[QRS]

В W2003 вопрос с фильтрами решался в свойствах интерфейса (через оснастку RRAS) - там можно задать фильтр входа и выхода для любого интерфейса.

[Safety1st]

DemonSKED, я FreeBSD совсем не умею управлять, но если Вы "рулили сервером во фре", то это по ходу несложно. Исхожу из предположения, что "рулят" обычно сисадмины, а не эникейщики или пользователи, знающие больше других и кажущиеся себе сисадминами. Почему у меня возникло такое ощущение? NAT - это зло, которое мы вынужденно используем в силу ограниченности числа глобально маршрутизуемых IP-адресов (обычные люди называют их "внешними" или "публичными ), а вы сетку 192.168.1.0/24 поместили за целыми 2-мя NAT, что является крайне нерекомендуемой конфигурацией, используемой только по незнанию. На сервере 192.168.1.1 NAT не нужен, просто маршрутизация должна быть сделана.

Для этого нужно:
a) удалить протокол маршрутизации NAT на сервере
b) на маршрутизаторе 10.0.0.1 указать маршрут до сети 192.168.1.0/24

После этого можно 'изолировать':
IPv4->General; выбираете интерфейс 192.168.1.1; Свойства->Кнопка ''Входящие фильтры..." (Inbound Filters...):
Новый, Сеть назначения, IP 10.0.0.0, маска 255.63.0.0 (закрывает диапазон 10.0.0.1-10.0.3.255) либо для простоты IP 10.0.0.0 и маска 255.0.0.0 (закрывает всё на 10.x.x.x), все протоколы, Ok, переключатель оставляем на "Принимать все пакеты, кроме ...".

[DemonSKED]

Isotonic,
Жаль что у вас сложилось впечатление обо мне такое. Ну вот нравится мне фраза рулю, а не администрирую. А двойные нат, ну так мне вообще не особо дают руки распускать, так как администраторов нас два, причем второй протеже начальника и его решения "по умолчанию верные".
Ваш совет приму к сведению. Видимо вы делали такое, так как выглядит весьма убедительно. Мне последние пару лет приходилось заниматься фрёй.
Сама идея как оно должно блокироваться мне пришла верная ведь.

[Safety1st]

Не, я имел ввиду 'рулю' не синонимом к 'администрирую' в том контексте. А - 'управляю, имея права, навыки и знания для этого'. Рулю - это звучит гордо, когда не просто как-то настраиваешь, а с пониманием, как это работает и как это должно быть настроено. Извините, что резко среагировал. Вы развеяли это впечатление.

По моему определению 'рулит' Ваш коллега, хотя бы потому что прав у него больше Жаль, если единственное объяснение этого для Вас - что протеже. Вы можете просто не видеть других причин со стороны руководства. Или он несправедливо считается более опытным? В любом случае, если хотите что-либо изменить - нужно что-то делать.

Начните с NAT.

Вы пробовали обращаться к коллеге за помощью? Или стараетесь по возможности скрывать от него свои незнания каких-то моментов? (как подавляющее большинство делает). Если он действительно шарит, он не сможет назвать ни одной причины против одной NAT вместо 2-х. А у Вас при себе готовый список плюсов.

А вдруг админ/руководство считают, что Вы слабее, чем Вы есть? Я бы тоже такому админу не давал руки распускать. Тогда нужно себя начинать зарекомендовывать соответственно уровню. Выход есть всегда.

Цитата DemonSKED:

Сама идея как оно должно блокироваться мне пришла верная ведь. »

Верная. Но это маленькое достижение, чтобы им гордиться

[DemonSKED]

Единственное объяснение что протеже потому что, он со мной спорил что если настроена маршрутизация и нат то сеть 192.168.1.0 не может видеть остальную сеть. Ну вот не должна она видеть. И начальник тоже самое заявил. И тут возникает вопрос-они правы? По моему нет, или я совсем ничего не понимаю и пора вооружиться кипой книг и все читать заново.
Подумав и все взвесив сегодня отрублю нат по вашему совету, он действительно там не нужен. Потом отпишусь.

[DemonSKED]

Эх, все не как у людей. Добрался до щлюза. Отрубил нат, настроил фильтр, маршрут прописали они по моей просьбе на 10.0.0.1 (меня не пускают к нему). Все работает по совету Isotonic.
Но тут другое добавилось, один сервер нужно открыть в сети 192.168.1.0 как это сделать фильтрами не понимаю. Надеюсь на совет. Плохой я администратор windows...
Вот в Ipfw все просто add deny all from 192.168.1.0/24 to 10.0.0.0/255.36.0.0, add allow all from 192.168.1.0/24 to 10.0.0.20.

[Safety1st]

Цитата DemonSKED:

то сеть 192.168.1.0 не может видеть остальную сеть »

Это неконкретная формулировка без специальной сисадминской терминологии. Что значит 'видеть' в данном контексте? Видеть в списке сетевого окружения? Вы сами в начале писали: "

Цитата DemonSKED:

Но эта сеть через этот же нат свободно ходит в сеть 10.0.0.0-10.0.3.255. »

Выходит, NAT 'изоляции 192.168.1.0/24' (запрета хостов сети 192.168.1.0/24 общаться с хостами сети 10.0.0.0/14) не помогает. Он помогает в другом случае - из сети 10.0.0.0/14 никто не может пробиться к 192.168.1.0/24, но не наоборот. Потому что 'двери на вход' с сети 10.0.0.0/14 (временное сопоставление внутреннего адреса и порта и внешнего адреса и порта) открываются только по требованию хостов 192.168.1.0/24. Они т.о. не правы.

