В одном из подразделений есть две внутренние сети. Одна (допустим 10.0.0.0/16) имеет свободный выход в другие подразделения области и регионы через арендованные каналы. Вторая сеть (192.168.0.0/24) автономна и не должна отсвечивать в других сетях.
Но есть в этой сети ряд видеосерверов, которые вдруг стало необходимо просматривать начальству в Управлении (сеть управления, допустим 10.1.0.0/16)
Конечно, стандартная ip nat inside source static network 192.168.0.0 10.0.0.0 /24 extendable решит проблему, но тогда и вся эта сеть откроется как на ладони для других, и они смогут гулять по другим сетям, что очень нежелательно.

После нескольких дней раскурки мануалов и поисков примеров запутался окончательно, голова опухла и стала заманчивой для хедшота :)

Как же дать доступ к внутренним ресурсам и не допустить снижения секурити?

• NAT наоборот,fantom, 15:54 , 26-Ноя-12
  • NAT наоборот,vigogne, 17:22 , 26-Ноя-12
• NAT наоборот,1, 16:45 , 26-Ноя-12
• NAT наоборот,spiegel, 17:45 , 26-Ноя-12
  • NAT наоборот,vigogne, 17:59 , 26-Ноя-12
    • NAT наоборот,spiegel, 18:24 , 26-Ноя-12
      • NAT наоборот,spiegel, 19:31 , 26-Ноя-12
      • NAT наоборот,vigogne, 12:59 , 27-Ноя-12
• NAT наоборот,pavlinux, 02:30 , 27-Ноя-12

>[оверквотинг удален]
> Вторая сеть (192.168.0.0/24) автономна и не должна отсвечивать в других сетях.
> Но есть в этой сети ряд видеосерверов, которые вдруг стало необходимо просматривать
> начальству в Управлении (сеть управления, допустим 10.1.0.0/16)
> Конечно, стандартная ip nat inside source static network 192.168.0.0 10.0.0.0 /24 extendable
> решит проблему, но тогда и вся эта сеть откроется как на
> ладони для других, и они смогут гулять по другим сетям, что
> очень нежелательно.
> После нескольких дней раскурки мануалов и поисков примеров запутался окончательно, голова
> опухла и стала заманчивой для хедшота :)
> Как же дать доступ к внутренним ресурсам и не допустить снижения секурити?

1. Фильтр.
2. прокси с авторизацией.
3. доступ в сеть через VPN сервер, а начальственные компу - клиентами.
4. каждому начальнику поставить по второму компу, через который будет доступна исключительно нужная сеть.
и т.д. и т.п...

>[оверквотинг удален]
>> очень нежелательно.
>> После нескольких дней раскурки мануалов и поисков примеров запутался окончательно, голова
>> опухла и стала заманчивой для хедшота :)
>> Как же дать доступ к внутренним ресурсам и не допустить снижения секурити?
> 1. Фильтр.
> 2. прокси с авторизацией.
> 3. доступ в сеть через VPN сервер, а начальственные компу - клиентами.
> 4. каждому начальнику поставить по второму компу, через который будет доступна исключительно
> нужная сеть.
>  и т.д. и т.п...

Хмм, а разве нельзя все это сделать на имеющемся оборудовании? Все это, думаю, возможно на Cisco (кстати, C2821). Ведь выставляют сервера из внутренней сети в Интернет...

Мне же нужно просто ограничить круг адресов, которым разрешено занатиться к тем серверам и исключить обратный нат...  Я просто пресытился информацией, вкупе с тем, что имеется море примеров как раз обратной задачи (дать доступ определенным лицам В интернет, закрыв доступ ИЗ интернета). Просто я пока не могу уловить, как это сделать в моем случае, поэтому и прошу у знатоков, которые уже давно переварили данную тему и постоянно это делают, толкнуть меня в нужную сторону или ткнуть носом в похожий пример...

> Как же дать доступ к внутренним ресурсам и не допустить снижения секурити?

дать этим серверам удобные вторые ip (10.х...) ну а далее будет достаточно маршрутизации + фаер на вход/выход на стыке автономки.

