none
Отсечь кусочек сети RRS feed

  • Вопрос

  • Задание:

     

    Отсечь от основной сети кусочек сети из 5-10 машин, не ограничивая ничего и не меня адресного пространства, за исключением портов 1783-1862 (местная программа для работы с клиентами).

     

    Собственно, не могу понять, как настроить вещание DHCP сервера на этот отсеченный кусочек сети. Ставлю в ISA 2006 "весь исх. трафик" разрешить из ALL в ALL, а все равно клиенты DHCP не видят. пробовал создавать два правила, в разных направлениях, на запрос и ответ DHCP. Не выходит...

     

    Разбить на две подсети можно, но в первой, от кого надо отгородить этот кусок сети, менять шлюз по умолчанию нельзя. Также необходимо обеспечить запросы к отсеченным машинам по их старым адресам.

     

    Прошу помощи!

    11 июня 2007 г. 20:41

Ответы

  • У вас получается, что ISA включен в разрыв между двумя сегментами сети. Это означает, что на картах должны быть установлены ip-адреса из двух разных сетей. Иначе работать не будет!

    Таким образом, чтобы решить задачу вам нужно разбить адресное пространство на две сети и настроить соответственно клиенты и ISA.

     

    Это так потому что ISA работает на уровне 3, т.е. он роутер, а вам надо фильтровать трафик на уровне 2, т.е. коммутация. Это может сделать управляемый коммутатор, например Cisco Catalyst, который поддерживает vlan-based access lists.

     

    Либо такой эксперимент. Удаляем ISA. Оба интерфейса объединяем в бридж и пытаемся настроить на бридж-интерфесе встроенный Windows Firewall. Попробуйте протестировать. Результат отпишите.

    15 июня 2007 г. 6:07
    Модератор

Все ответы

  • Попробуй поднять DHCP Relay Agent в RRAS на машине с ISA
    12 июня 2007 г. 5:20
  • Создал "агент DHCP ретрансляции" на интерфейсах "внутренний" и "малая сеть". задал DHCP версер 10.0.0.1.

    В ISA активировал правило "весь исходящий трафик" их "любой ПК, все сети" в "любой ПК, все сети" - разрешить. Не помогает. Пробую получить адрес на интерфейсе машины с ISA, смотрящем в малую подсеть - фиг. На любой другой, соответственно, тоже.

     

    P.S. Да, еще, а как, в моем случае, определять сети в ISA? Ведь диапозон IP един что для большой что для малой сети...

    13 июня 2007 г. 20:44
  • Физически как все организовано? (Куда включены компьютеры в обеих сетях? Сколько карт на ISA?.....)
    14 июня 2007 г. 2:38
    Модератор
  •  SV Foster написано:

    P.S. Да, еще, а как, в моем случае, определять сети в ISA? Ведь диапозон IP един что для большой что для малой сети...

     

    Руками вносить необходимые адреса в Internal Network Set.

     

    И еще вопрос, что в логах по поводу DHCP запросов и ответов?

    14 июня 2007 г. 5:19
  • В компе с ISA 2 карты. Разводка такая, что на точке коммутации был вытащен кабель из свича и вставлен в одну карточку, а другую патч-кордом соединил с освободившемся всвязи с первым действием портом в свиче.

    14 июня 2007 г. 5:26
  • Не самый хороший вариант, а если в эту малую сеть поключется клиент с ноутбуком по Wi-Fi? Еслить ли способвроде "пакет, пришедший с сетевого интерфейса с MAC адресом xx:xx:xx:xx:xx". Прочитал документацию, не нашел. Возможно, ктото сталкивался?
    14 июня 2007 г. 5:29
  • Меня тока что осинило :-) А как вообще ISA будет знать, что и где. Если адреса динамические,  т.е. при раскладе когда разные подсети всё понятно, но в данном случае, подсеть одна и постоянно меняющиеся адреса то в Internal то в External. В таком случае, действительно надо на DHCP сервере привязывать определённые IP адреса к MAC адресам.
    14 июня 2007 г. 5:36
  • В логах, в момент зыпроса

     

     

    10.200.0.124    -  UDP - -      -    14.06.2007 05:48:20 1045 0 0 0 0x0 0x0 - 14.06.2007 09:48:20 10.200.0.124 10.200.0.223 53 DNS Начато соединение [System] Разрешить DNS от ISA Server к выделенным серверам 0x0 ERROR_SUCCESS   Локальный компьютер Внешняя - PROXYSERVER Межсетевой экран


    10.200.0.124    -  UDP - -      -    14.06.2007 05:48:20 123 0 0 0 0x0 0x0 - 14.06.2007 09:48:20 10.200.0.124 207.46.130.100 123 NTP (UDP) Начато соединение 1 0x0 ERROR_SUCCESS   Локальный компьютер Внешняя - PROXYSERVER Межсетевой экран


    0.0.0.0    -  IGMP - -      -    14.06.2007 05:48:51 0 0 0 0 0x0 0x0 - 14.06.2007 09:48:51 0.0.0.0 224.0.0.2 0 Нераспознанные IP-данные Отклоненное соединение  0xc0040014 FWX_E_FWE_SPOOFING_PACKET_DROPPED    Внешняя - PROXYSERVER Межсетевой экран

     

    10.200.0.124    -  UDP - -      -    14.06.2007 05:49:19 1045 59085 62 256 0x0 0x0 - 14.06.2007 09:49:19 10.200.0.124 10.200.0.223 53 DNS Закрытое соединение [System] Разрешить DNS от ISA Server к выделенным серверам 0x80074e20 FWX_E_GRACEFUL_SHUTDOWN   Локальный компьютер Внешняя - PROXYSERVER Межсетевой экран


    10.200.0.124    -  UDP - -      -    14.06.2007 05:49:19 123 59085 76 0 0x0 0x0 - 14.06.2007 09:49:19 10.200.0.124 207.46.130.100 123 NTP (UDP) Закрытое соединение 1 0x80074e20 FWX_E_GRACEFUL_SHUTDOWN   Локальный компьютер Внешняя - PROXYSERVER Межсетевой экран

    14 июня 2007 г. 5:54
  •  SV Foster написано:

    В компе с ISA 2 карты. Разводка такая, что на точке коммутации был вытащен кабель из свича и вставлен в одну карточку, а другую патч-кордом соединил с освободившемся всвязи с первым действием портом в свиче.

     

     

    Подробнее можете описать топологию?

     

    Одной картой ISA включен в коммутатор, а другой куда? Какие сети где? Опишите как все устроено и как должно работать.

    14 июня 2007 г. 7:52
    Модератор
  • Вот упрощенная схема, думаю, будет достаточно информативна. http://ifolder.ru/2351979

     

    Задача - фильтр траффика, не более. Отсечь любую активность по портам, описанным выше, сохранив абсолютно весь, в т.ч. и широковещательный (DHCP, например, или Вайпресс чат) трафик.

    14 июня 2007 г. 16:31
  • А в System Policy DHCP разрешён?
    15 июня 2007 г. 4:19
  • У вас получается, что ISA включен в разрыв между двумя сегментами сети. Это означает, что на картах должны быть установлены ip-адреса из двух разных сетей. Иначе работать не будет!

    Таким образом, чтобы решить задачу вам нужно разбить адресное пространство на две сети и настроить соответственно клиенты и ISA.

     

    Это так потому что ISA работает на уровне 3, т.е. он роутер, а вам надо фильтровать трафик на уровне 2, т.е. коммутация. Это может сделать управляемый коммутатор, например Cisco Catalyst, который поддерживает vlan-based access lists.

     

    Либо такой эксперимент. Удаляем ISA. Оба интерфейса объединяем в бридж и пытаемся настроить на бридж-интерфесе встроенный Windows Firewall. Попробуйте протестировать. Результат отпишите.

    15 июня 2007 г. 6:07
    Модератор
  • Получилось, все заработало как следует.
    15 июня 2007 г. 17:20
  • Уточните для потомков, как вы решили свою задачу.
    18 июня 2007 г. 2:35
    Модератор