форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Организация сети"

Сообщение от skydion (ok) on 09-Ноя-07, 15:38

Есть сеть, получил по наследству :) Сеть построена на базе управляемых свичей AT8024 в свиче есть возможность указать дефолтовый шлюз, за чем спрашиваю, нужно весь трафик передавать на одну машину которая выходит в большой мир. Проблемка в том что в сеть воткнут роутер провайдер для радио интернета, он имеет внутренний адрес и он мной не управляется, рулит им провайдер, соответсвенно введя адрес роутера можно выходить в нет в обход сквида, фаервола... короче беспредел. Хочу этот вопрос решить, такие есть мысли... 1. воткнуть роутер провайдер в шлюзовой сервак, закрить это дело в шкафчике ополомбировать, но в шкафчике еще есть сервера, так что не очень хорошо, кроме этого есть другой админ который може туда руки сунуть, тоесть могут быть проблемы, поэтому обдумываю другой варинт. 2. задать на свиче дефолтовый шлюз на мой сервер в который буте воткнут роутер, но вроде это ничего не даст как я понял немного погуглив... Подскажите как это возможно сделать, еще будет привязка мак-адресов к портам, но это другой вопрос.

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Организация сети"

Сообщение от biffant (ok) on 09-Ноя-07, 15:45

В данном случае просто необходимо воткнуть какую-то подконтрольную Вам умную железку между юзерами и роутером прова, а дальше дело техники. От другого админа ничего не спасет, если у него будет физический доступ ко всему оборудованию. Почему не сработает второй вариант, ведь таким образом можно закрыть на iptables весь прямой трафик от несервера к роутеру?..

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Организация сети"
	Сообщение от skydion (ok) on 09-Ноя-07, 16:17
	>В данном случае просто необходимо воткнуть какую-то подконтрольную Вам умную железку между >юзерами и роутером прова, а дальше дело техники. От другого админа >ничего не спасет, если у него будет физический доступ ко всему >оборудованию. > >Почему не сработает второй вариант, ведь таким образом можно закрыть на iptables >весь прямой трафик от несервера к роутеру?.. Так вот и спрашиваю, если на свичах указать шлюз на мой GATE то при отключении этого сервера отрубается выход в нет? Если да тогда это выход, сейчас установил пароли на свичах, и доступа к ним другому админу не будет, не его это задачи.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Организация сети"
	Сообщение от biffant (ok) on 09-Ноя-07, 16:38
	> Так вот и спрашиваю, если на свичах указать шлюз на мой GATE то при отключении этого сервера отрубается выход в нет? Естественно будет отрубаться, если сервер отключается и никакие сервисы и файрволл не работает, то инет если и будет работать, то бесконтрольно - кому это надо? Если нужна отказоустойчивость то придется ставить избыточный сервер либо поднимать систему интеллектуальных свечек с использованием spanning tree и подобных технологий, но это будет недешево... >Если да тогда это выход, сейчас установил пароли на свичах, и доступа к ним другому админу не будет, не его это задачи. Я о том что при физическом доступе админ может принести свои свечки и переткнуть все по-своему.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Организация сети"
	Сообщение от skydion (ok) on 09-Ноя-07, 16:45
