Навигация
Системное Администрирование Решения на открытых кодах Структура сети Компьютерные сети малых предприятий Сеть с централизованным управлением Управление с помощью групповых политик Организация почтового обслуживания Взаимодействие с глобальной сетью Безопасность Виртуализация Парядок настройки и определения неисправностей Средства управления системами Автоматизация установки программного обестичения Решение проблем с компьютером Разное
 
 
Избранное
Pathping. Traceroute на стероидах.
FreeNAS: создаём сетевое хранилище (NAS)
Iperf - утилита для тестирования пропускной способности сети.
Средство против «сетевой слепоты»
Преимущества и недостатки RAID 6
Дисковые массивы RAID
Надежнее, чем RAID 5
Унификация корпоративных коммуникаций
Exchange и SAN: не все так просто
Cisco против Meru
 
 
Взаимодействие с глобальной сетью - Фильтрация трафика VPN
В системах Windows VPN-канал создается службой маршрутизации и удаленного доступа. Поскольку RRAS проводит аутентификацию пользователя, то весь VPN-трафик безопасно может быть перенаправлен на такой сервер. Для обеспечения безопасности сервера (предотвращения атак на другие службы) в этом случае достаточно установить фильтры, которые пропускают к нему только трафик VPN и отсекают иные пакеты.

Подобную настройку легко выполнить штатными средствами, не устанавливая дополнительно программы брандмауэра. Следует настроить следующие фильтры на интернет-интерфейсе сервера:
      для подключения по РРТР:
  • по умолчанию игнорировать все пакеты, кроме явно разрешенных;
  • разрешить IP-протокол на порт 1723 (разрешает передачу управляющего трафика РРТР);
  • разрешить IP-протокол с идентификатором 47 (разрешает передачу данных по РРТР);
  • разрешить IP-протокол на порт 1723 в варианте TCP [established) (настройка нужна, если инициатором соединения выступает сам VPN-сервер);
    1. для подключения по L2TP:
  • по умолчанию игнорировать все пакеты, кроме явно разрешенных;
  • разрешить пакеты на UDP-порт номер 500;
  • разрешить прохождение протокола с идентификатором 50;
  • разрешить пакеты на UDP-порт номер 1701.


Не забывайте, что для обоих фильтров необходимо разрешить прохождение как входных пакетов, так и соответствующих симметричных выходных. Настройка создания VPN в случае использования Microsoft Internet Security Acceleration Server в качестве брандмауэра организации осуществляется с помощью мастера операций. Реально этот мастер выполняет две операции: активизирует RRAS и добавляет VPN-порты, а также создает фильтры, разрешающие прохождение РРТР и L2ТР-пакетов на интерфейс RRAS.


 
 
 
 
Поиск по сайту
Google Поиск


Яндекс поиск
 
 
Полезное
 
 
 
 
 
systemzone.ru 2014