none
Одновременная работа NAT и пакетных фильтров. RRS feed

  • Вопрос

  • Вот здесь описывается, что не рекомендуется одновременное использование NAT и пакетных фильтров. В то же время, хотелось бы разобраться поточнее, что к чему.

    Имеем конфигурацию: 2003 server, 2 сетевых интерфейса (один - локалка, второй - смотрит на модем, с которого поднято pppoe соединение в интернет). На сервере работают еще несколько служб, в частности http прокси, web сервер (для внутренних нужд). На внешнем интерфейсе включен NAT. Фильтров пока не настраивал. При таком раскладе все клиенты локалки, у которых этот сервер стоит шлюзом, имеют на выход полный доступ, что и не устраивает. Отключить NAT также нельзя, т.к. проксик не умеет проксировать некоторые вещи (VPN туннель , в частности). По сему вопрос:

    Как все таки в RRAS организованы input, output и forward цепочки? Допустим, в моей конфигурации, если я хочу получить рабочий прокси и, например, поднятие впн туннелей от клиентов в локалке, где правильно прописывать фильтры? Я так понимаю, для прокси (а также для разрешения доступа в инет непосредственно с этого сервера) достаточно в фильтрах выхода на интерфейсе, смотрящем на модем, прописать источником мой хост , а сеть назначения и протокол оставить любыми. Как при этом прописать forward правила для клиентов в локалке, чтобы при поднятом нате работал проброс впн туннеля и было закрыто всё остальное? Либо в конфигурации с NAT это просто не возможно?




    26 июля 2011 г. 9:10

Все ответы

  • Для RRAS нужно создавать политики доступа.

    Стоит также отметить, что RRAS это не фаервол а всего лишь программный маршрутизатор, в его задачи входит манипуляция с пакетами трафика и ограничение доступа.

    Устанавливайте Microsoft ISA или подобные фаерволы и тогда решите свои задачи.


    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/ Cisco для начинающих http://faq-cisco.ru
    26 июля 2011 г. 9:37
  • О каких политиках доступа речь?

    То что можно поставить ISA и т.п. я понимаю. Вопрос не об этом.



    26 июля 2011 г. 11:22
  • О тех, политиках, которые дают доступ в сеть на основе правил

    Цепочки можно организовать тут

    Administrative Tools >
    Routing and Remote Access >
    ServerName >
    IP Routing > NAT/Basic Firewall >


    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/ Cisco для начинающих http://faq-cisco.ru
    27 июля 2011 г. 5:18
  • Политики RRAS разрешают создавать правила для филтрации проходящего трафика? Я считал, что можно только создавать правила, определяющие доступ к самому RRAS.
    27 июля 2011 г. 6:21
  • Нет, фильтры RRAS действуют на транзитный трафик.
    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    28 июля 2011 г. 4:01
    Модератор
  • Товарищ про политики говорил, а не про пакетные фильтры. О пакетных я изначально и спрашивал - как корректно настроить в паре с НАТом.
    28 июля 2011 г. 7:52