	>[оверквотинг удален] >Естественно будет отрубаться, если сервер отключается и никакие сервисы и файрволл не >работает, то инет если и будет работать, то бесконтрольно - кому >это надо? Если нужна отказоустойчивость то придется ставить избыточный сервер либо >поднимать систему интеллектуальных свечек с использованием spanning tree и подобных технологий, >но это будет недешево... > >>Если да тогда это выход, сейчас установил пароли на свичах, и доступа к ним другому админу не будет, не его это задачи. > >Я о том что при физическом доступе админ может принести свои свечки >и переткнуть все по-своему. spanning tree имеющиеся свичи и сейчас поддерживают но что это даст? Да нет этого пока навряд будет... значит план приблизительно такой 1. поднимаем свой сервак GATE в него врубаем роутер провайдера. На серваке натим все в мир 2. на свичах устанавливаем гейт на сервер GATE 3. со временем делаем привязку мак-адресов к портам на свичах 4. по идее на юерских станциях тепер не нужно указывать шлюз по умолчанию? По идее для начала нормально, обход этого всего я вижу только если подключится напрямую к роутеру, да? Если изолировать роутер, то и эта возможность пропадет?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Организация сети"
	Сообщение от biffant (ok) on 09-Ноя-07, 17:17
	>spanning tree имеющиеся свичи и сейчас поддерживают но что это даст? Это даст автоматический выбор маршрута до провайдера при отключении сервера либо свитча, отвечающего за авторизацию пользователей. Т.е. отказоустойчивость сети, за что боролись >4. по идее на юерских станциях тепер не нужно указывать шлюз по >умолчанию? Почему же не нужно, рабочая станция TCP/IP сети разве может работать без шлюза по-умолчанию? Рекомендую запустить в локальной сети DHCP-протокол и выдавать на основе MAC клиенту его IP, шлюз, сервера имен и т.д. >По идее для начала нормально, обход этого всего я вижу только если >подключится напрямую к роутеру, да? Если изолировать роутер, то и эта >возможность пропадет? При грамотной настройке сервера и использовании стабильного недревнего софта, думаю обойти эту защиту сложно
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Организация сети"
	Сообщение от skydion (ok) on 09-Ноя-07, 17:25
	>Это даст автоматический выбор маршрута до провайдера при отключении сервера либо свитча, >отвечающего за авторизацию пользователей. Т.е. отказоустойчивость сети, за что боролись > Ну хорошо, а если на свичах будет привязка к мак-адресам то роутер уже в свич не втыкнуть, тогда остается только напрямую в комп и только тогда в нет, это я о том другом админе говорю :) >>4. по идее на юерских станциях тепер не нужно указывать шлюз по >>умолчанию? > >Почему же не нужно, рабочая станция TCP/IP сети разве может работать без >шлюза по-умолчанию? > Ну впринципе да... не может ;) >Рекомендую запустить в локальной сети DHCP-протокол и выдавать на основе MAC клиенту >его IP, шлюз, сервера имен и т.д. > Да это я тоже хочу сделать. >>По идее для начала нормально, обход этого всего я вижу только если >>подключится напрямую к роутеру, да? Если изолировать роутер, то и эта >>возможность пропадет? > >При грамотной настройке сервера и использовании стабильного недревнего софта, думаю обойти эту защиту сложно Ну спасибо, значит так и будем делать, а то сидел и думал как это сделать...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Организация сети"