Цитата DemonSKED:

один сервер нужно открыть в сети 192.168.1.0 как это сделать фильтрами не понимаю »

Ура! Вы теперь уже не говорите 'встроенный фаер' У RRAS-фильтров ограниченные возможности: запретить всё, кроме, или разрешить всё, кроме. Вам же теперь нужно запретить всё, кроме, но с исключением. Здесь уже не легко и просто, потому что одновременно в фильтре нельзя иметь и разрешающие, и запрещающие правила с отработкой в порядке приоритета...

К сожалению, я по-другому понял выражение 'один сервер нужно открыть в сети 192.168.1.0': подумал, что компам сети 10.0.0.0/14 'один сервер нужно открыть в сети 192.168.1.0'. Поэтому, всё что в '----' относится к тому случаю, переписывать не вариант :

----

Компам сети 10.0.0.0/14 нужно будет, например, через DHCP разослать маршрут до сети 192.168.1.0/24, чтобы они знали, через какой маршрутизатор доступен сервер 192.168.1.x. Так точно будет работать. Но сначала можно попробовать и без этого: по идее, порядочные роутеры должны отправлять ICMP redirect с адресом 'правильного' маршрутизатора для пересылки, а порядочные хосты (если firewall не блокирует) реагировать на такие пакеты.

Я не меньше 2-х часов думал, как извратиться в этом случае. Не такой уж это простой вопрос в силу ограничений
Предлагаю следующее. Общая концепция: меняем одно правило широкого диапазона на ряд более узких, которые закрывают доступ к 10.0.0.0/14 для всех хостов, кроме 192.168.1.1-192.168.1.4, которые и будут выделены в качестве адресов для серверов. На DHCP нужно исключить эти адреса из выдачи и создать резерв для этого одного 'сервера' (или задать на хосте статические настройки, но тогда по настройкам будет видно, что он 'избранный').
Правила создавать на том же фильтре, что и ранее:

Сеть назначения: IP 10.0.0.0, маска 255.63.0.0 либо IP 10.0.0.0 и маска 255.0.0.0

Исходные сети (для каждого правила свои) + 'все протоколы':
сеть 192.168.1.128 маска 255.255.255.128 (закрывает 192.168.1.128-192.168.1.255)
сеть 192.168.1.64 маска 255.255.255.192 (закрывает 192.168.1.64 -192.168.1.127)
сеть 192.168.1.32 маска 255.255.255.224 (закрывает 192.168.1.32 -192.168.1.63)
сеть 192.168.1.16 маска 255.255.255.240 (закрывает 192.168.1.16 -192.168.1.31)
сеть 192.168.1.8 маска 255.255.255.248 (закрывает 192.168.1.8 -192.168.1.15)
сеть 192.168.1.4 маска 255.255.255.252 (закрывает 192.168.1.4 -192.168.1.7)

Чтобы ограничить и хосты 2-3 в обмене, нужно дополнительно указывать несколько правил именно для них:
сеть 192.168.1.2 маска 255.255.255.252 (закрывает 192.168.1.2 -192.168.1.3)
но использовать не 'все протоколы', а только так, чтобы закрыть всё, кроме нужного.

----

Для случая 'один сервер нужно открыть в сети 10.0.0.0/14 для сети 192.168.1.0/0' это тоже подходит: правим только 'сеть назначения' по аналогии, так чтобы неблокированным остался маленький диапазон, куда и поместить целевой сервер. Над комбинациями сеть/маска думайте сами

Как в Ipfw RRAS не может. Может TMG (бывший ISA).


Я бы изолировал сеть 192.168.1.0/24 не вообще, а только избирательно бы блокировал то, что не нужно, по ключевым точкам входа. Например, конкретные порты UDP 138,139, TCP 135, 137, 445 и т.д. Что значит 'ключевые': заблокировать TCP 135 - полностью прикрыть весь RPC-трафик. Это не так жёстко, но может быть достаточно. Какие-то порты перечислены здесь. Главное, что тогда более гибко можно фильтры настраивать. Нас уже не ограничивают правила RRAS.

[DemonSKED]

Цитата:

Цитата DemonSKED: то сеть 192.168.1.0 не может видеть остальную сеть » Это неконкретная формулировка без специальной сисадминской терминологии. Что значит 'видеть' в данном контексте? Видеть в списке сетевого окружения? Вы сами в начале писали: " Цитата DemonSKED: Но эта сеть через этот же нат свободно ходит в сеть 10.0.0.0-10.0.3.255. » Выходит, NAT 'изоляции 192.168.1.0/24' (запрета хостов сети 192.168.1.0/24 общаться с хостами сети 10.0.0.0/14) не помогает. Он помогает в другом случае - из сети 10.0.0.0/14 никто не может пробиться к 192.168.1.0/24, но не наоборот. Потому что 'двери на вход' с сети 10.0.0.0/14 (временное сопоставление внутреннего адреса и порта и внешнего адреса и порта) открываются только по требованию хостов 192.168.1.0/24. Они т.о. не правы.

Именно.
За ваш совет спасибо. Все получилось. Почерпнул многое для себя. Оговорюсь еще раз - от адмнистрирования windows отошел года 4 назад все напрочь забыл занимаясь freebsd. Учусь заново, вспоминаю.
Кстати о TMG, а она разве не только под x64? Ибо сервер щел из коробки с x32.

[Safety1st]

Цитата DemonSKED:

Кстати о TMG, а она разве не только под x64? »

Не уточнял, скорее всего. Для меня давно стандарт: сервер - значит x64.