>[оверквотинг удален]
> Вторая сеть (192.168.0.0/24) автономна и не должна отсвечивать в других сетях.
> Но есть в этой сети ряд видеосерверов, которые вдруг стало необходимо просматривать
> начальству в Управлении (сеть управления, допустим 10.1.0.0/16)
> Конечно, стандартная ip nat inside source static network 192.168.0.0 10.0.0.0 /24 extendable
> решит проблему, но тогда и вся эта сеть откроется как на
> ладони для других, и они смогут гулять по другим сетям, что
> очень нежелательно.
> После нескольких дней раскурки мануалов и поисков примеров запутался окончательно, голова
> опухла и стала заманчивой для хедшота :)
> Как же дать доступ к внутренним ресурсам и не допустить снижения секурити?

ip nat inside source static <ip_videoserver> interface <ip_wan_interface>
access-list 101 permit ip host <ip_шев_в _управлении> host <ip_videoserver>

int <wan_interface>
ip access-group 101 in
ip nat outside
int <lan_interface>
ip nat inside

>>[оверквотинг удален]
> ip nat inside source static <ip_videoserver> interface <ip_wan_interface>
> access-list 101 permit ip host <ip_шев_в _управлении> host <ip_videoserver>
> int <wan_interface>
> ip access-group 101 in
> ip nat outside
> int <lan_interface>
> ip nat inside

А разве тогда не будут ли иметь доступ к этому подразделению ТОЛЬКО <ip_шев_в _управлении>? По идее, как я думаю, фильтровать нужно после NAT, а самое правильное, в самом NAT, иначе мы теряем нашу легитимную подсеть подразделения (10.х). Вот тут-то я и поплыл. Отбор адресов в NAT я и не смог одолеть... :)

>[оверквотинг удален]
>> int <wan_interface>
>> ip access-group 101 in
>> ip nat outside
>> int <lan_interface>
>> ip nat inside
> А разве тогда не будут ли иметь доступ к этому подразделению ТОЛЬКО
> <ip_шев_в _управлении>? По идее, как я думаю, фильтровать нужно после NAT,
> а самое правильное, в самом NAT, иначе мы теряем нашу легитимную
> подсеть подразделения (10.х). Вот тут-то я и поплыл. Отбор адресов в
> NAT я и не смог одолеть... :)

Тогда я не понял. Вы писали: "Вторая сеть (192.168.0.0/24) автономна и не должна отсвечивать в других сетях." Отсюда вывод: сеть 192.168.0.0/24 извне недоступна, кроме доступа у шефа и только к конкретному видеосерверу или серверам.

>[оверквотинг удален]
>>> int <lan_interface>
>>> ip nat inside
>> А разве тогда не будут ли иметь доступ к этому подразделению ТОЛЬКО
>> <ip_шев_в _управлении>? По идее, как я думаю, фильтровать нужно после NAT,
>> а самое правильное, в самом NAT, иначе мы теряем нашу легитимную
>> подсеть подразделения (10.х). Вот тут-то я и поплыл. Отбор адресов в
>> NAT я и не смог одолеть... :)
> Тогда я не понял. Вы писали: "Вторая сеть (192.168.0.0/24) автономна и не
> должна отсвечивать в других сетях." Отсюда вывод: сеть 192.168.0.0/24 извне недоступна,
> кроме доступа у шефа и только к конкретному видеосерверу или серверам.

access-list  101 не правильно написал, надо:

access-list 101 permit ip host <ip_шеф> host <ip_wan_interface>

Ведь локальный адрес видеосервера извне будет адресом внешнего интерфейса.

>[оверквотинг удален]
>>> int <lan_interface>
>>> ip nat inside
>> А разве тогда не будут ли иметь доступ к этому подразделению ТОЛЬКО
>> <ip_шев_в _управлении>? По идее, как я думаю, фильтровать нужно после NAT,
>> а самое правильное, в самом NAT, иначе мы теряем нашу легитимную
>> подсеть подразделения (10.х). Вот тут-то я и поплыл. Отбор адресов в
>> NAT я и не смог одолеть... :)
> Тогда я не понял. Вы писали: "Вторая сеть (192.168.0.0/24) автономна и не
> должна отсвечивать в других сетях." Отсюда вывод: сеть 192.168.0.0/24 извне недоступна,
> кроме доступа у шефа и только к конкретному видеосерверу или серверам.

Но если такой access-list применить к WAN-интерфейсу, то не пропадет ли все подразделение для всех, кроме адреса шефа?
Ладно, это я понял, тут нужно тогда не простой ACL, а ip access-list extended, со всеми диапазонами кому и чего можно... Попробую. Спасибо за мысль!

> Как же дать доступ к внутренним ресурсам и не допустить снижения секурити?

Google: DMZ