Сообщение от Slimm (??) on 09-Ноя-07, 17:20

дефолтовый шлюз на коммутаторе прописывается для управления коммутатором по IP но ни как не для коммутации пакетов на этот шлюз если вы хотите сделать, чтобы трафик шел через одну машину с проксей, то пусть эта машина и будет вашим шлюзом во внутренней сети, а шлюз провайдера будет для этой машины-прокси шлюзом поумолчанию

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Организация сети"
	Сообщение от skydion (ok) on 09-Ноя-07, 17:28
	>дефолтовый шлюз на коммутаторе прописывается для управления коммутатором по IP но ни >как не для коммутации пакетов на этот шлюз > Сейчас у меня на свичах не прописан шлюз по умолчанию и я могу на свичи заходить через сеть. >если вы хотите сделать, чтобы трафик шел через одну машину с проксей, >то пусть эта машина и будет вашим шлюзом во внутренней сети, >а шлюз провайдера будет для этой машины-прокси шлюзом поумолчанию Я так и хочу сделать, но на всех свичах в сети прописать шлюзом по умолчанию адрес моего прокси. Я правильно понял?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Организация сети"
	Сообщение от Slimm (??) on 09-Ноя-07, 17:35
	>>дефолтовый шлюз на коммутаторе прописывается для управления коммутатором по IP но ни >>как не для коммутации пакетов на этот шлюз >> > >Сейчас у меня на свичах не прописан шлюз по умолчанию и я >могу на свичи заходить через сеть. предполагаю что вы в одной сети с коммутаторами находитесь, поэтому шлюз и не нужен > >>если вы хотите сделать, чтобы трафик шел через одну машину с проксей, >>то пусть эта машина и будет вашим шлюзом во внутренней сети, >>а шлюз провайдера будет для этой машины-прокси шлюзом поумолчанию > >Я так и хочу сделать, но на всех свичах в сети прописать >шлюзом по умолчанию адрес моего прокси. Я правильно понял? это бред
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Организация сети"
	Сообщение от skydion (ok) on 09-Ноя-07, 17:38
	>>>дефолтовый шлюз на коммутаторе прописывается для управления коммутатором по IP но ни >>>как не для коммутации пакетов на этот шлюз >>> >> >>Сейчас у меня на свичах не прописан шлюз по умолчанию и я >>могу на свичи заходить через сеть. > >предполагаю что вы в одной сети с коммутаторами находитесь, поэтому шлюз и >не нужен > да в одной, плоская сеть >> >>>если вы хотите сделать, чтобы трафик шел через одну машину с проксей, >>>то пусть эта машина и будет вашим шлюзом во внутренней сети, >>>а шлюз провайдера будет для этой машины-прокси шлюзом поумолчанию >> >>Я так и хочу сделать, но на всех свичах в сети прописать >>шлюзом по умолчанию адрес моего прокси. Я правильно понял? > >это бред хорошо тогда дайте дельный совет, как это сделать, исходя из проблемы
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "Организация сети"
	Сообщение от Slimm (??) on 09-Ноя-07, 17:46
	1) отделить радио-маршрутизатор от лок.сети в отдельную сеть 2) соеденить лок.сеть и новую подсеточку маршрутизатором-прокси с двумя интерфейсами 3) скорее всего придется сменить адреса в лок.сети или поиграться с маской тут не знаю так как надо смотреть 4) прописать (а лучше dhcp) всем в качестве шлюза адрес адрес маршрутизатора-прокси 5) поднять нат, файрвол, проксю и т.п. если возникнут вопросы, пишите больше исходных данных
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	16. "Организация сети"
	Сообщение от skydion (ok) on 09-Ноя-07, 17:58
	>1) отделить радио-маршрутизатор от лок.сети в отдельную сеть можно но нужно к провайдеру нести >2) соеденить лок.сеть и новую подсеточку маршрутизатором-прокси с двумя интерфейсами уже имеем и можно сделать >3) скорее всего придется сменить адреса в лок.сети или поиграться с маской ну можно если все по DHCP >4) прописать (а лучше dhcp) всем в качестве шлюза адрес адрес маршрутизатора-прокси да реально >5) поднять нат, файрвол, проксю и т.п. практически готов >если возникнут вопросы, пишите больше исходных данных какие даные нужно? Впринципе загвоздка в №1 но если поменять на локальной машине на подесть роутера то в мир всеравно выйдем... а это плохо....
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "Организация сети"
	Сообщение от biffant (ok) on 09-Ноя-07, 17:43
	>>Я так и хочу сделать, но на всех свичах в сети прописать >>шлюзом по умолчанию адрес моего прокси. Я правильно понял? > >это бред Насколько я понял, мы имеем что-то вроде внутренней подсети 10.1.0.1/16, за каждой из свечек скажем 10.1.x.0/24 подсеть, внутренний интерфейс сервера с проксей и файрволлом 10.1.0.1, на всех свечках 10.1.0.1 прописан как шлюз по-умолчанию, выпускающий после авторизации юзеров через маскарад во внешний мир. Где бред?..
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "Организация сети"
	Сообщение от Slimm (??) on 09-Ноя-07, 17:49
	мы имеем сеть 10.0.0.0/24 и хотим на коммутаторах прописать шлюз чтоб все ходили только через него Вы наверно, коллега, даже и представить себе такое не могли :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	15. "Организация сети"
	Сообщение от biffant (ok) on 09-Ноя-07, 17:56
