kim-aa

Мы хотим посадить чужого администратора на этот сервер и пускай он его админит но при изменении ip адреса это оборудование оранжевое блокировала бы все пакеты. Сервер будет в обучающей комнате как бы реальный сервер (фаервол). Просто там админ будет иметь полные права на сервер, что очень Нам ненравиться вот и приходится выдумать клин между сервером "Server" и основной сетью.

Планируется создать несколько таких комнат от 1 до 40.

Подскажите оборудование в которое можно вбить что только с определенного ip адреса разрешаются имеено те пакеты которые мы дадим, при изменении ip адреса на сетевой карте "SERVER" оборудование бы блокировало все пакеты в основную сеть но продолжало бы работать комнатаобучения. Так как там стоять будут сервер-клиент приложения.

Все зависит от денег.
А архитектуры, вот вам три на выбор.

Денег компания не жалеет если надо потратить 100 долларов - потратим 100... если 40.000 долларов - потратим 40.000... Тут вопрос в иммено в этом "клине" между "Server" и основной сетю. Нужно что бы каждый порт свича был программируемый. Прости за тофтологию но повторюсь еще раз. Нам нужно, если системный администратор изменить ip адрес на сетевой карте на SERVER но этот свич отключал бы его от себя. тоесть каждый отдельный порт Свича должен программироваться на mac или ip адрес указанный нами

Ну желательно конечно уточнить марку фаервола.
Но в любом случае, максимальную гарантию и управляемость Вы получите при применении сегментации на коммутаторах третьего уровня.
Вот вам примерная схема (расматиравалась ранее автор sidelong) с VLANS.

Реально оборудования такого класса достаточно много. Хотите Cisco, хотите 3COM, Cabletron, Lusent, Nortel ....
Однако я бы рекомендовал таки Cisco, и не потому что это "круто", а потому что это единственный производитель который удосужился выпустить литературу на Русском.

У нас нет специалистов по работе на Cisco, что бы вы порекомендовали по поводу 3сом
А что Вы думаете по поводу Dlink DFL-1600

http://dlink.ru/products/prodview.php?type=18&id=571

А что Вы думаете по поводу Dlink DFL-1600 - ничего не думаю. С продукцией данной фирмы я не работаю :)
(Вобще это как-то не соответствует Вашему высказыванию о 40 000 $)

У нас нет специалистов по работе на Cisco
Тогда Вам следует ориентироваться на подготовленность Ваших специалистов или покупать решения под ключ.

Cisco Я рекомендовал с точки зрения ситуации "когда у Вас нет специалистов, но Вам надо это сделать".

Не целесообразно нанимать специалиста для настройки одного раза этого маршрутизатора. Можно нанять но это чужой человек будет работать, что опастно.
С 3сом Мы знакомы но как-то не сложились у нас отношения с этой фирмой.

Не целесообразно нанимать специалиста для настройки одного раза этого маршрутизатора. Можно нанять но это чужой человек будет работать, что опастно.
Простите, но эта задача не имеет решения. Своих специалистов у Вас нет, пришлым Вы не доверяете.
Исходя из данной логики, аппендицит нужно удалять самому, т.к. операция разовая.

ну так вот я и спрашиваю какой свич или побочное оборудование может прогаммировать порты свича. все кроме циски

Я же Вам сказал. Вариантов море. Вас устроит любой свич 3-го уровня.
У Cisco это 3550, 3750.
У 3COM - 5500.

Однако, хочу сделать следующее замечание, это сложное оборудование.

Если Вы хотите разворачивать своими силами, то наверное проще использовать вариант 2.
Т.е. просто для каждого сегмента свой простой фаервол с web управлением.

1) Вариант сложный - Коммутатор 3-го уровня, к нему цепляются коммутаторы отдельных сегментов. Фильтрация осуществляется на коммутаторе 3-го уровня.
2) Вариант простой. Центральный коммутатор. К нему цепляется фаервол для выхода в интернет. Кроме того каждый сегмент сети (коммутатор сегмента), соединяется с центральным коммутатором через двухпортовый фаервол. Фильтрация настраивается на фаерволах.

Вот Вам схемка. Кстати роль центрального свича + ограничивающих фаерволов может сыграть вышеуказанный Вами D-link

Спасибо. Будем тестировать у dlink у них есть тестовая неделя на оборудование начнем с этого Бренда.

