Прозрачный брандмауэр с маршрутизатором. Тестовая лаборатория

Ой, да прекратите офтопить, ident не имеет отношение к статье совсем. Хотите дать офтоптый совет - пишите на мыло, заодно проверите, open-relay или нет. О конфигурации брандмауэра также явно было указано в статье, что это не рассматривается, как вам надо, такие правила и ставьте. Это не влияет на решение никак, даже если вы от это решение и не будете применять вовсе. А вот получить кучу дыр, когда файрволы на кажом хосте - запросто, в одном месте прикрыли, в другом закрыли нужное, но оставили дыру в другом месте.

дык вы первый начали, типа пацаныы там все знают, а оказалось ничерта не знают, а потом ой, и проломили:)

типа пацаныы там все знают

true. Про stp и возможные какие-либо дополнения в брандмауэре в статье всё знают. С wccp вообще смешно, этот конфиг просто столетний, когда действительно был дочерним к провайдерскому (да да, это были времена, когда прямой трафик стоил 35 центов за мегабайт, а через прокси - 10).

всем пофиг откуда он там и почему, факт в том что он не нужен а светит в мир через ваш типа фаервол, ms-sql там кстати тоже гдето торчит. нечеткие пацаны то какието там у вас получаются.

всем пофиг откуда он там и почему

Вы не поняли, я вполне не против культурно искать у кого уязвимости и предлагал вам посмеяться на моё посыпание головы пеплом. Только статья то тут причём, это же типичный слив = этакий переход на личности. mssql там точно не может быть, что-то вы другое нашли. А, понял, вы перепутали с udp 1433, это VPN для клиентов.

ну я вам просто напомнил, о чем часто забывают, а вы сами перешли, пацаны типа все знают, вот я и посмотрел повнимательней как они там все знают:) посыпать голову пеплом иногда полезно - мотивирует делать так чтоп так больше небыло. а по поводу скуэля:

Nmap scan report for 78.25.64.50 Host is up (0.054s latency). Not shown: 985 closed ports PORT STATE SERVICE 19/tcp filtered chargen 53/tcp open domain 80/tcp open http 81/tcp open hosts2-ns 135/tcp filtered msrpc 139/tcp filtered netbios-ssn 443/tcp open https 445/tcp filtered microsoft-ds 1433/tcp open ms-sql-s 1720/tcp filtered h323q931 4444/tcp open krb524 5060/tcp filtered sip 8001/tcp open vcom-tunnel 8080/tcp open http-proxy 8888/tcp open sun-answerbook

тут tcp, не шюпал что там но порт то его, и мускул гдет там светился тоже и еще чето, думаю умеете nmap'om пользоваца, мне влом в истории рыца там 250 хостов всетаки.

Ну я для вашего же реноме просил писать на почту этот оффтопик, ну опять попали пальцем в ж. Не моя это сеть, она намного теперь короче /24.

ну значит мегафон бд не обновил, но сквид то чей на всей этой цешке светица? тоже не ваш?

но сквид то чей на всей этой цешке светица

Да нихрена он там не светится. Перепроверил, собран он без wccp давно, какой-то порт зачем-то по udp открытым светит, с общей идеей файрвола вступает в противоречие, где по tcp открывается нужное, а по верхним udp открыто для прохождения юниксового traceroute, короче думать надо, а я не могу, похоже грипп подхватил, температура, думать не получается.

Вот народ! Понапридумывают себе проблем, потом хитрым способом их решают...

Сказали же вам: OpenVPN или любой другой VPN!

Нафига покупать Циски, если комп десятилетней давности с двумя-тремя сетевухами под Линухом/БСД справляется с задачами маршрутизации/проксирования/фильтрации/... на порядок лучше, гибче и быстрее. Для прямой связи между филиалами можно просто ДЛинки взять и связать через IPSec. Но общее решение, включающее работников на дому и любые другие подключения — это OpenVPN, благо клиенты есть даже для WinMobile.

Сказали же вам: OpenVPN или любой другой VPN!

Вот что за маниакальное желание у анонимусов обсираться, писать нечитая коментарии? Ладно, всё равно думать не получается, так и быть, для покопипастить думать не надо.

У меня 4 типа VPN, для филиалов, для клиентов, для себя любимого мой порт vtun, для БД админов ТАДАМ - OpenVPN. И что это меняет? Как OpenVpn и любой другой vpn обеспечит центральный брандмауэр и не станет нужным указывать маршрутизацию к этим прокинутым сетям на всех хостах?

ТС, сходи на nag.ru там люди практикой занимаются ;) Щаз есть модная тема - сайты фильтровать

неушта mx80? %)

Это что вообще было? На наге в форуме unix статья опубликована.

ога, тамошнему контингенту она как собаке 5тая нога.

тамошнему контингенту

Там буквально рядом такие вопросы, что просто стыдоба, ниже местного уровня проскакивает.

потому что это публичный форум.

Там хоть ананимусы не пишут такие бессмысленные комментарии. И у ТС-а есть право их тереть.

Srx, за mx-80 меня из дома выгонят (на самом деле нет).

И мы так и не услышали начальника транспортного цеха, как микротик с VRF тут бы помог. Ладно, так и быть, надорву пупок и натаскаю домой всяких шеститонников, ASA, 37каких-нибудь. А дальше что? Ну допустим одно решение я знаю, чтобы кошка не спамила в сеть свой arp на все адреса, что не успели ответить надо специально это выключать no ip directed-broadcast, так что если не убрать можно и не очень думать о выставлении маршрута до маршрутизатора тунелей. А access-list-ы куда будем вешать? Ну не у всех же есть ASA свободная для прозрачного файрвола.