Nechci ti brát iluze, ale mám dojem že vynalezas kolo. Tohle ti umožňuje policy based ipsec přeci. Vilém
Odesláno z Blue 8. 3. 2018 0:25, 0:25, Jozef Drahovsky <[email protected]> napsal/a: >Som rad, ze problematika zaujala. Vidim, ze je tu viacero ludi, ktori >sa >na to pozeraju z vlastneho pohladu a vlastnej odbornosti. > >Ano da sa to riesit IPS dedicated zelezom, ale cielov je viac, nielen >lacne riesenie, ale aj lacna prevadzka celku a mat vsetko pod vlastnou >kontrolou. > >Jednoduchy priklad na exaktnu predstavu. >Existuje firma, ktora ma verejne C, vlastne AS,vlastny reverzny DNS >a viac krat optiku od roznych providrovza drahe peniaze, kde verejne >bezi vselico mozne. > >Okrem toho ma viacero pracovisk kde je tiez sirokopasmovy pristup, ale >len jednu verejnu IP a aj to nie vsade fixnu, navyse bez >moznostinastavenia reverzneho DNS. >Pritom rozdiel mat a nemat moznost nastavit reverzu domenu podla seba >je >400% mesacnej ceny. > >Kazde z tychto pracovisk chce mat u seba okrem obvykleho PAT pristupu >pre bezne pocitace, aj niekolko verejnych serverov bez NAT z dovodu >specifickeho vyvoja a experimentalnej prevadzky. > >Samozrejme existuje riešenie vsade zaplatit niekolko pevnych ip a za >reverzny zaznam. >Ale existuje aj resenie vyexportovat jednotlive ip adresy z onej >zakladnej LAN siete svojpomocne v transparentnych L2 tuneloch. Navyse >tym sa vyriesi aj lokalizacny problem. > >Cize jedno dvoj ethernet portove zariadenie do centraly, ktore sa bude >javit z pohladu LAN ako tranasparentny FW, ktory filtrovat bude iba >v rozsahu aby vedel, ktoru MAC s verifikovanou IP, kam mapreposielat >(zamerne nepisem rutovat) cez tunely ako VPN koncentrator z druhej >ethernet karty. > >V kazdom pracovisku bude dalsie dvojethernetove zariadenie, ktore sa >bude cez PAT javit ako beze zariadenie vytvarajuce tunel na VPN >koncentrator, ale na druhej strane sa bude spravat ako transparentny FW > >z LAN onej centraly, filtrovanie zasa bude len na urovni opravnenej MAC > >s verifikovanou IP . > >Celu takuto infrastrukturu viem nakonfigurovat s Cisco ASA, ale nechem. > >Jedna vec je cena, druha je, ze to nebezi podla mojich predstav. Preto >zvazujem pouzit FreeBSD s technologou transparentneho FW a zbytok >doprogramovat. > > Jozef > >-- >FreeBSD mailing list ([email protected]) >http://www.freebsd.cz/listserv/listinfo/users-l -- FreeBSD mailing list ([email protected]) http://www.freebsd.cz/listserv/listinfo/users-l
