ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 

  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: Inet-Admins
Inet-Admins mailing list archive (inet-admins@info.east.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [inet-admins] Multi-VLAN port





Alex Bakhtin wrote:
> 
> IM> Те пакет попадет в vlan2 и благополучно прибьет полиси. Мораль -
> IM> мультивлан на порт - лажа.
Ты рассматраваешь вариант когда все в твоей власти (те и сервер и
активка), а это
часто не так. Те этот вариант вланов уменьшает даже не саму
безопасность, а правила
ее организации. В сущности все это мусолилось не так давно в
comp.dcom.cisco в теоретическом
плане так сказать.
> 
>         Мораль неправильная. Надо правильно настраивать тот юникс, который
Или например OSR2 c routeenaable=1 ;-)
> подключен одновременно к обоим вланам. В данном случае, оно почти ничем не
> отличается от рутера с 2 Ethernet интерфейсами.


> IM> роутер.... В качестве первого коммутатора был также каталист с этими
> IM> самыми multivlan.
> 
>         Можно описать подробнее? Что было сделано и какими методами?
Лаба была кстати по поводу секурити. А коммутатор #2 был не настроен
совсем, те периодически
слал dhcp-request. Мы ему на него и ответили, установив IP, gateway (тот
самый дуал-хомед хост)
и тд вплоть до пароля и SPAN-порта. В сущности задача была установить
коннективити с ним (будь он настроен можно былоб послать RIPовую
табличку с 0.0.0.0->host.
> 
> IM> напрмер ответит на dhcp-request, установив в vlan2 в качестве дефолта
> IM> юникс?
> >>
> >> Опять же, кто пошлет? Unix? Дык не надо позволять ему этого делать.
> IM> Юних (как впрочем и многие дуал-хомед железки) здесь играет роль
> IM> обходной дырки.
> 
>         Повторюсь. Надо его правильно настроить. Попробуй, наконец,
> запретить маршрутизацию на этом юниксе. Или вкдючить на нем
Нельзя быть уверенным что кой нить умник не включит роутинг на любом
компе, и соединит
т.о. де-факто два vlana в один.
> firewall. Обходной дыркой тут будет _любой_ маршрутизатор, на котором
> разрешен форвардинг пакетов между этими адресами. Am I right?
Только этих роутеров может быть много и ты никак сие не
проконтролируешь.
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on http://info.east.ru/rus/inetadm.html



 




Copyright © Lexa Software, 1996-2009.