Я понимаю что тут уже много тем похожих и косвенно затрагивающих DMZ, но такой по-моему не было.
В первые сам столкнулся с настройкой сети с DMZ.
Итак, начну с цитаты:
Разновидностью описанного подхода к маршрутизации между несколькими сетями
является концепция демилитаризованной зоны (DMZ), часто применяемая в производ-
ственной среде.
Проблема в том, что некоторые системы (например, Web-серверы) за шлюзом
должны иметь реальные IP-адреса, но все остальные системы должны использовать
NAT. Обычно для этого используется шлюз с тремя сетевыми интерфейсами. Один
интерфейс — связь с Internet, второй — для систем, использующих преобразование
адресов NAT, а третий — для систем, которые не должны использовать NAT. Интер-
фейс, обслуживающий системы с реальными IP-адресами, называют демилитаризо-
ванной зоной (Demilitarized Zone — DMZ}.
У меня есть в наличии шлюз. Он имеет при себе 3 этих интерфейса.
WAN и LAN меня не волнуют, с ними все ясно. Волнует DMZ.
Я собираюсь на интерфейс DMZ повесить WEB-Сервер. Соответственно на этом самом веб сервере будет мотаться www,DNS,ftp и прочая приблуда. Провайдер выдал мне несколько внешних ip адресов на которые я и хочу повесить www и все остальное.
1. Интерфейсу WAN я даю один из внешних IP адресов (выданных провайдером).
2. Интерфейсу LAN я даю локальный IP.
3. Какой IP адрес выдавать интерфейсу DMZ если мне нужно чтобы сервисы WEB сервера были доступны снаружи? Какой IP адрес выдавать интерфейсам на WEB сервере?
Вообще хотелось бы по-побольше примеров с указанными ip адресами на интерфейсах. Маршрут пакетов от WAN к WEB серверу и содержание заголовков пакетов на всех точках прохождения от интерфеса WAN до WEB сервера и обратно.

Для начала, считаю цитату несколько неверной в плане построения ДМЗ, ниже из примера немного попробую показать.

Если делать по цитате, то интернет-интерфейсу шлюза, ДМЗ-интерфейсу шлюза, а также каждому из выставляемых в Интернет ресурсов придется давать WAN-адреса... Соответственно получается их должно быть минимум 3 (для выдачи 1 ресурса).

Однако в большинстве случаев для ДМЗ тоже используется трансляция адресов. Выглядит это так:
ЛАН-интрерфейс - адрес из локальной сети №1, Интернет-интерфейс - WAN-адрес, ДМЗ-интерфейс - адрес локальной сети №2, выдаваемые ресурсы - другие адреса из сети №2. При этом на шлюзе настраивается трансляция адресов из сети №2 в комбинацию порт:адрес Интернет-шлюза. Как видим, в этом варианте достаточно использование лишь 1 WAN адреса для подключения большого количества доступных из Интернет ресурсов.

Так понятно?

Greyman
1. предположим у меня есть достаточно WAN адресов для реализации DMZ без использования NAT. Появляется несколько вопросов:
Пример:
WAN Interface -> 81.12.13.123
DMZ Interface -> 81.12.13.124
Interface WEB сервера -> 81.12.13.125
Я поднимаю DNS на WEB сервере:
Как будут выглядеть записи?
Так:

$ORIGIN .
$TTL 86400

domen.ru IN SOA domen.ru root.domen.ru (
200607111 ; Serial
3600 ; Refresh
900 ; Retry
3600000 ; Expire
3600 ) ; Minimum
NS ns.domen.ru.
NS ns.domen_prov.ru.
A 81.12.13.125
MX 10 domen.ru.
MX 20 relay.domen_prov.ru.

Или так:

$ORIGIN .
$TTL 86400

domen.ru IN SOA domen.ru root.domen.ru (
200607111 ; Serial
3600 ; Refresh
900 ; Retry
3600000 ; Expire
3600 ) ; Minimum
NS ns.domen.ru.
NS ns.domen_prov.ru.
A 81.12.13.123
A 81.12.13.124
A 81.12.13.125
MX 10 domen.ru.
MX 20 relay.domen_prov.ru.

Конечно первый вариант. ты же трансляцию не используешь, а значит днс-запросы на другие 2 адреса ответа не дадут, там просто некому отвечать. они просто используются для маршрутизации...

P. S.
Кстати, в теме же ничего про ИБ вроде не рассматривается. Как ты на счет того, чтоб я тему в Сети из ИБ перекинул? Там просто больше сетевиков, я даже сам гораздо реже самостоятельно с конфигами вожусь (на это есть админы, а ИБ - задание для реализации концепции).

Greyman
перебрасывай

Negativ
DMZ - это всего лишь сегмент сети, в который выносится оборудование, к коему предьявляются спецтребования по доступу.
Вот и то, и то DMZ.

http://forum.oszone.net/thread-69237.html
http://forum.oszone.net/thread-68669.html

Просто класическая схема построения DMZ осуществляется на 2х портовых однофункциональных устройствах.

Сейчас, когда устройства мультипортовые и свич/роутер/фаервол/не-пойми-что, для простоты восприятия при проектировании сети, сложные устройства декомпозируют на классические "примитивы".

DMZ - в "классике" внешнее. В прочем в "классике" и NAT&PAT отсутствует.

При существовании Домена как в глобальном, так и локальном адресном пространстве, обычно подымают 2 DNS Сервера.
Проще знаете ли , не так сильно "кипит наш разум возмущенный".

Тема наверное поднималась но я не нашел её.

Есть сеть 10,0,1,1/24
GATE 10.0.1.2
DNS 10.0.1.1

Нужно постоить еще одну сеть (например 10,0,0,1/24 )что бы она не имела доступ к сети 10,0,1,1/24
но имела интрнет от GATE 10,0,1,2

Не соображу как такое сделать.