	Если не убирать роутер провайдера из 10.0.0.0/24 то конечно работать не будет, просто из того что писал топик стартер не следовало что он хочет все-все-все запустить в единой одноранговой сети :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	14. "Организация сети"
	Сообщение от skydion (ok) on 09-Ноя-07, 17:55
	>>>Я так и хочу сделать, но на всех свичах в сети прописать >>>шлюзом по умолчанию адрес моего прокси. Я правильно понял? >> >>это бред > >Насколько я понял, мы имеем что-то вроде внутренней подсети 10.1.0.1/16, за каждой >из свечек скажем 10.1.x.0/24 подсеть, внутренний интерфейс сервера с проксей и >файрволлом 10.1.0.1, на всех свечках 10.1.0.1 прописан как шлюз по-умолчанию, выпускающий >после авторизации юзеров через маскарад во внешний мир. Где бред?.. Нет нет :) Так ребятя видимо я плохо обяснил 1. Сеть плоская 192.168.1.0 на нескольких этажах поэтому стоят свичи (хотя это и хорошо если смотреть что нужно будет привязывать мак-адреса по портах) 2. роутер провайдера (1.200 к примеру) включен в сеть через один из свичей %) имеет локальный адрес и внутри видимо все натит в мир, я к нему доступа не имею, нужно выходить на провайдера, если что либо переконфигурировать, это минус! 3. все юзеры ходят через свой шлюз (1.100 к примеру) но админы мення у себя дефолтный шлюз могут ходить и через 1.100 и через 1.200 %) 4. я хочу все это переделать, сделать один прокси сервер и через него, а далее через роуте провадера в мир, вот и возник вопрос как всех загнать на прокси сервер, да так что-бы нелзя было подключить роутер-провайдера в обход прокси-сервера, а это можно если иметь доступ (он как раз есть) и некоторые знания. теперь вопрос как?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	17. "Организация сети"
	Сообщение от biffant (ok) on 09-Ноя-07, 18:01
	Если не можете сменить подсеть роутера, меняйте свою внутреннюю подсеть :) Т.е. кабель от роутера идет на внешний интерфейс сервера 192.168.1.100/24, а на втором, внутреннем интерфейсе сервера, меняете IP на 192.168.2.100, и раздаете всем клиентам на объекте по DHCP адреса из 192.168.2.0/24, при этом запрещая на сервере ненужную активность из 192.168.2.0/24 в 192.168.1.0/24
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	18. "Организация сети"
	Сообщение от biffant (ok) on 09-Ноя-07, 18:03
	Короче по сути то что предлагал ув.Slimm, тут как бы вариантов немного, если специально не усложнять
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	19. "Организация сети"
	Сообщение от skydion (ok) on 09-Ноя-07, 18:06
	>Короче по сути то что предлагал ув.Slimm, тут как бы вариантов немного, >если специально не усложнять Да понял про разные подсети я не подумал поэтому зацыклился на шлюзах :)))
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	20. "Организация сети"
	Сообщение от biffant (ok) on 09-Ноя-07, 18:08
	>Но с подстройкой под сеть роутера для админов проблем не будет, а >я и этого хочу избежать Если физически они будут подключены из внутренней сети, то никак они под подсеть роутера не подстроятся, это все можно настроить на файрволле сервера. Запрещаете все пакеты из 192.168.1.0 на внутреннем интерфейсе и все!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	21. "Организация сети"
	Сообщение от skydion (ok) on 09-Ноя-07, 18:11
	>>Но с подстройкой под сеть роутера для админов проблем не будет, а >>я и этого хочу избежать > >Если физически они будут подключены из внутренней сети, то никак они под >подсеть роутера не подстроятся, это все можно настроить на файрволле сервера. >Запрещаете все пакеты из 192.168.1.0 на внутреннем интерфейсе и все! Да я написал а уже потом подумал %( пятница...... Теперь подумать куда роутер засунуть и закрыть чтоб физического доступа не было.... Ну всем спасибо, выбили из неправильной колеи :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Организация сети"

Сообщение от Slimm (??) on 09-Ноя-07, 18:12

советую прежде чем что либо делать почитать сказ об ип адресе, сестре маске и сложной их участи - маршрутизации без этого врядли получиться

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	23. "Организация сети"
	Сообщение от skydion (ok) on 09-Ноя-07, 18:13
	>советую прежде чем что либо делать почитать >сказ об ип адресе, сестре маске и сложной их участи - маршрутизации > > >без этого врядли получиться Да спасибо :) Просто замучен и зацыклился не на том на чем надо :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	24. "Организация сети"
	Сообщение от ComP on 10-Ноя-07, 14:56
	>>советую прежде чем что либо делать почитать >>сказ об ип адресе, сестре маске и сложной их участи - маршрутизации >> >> >>без этого врядли получиться > >Да спасибо :) >Просто замучен и зацыклился не на том на чем надо :) Кароче, курите как рулть 2 канала в инет. p.s. imho вам надо оба прова кинуть на ваш новый шлюз, сделать прозрачную(через оутгоиг_адрес) проксю на два прова и нат через iptables + ip rule.... и все
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]