (карточкам
> сетевым),
> > а не к IP адресам. Поэтому всё это будет видеться в
> > интернете, елси выставить два IP на интерфейс.
> >
> > Лучший вариант защиты — установить отдельно на другой,
> > можно не очень мощный компьютер, брандмауэр на
> проверенной
> > надёжной ОС вроде Linux или *BSD, там же поднять NAT
> для
> > пользователей, а нужные TCP порты, которые должен
> "слушать"
> > Win2003, прокинуть на win2003 средствами брандмауэра.
> >
> > Такое моё ИМХО.
>
>
> На сервере стоит хорошо настроенный файрвол.
> Вопрос на самом деле заключался в другом...

Работал с исой достаточно долго. Перед исой всегда ставили сиску или БСД. В таком случае - иса хорошая и удобная штука.

ПС. А почему бы не поставить на ису вторую карточку (я всегда так делал). Локальный интерфейс - в ЛАН, а паблик - в сиску.
сиска - я так понял = маршрутизатор cisco, принадлежащий... 07.06.06 23:09  
Автор: xxx45xxx Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> > > 2003 сервер привязывает свои основные службы
> > (lanmanserver,
> > > netbios и т.п.) к сетевым интерфейсам (карточкам
> > сетевым),
> > > а не к IP адресам. Поэтому всё это будет видеться
> в
> > > интернете, елси выставить два IP на интерфейс.
> > >
> > > Лучший вариант защиты — установить отдельно на
> другой,
> > > можно не очень мощный компьютер, брандмауэр на
> > проверенной
> > > надёжной ОС вроде Linux или *BSD, там же поднять
> NAT
> > для
> > > пользователей, а нужные TCP порты, которые должен
> > "слушать"
> > > Win2003, прокинуть на win2003 средствами
> брандмауэра.
> > >
> > > Такое моё ИМХО.
> >
> >
> > На сервере стоит хорошо настроенный файрвол.
> > Вопрос на самом деле заключался в другом...
>
> Работал с исой достаточно долго. Перед исой всегда ставили
> сиску или БСД. В таком случае - иса хорошая и удобная
> штука.
>
> ПС. А почему бы не поставить на ису вторую карточку (я
> всегда так делал). Локальный интерфейс - в ЛАН, а паблик -
> в сиску.

сиска - я так понял = маршрутизатор CISCO, принадлежащий провайдеру? :/


провод, идущий к провайдеру, воткнут в свитч и не доходит до сервера, чтобы провести упомянутую выше процедуру...

интересно, будет работать если с одного компа будут идти два провода (соотв будет 2 интерфейса) в один свитч? :/
Да. Cisco произносится "си/ыско". Второй звук произносится,... 09.06.06 04:33  
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка>
>
> сиска - я так понял = маршрутизатор CISCO, принадлежащий
> провайдеру? :/
>

Да. Cisco произносится "си/ыско". Второй звук произносится, как среднее между 'ы' и 'и'.
Если не ошибаюсь.

> интересно, будет работать если с одного компа будут идти
> два провода (соотв будет 2 интерфейса) в один свитч? :/

Смотря, что ты потом будешь делать с этими проводами.
Если это будет два разных VLAN - то можно.

VLAN1 - "внешний" интерфейс ISA + интерфейс провайдера.
VLAN2 - "внутренний" интерфейс ISA + интерфейсы девайса/сов LAN.

Это работающее, но очень плохое решение, даже при использование неплохих железок, типа сиско.
Не советую.
Cisco иногда еще называют Киской. 13.06.06 18:37  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
Нет. 14.06.06 04:56  
Автор: void <Grebnev Valery> Статус: Elderman
Отредактировано 14.06.06 04:58  Количество правок: 1
<"чистая" ссылка>
(Если не учитывать, что виндовз иногда называют мастэлайв :)
Это не шутка. :)) 14.06.06 12:57  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
Да-да... А тех, кто возится с цисками, ещё называют «кошководами» ;-) 14.06.06 07:11  
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 14.06.06 07:12  Количество правок: 1
<"чистая" ссылка>
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach