Архив форумов ЦИТФорума

[Allium]

Дано: сеть WinNT (single domain) с адресом 192.168.1.0/24. Почтовый сервер под Win2K и Exchange 5.5 в этой сети. FreeBSD с двумя интерфесами, один из которых "смотрит" внутрь локалки, а второй в сторону провайдера (соответственно адрес у него честный). На серевере запущен ipnat. Есть Cisco с тремя интерфейсами: один по BRI ходит к провайдеру, второй смотрит в сторону FreeBSD (сидит с ним в одной подсетке) и третий - входящие линии для удаленных юзеров. На всех трех интерфесах адреса честные, из подсетки выданной провайдером.
Вопрос: что надо прописать на FreeBSD (в правилах ipnat'a, насколько я ничего не понимаю), что бы удаленные пользователи, звонящие на киску могли бы как минимум получить нормальный доступ до Exchange сервера (просто открыть IMAP-порт не катит, т.к. Outlook хочет чего-то большего) и, как максимум, получить доступ к Terminal Server'у, размещенному на другом Win2K сервере в той же локалке (192...)?

Спасибо.

[and3008]

Итак. Ваш пограничный маршрутизатор - это Циска.
Она является и шлюзом в Интернет и доступом для удаленных клиентов.
Вы решили отгородить лок.сеть UNIX-системой. Но тут вдруг понадобилось, чтоб удаленные пользователи имели доступ к вашей внутренней сети. Вот тут и начинается кино.

Надо открывать доступ в лок.сеть с пограничного шлюза, что является операцией весьма рискованной. При наличии хорошего спеца по Цискам - это не есть проблема, а вот если спеца нету, то можете поиметь большие проблемы с безопасностью.

ipnat тут в общем-то и ни при чем и он мало вам поможет в решении этой проблемы.

Еще. Для связки Outlook - Exchange 5.5 нужно открывать порты для службы RPC. Именно по ним работает Outlook с Exchange (все неверующие - загляните в документацию).

А вот порты RPC - это самая милая мишень для хакеров. Этот порт уязвим на всех системах.
При неверной настройке хакер сможет получить доступ ко все вашей сети.

В общем вам надо делать настройки на Циске, а не на FreeBSD. По большому счету - она только мешает своим ipnat-ом.

Мои рекомендации:
Грамотно настроить access-list на Циске.
Грамотно настроить ipfw на FreeBSD.

Если вы в этом ничего не понимаете, то есть 2 варианта:
1. Читать документацию
2. Пригласить грамотного специалиста. Стоить это будет не дорого.

P.S. Про ipfw могу наврать, пусть знающие люди меня поправят. На Линухе (в зависимости от ядра) это ipfw, ipchain, iptables

[Dmitry.Karpov http://www.]

Лично я бы поставил на W'NT вторую сетевую карту с "честным" IP-адресом - проблема доступа DialUp-юзеов решена, но возникает проблема безопасности, которую может решить FireWall на Cisco.

Для and3008:
На FreeBSD есть ipfw (FireWall) и ipf (Filtering). ipnat - это часть ipf, а на ipfw работает natd через DIVERT. Рекомендую слазить на http://www.pi2.ru/UnixFAQ/.

[and3008]

Можно Циске рассказать где находится WinNT и через какой шлюз достигается.
А вот на интернетновском интерфейсе доступ по этому IP закрыть.

В общем Циска рулит. ))

[Dmitry.Karpov http://www.]

Если воткнуть вторую сетевуху, дать "честный" IP-адрес и честно настроить IP-маршрутизацию (правильно прописать DefGW), то Exchange будет доступен из всегО Internet. Нужно оно или нет - решайте сами.

С помощью прописывания маршрутов на Cisco и на FreeBSD (возможны также разные махинации с ARP, см.статью о маршрутизаци на http://www.pi2.ru/prof) можно навесить "честный" IP-адрес на уже имеющуюся сетевую карту W'NT. Эффект доступности - тот же самый. Плюс к тому возможные геморрои с настройкой роутинга на W'NT - у нее будет IP-адрес из сетки, к которой она не присоединена, так что надо будет либо тщательно настраивать роутинг, либо очень мудро мухлевать с ARP.

Очень перспективным представляется прописывание на Cisco маршрута на "нечестный" IP-адрес W'NT - тогда W'NT будет доступна только из LAN и с DialUp, но не извне (тот роутер провайдера, который стоИт за Cisco, да и все остальные в Internet, не будут роутить "нечестные" IP-адреса в вашу сеть).

[and3008]

-