forum.lissyara.su

Не знаю, че-то меня пробило сегодня на стрем, решил спросить такой вопрос.
Есть шлюз на FreeBSD 6.2, два сетевых интерфейса, один ADSL-модем с белым ip, другой локалка. На нем подняты 4 VPN соединения (IPSEC) на другие сервера. Две недели назад поднял еще один сервер на FreeBSD 7.0, в качестве web-сервера (для отладки сайтов). Пров выдал белый IP, я все прописал как надо, все чудесно работает, только вот закрадывается у меня мысль, что кто-то шарится в моей локалке. Дело в том, что этот web-server подключен в один свитч с основной локальной сетью. Нет ли здесь подводных камней? Понимаю, что теоретически извне достучаться до машины с серым адресом невозможно, но все же...

P.S. На шлюзе firewall_type="OPEN"

впринципе более менее понятно
но неплохо если бы ты нарисовал)

Vitaliy_a писал(а):P.S. На шлюзе firewall_type="OPEN"

Через любой рутшел на сервере или дырявый скрипт можно получить доступ к локалке, а там - на что фантазии хватит.

Да картинка в обшемто понятна, но как правильно сказал paradox не плохо бы картинку, а по теории для этого сервака надо бы организовать отдельную DMZ (смотри гугл) ну и настроить бы фаервол не плохо, хотя у меня например тоже открытый но серый адрес и пара роутеров по пути уменьшают опасность

все выглядит примерно так

что из себя предсталвяет свитч?
и куда прокинуты IPSEC?
у локалки серые адресса?
локалка в инет ходит? как? nat?

свитч самый обычный D-Link DES-1024D http://www.megaopt.com.ua/i/4892.html
ipsec настроен почти также http://www.lissyara.su/?id=1328 , только без сертификатов - с ключами
локалка конечно ходит в inet через nat
подсеть локалки 172.16.2.0/24

я бы на вашем месте
на сервере поднял vpn сервер
вашему веб серверу выдал айпи с вашей 172/
а через vpn выдавал бы реальный айпи
и пересмотрел политику фаервола на сервере(кого куда впускаем выпускаем итд)
а за ОПЕН и забыл бы