на сайт
на сайт

Поиск  Правила  Войти
Главная страница » Главный раздел » Traffic Inspector - бета тестирование
Страницы: 1 2 След.
RSS
Логика работы сет. экрана
 
#1
0
24.08.2004 18:03:00

Прошу разьяснить логику работы опции "Разрешить трафик между публичными (локальными) сетями".



А так же необходимость настройки фильтров, если включен внутренний сетевой экран.
 
 
 
#2
0
24.08.2004 21:52:00
Попробовал я этот внутренний сетевой экран, отрубился весь доступ к серваку, и никакие галки не помогали... И не понятно что понимается под публичная сеть, это внешний фаервол ?
 
 
 
#3
0
25.08.2004 10:36:00
Да нет. Публичная сеть - это внутренняя сеть, но не полностью подконтрольная админу. Например, сети сторонней организации, клуба, которые пропускаешь через свой сервер доступа. Криминала тут нет. Всё нормально. Но меры безопасности, защитые в ТИ, а главное, новые возможности (132 сборка) для меня не очень понятны. А если есть неясность с СЕТЕВЫМ экраном - это не есть хорошо!
 
 
 
#4
0
25.08.2004 11:09:00

Логика тут очень проста - простыми настройками закрыть сам сервер изнутри сети.



Ранее это делалось настройками фильтров и было не совсем прозрачно и гибко.



Для сети организации это не надо. Надо наоборот открыть прозрачный доступ на сам сервер и для этого был специалтный предустановленний фильтр. С этим фильтром были постоянные проблемы - его удаляли, отключали, теряли и т.д., из-за чего тут на форуме было полно вопросов.



Теперь, если внутренняя сеть помечена как локальная, внутренний firewall по умолчанию отключен, доступ всем на сам сервер открыт и никакого фильтра не надо.



Если-же у Вас внутренняя сеть коммерческая и не совсем подконтрольна админу, то требуется закрыть сам сервер изнутри. Теперь достаточно просто ее пометить как публичная и это включит внутренний сетевой экран. Эти все настройки снесены в новое окно, которое вызывается из общих настроек фильтров.



Откройте, там все очевидно и понятно. Вы имеете возможность сделать отдельные настройки для локальных и публичных сетей.



Кроме включения и отключения сетевого экрана есть галки служб и протоколов. По аналогии с внешним firewall есть разрешения на исходящие от сервера ICMP, TCP и UDP. Т.е. эти настройки оставляют закрытыми эти протоколы изнутри сети, но позволяют с самого сервера обращаться к внутренним ресурсам. Также есть галки разрешений для DHCP, DNS, PPTP сервера и IPSec.



Конечно, это все можно разрешить и фильтрами, то для неподготовленных пользователей так удобнее. Учитывая, что ICS и RRAS поддерживают DNS и DHCP, эти службы по умолчанию тут открыты.



Цитата



Прошу разьяснить логику работы опции "Разрешить трафик между публичными (локальными) сетями".



Тут также есть галки для разрешений трафика между внтренними сетями.



Это может пригодится, если у сервера несколько внутренних интерфейсов с несколькими IP сетями и надо для всех обеспечить разрешения трафика между ними. По умолчанию ТИ такой трафик для всех закрывает.



Ранее надо было для его разрешения набивать несколько фильтров, указывая там все внутренние сети. При этом надо было не забыть и те сети, которые находятся там за роутерами.



Терерь это упростили - достаточно просто включить галки. При этом все необходимые фильтры будут сформированы на основании таблицы роутера. Отметим, что эти разрешения отличаются от фильтров тем, что не откроют сетевой экран, если он включен.



Ну а зачем 3 галки - то теперь должно быть понятно. Имеются два типа внутренних сетей, и предусмотрена возможность задать эти разрешения в зависимости от их типа.



Например, есть 2 офисные сети (локальные) и 2 публичные (домовая сеть и VPN сервер).



Логично тут разрешить трафик между офисными сетями и между публичными. Но между публичными и офисными не разрешать. Эти галки как раз и позволят легко это сделать.



Цитата
отрубился весь доступ к серваку, и никакие галки не помогали...
Эти галки изнутри сети к самому серверу только DNS и DHCP включают. Если надо добавить разрешения, это делается фильтрами.



Для админа сделайте отдельную группу и разрешите в ней полный доступ на сам сервер.



 
 
 
 
#5
0
25.08.2004 11:13:00

Я вчера чуть не кончился весь, слав богу ТИ не стал обрывать уже установленные соединения.



Я включил этот фаервол на внутр интерфейсе, и как написано в описании новой версии, удалил разрешающий фильтр на локальный интерфейс, предварительно понаставив галок разрешающих пинг,тсп,удп, впн итп, и заодно в группе админа добавил фильтр разрешающий соединения на все локальные интерфейсы "на всякй".. И вырубаю я значит в общих фильтрах на разрешающий локальные интерфейсы, и бах...тишина, ниоткуда до сервака не достукаться, консоль слетела моментом, благо радмин выжил, вернул всё взад и решил дождаться разъяснений, что не так сделал...



Вот теперь сижу и жду..
 
 
 
#6
0
25.08.2004 11:25:00
Ну так добавлял я фильтр, но почему он не сработал, ума не приложу...
 
 
 
#7
0
25.08.2004 12:02:00

Цитата
Ну так добавлял я фильтр, но почему он не сработал, ума не приложу...
Нашли козявку, это разрешение было с более низким приоритетом, чем надо.



Поправили. Сегодня - завтра выложим релиз, туда это войдет.



 
 
 
 
#8
0
25.08.2004 12:16:00

Совсем забыл - было достаточно у этого юзера выставить галку "Является администратором"



Эта галка теперь еще для этого юзера отключает внутренний сетевой экран.



 
 
 
 
#9
0
25.08.2004 13:51:00

Осталась небольшая "мутность". Если простыми галками настраиваются протоколы, то в чём должна состоять настройка фильтров на локальном интерфейсе?
 
 
 
#10
0
25.08.2004 14:35:00

На так галок там совсем мало. Только самые необходимые, что-бы по-быстрому этот минимум включить.



Ну а фильтры попрежнему нужны. К примеру, надо открыть изнутри сети какие-то TCP порты на какие-то службы сервера. И т.д.



 
 
 
 
Страницы: 1 2 След.
Читают тему (гостей: 2)