Практика
Last updated
Last updated
Чего от нас требует реальность? 1) Сеть управления не имеет доступа в интернет вообще 2) Хосты из сети ПТО имеют доступ только к профильным сайтам, например, Linkmeup.ru 3) Милым дамам из бухгалтерии нужно вырубить окно в мир клиент-банков. 4) ФЭО не выпускать никуда, за исключением финансового директора 5) В сети Other наш компьютер и компьютер админа — им дадим полный доступ в интернет. Всем остальным можно открывать по письменному запросу. 6) Не забудем про филиалы в Питере и в Кемерово. Для простоты настроим полный доступ для эникиев из этих подсетей. 7) С серверами отдельная песня. Для них мы настроим перенаправление портов. Всё, что нам нужно: а) WEB-сервер должен быть доступен по 80-му порту б) Почтовый сервер по 25-му и 110-му в) Файловый сервер доступен из мира по FTP. 8) Компьютеры админа и наш должны быть доступны из Интернета по RDP. Вообще-то это неправильный путь — для удалённого подключения нужно использовать VPN-подключение и уже будучи в локальной сети использовать RDP, но это тема отдельной совсем другой статьи.
Сначала подготовим тестовую площадку:
Подключение к Интернету будет организовано через существующий линк, который предоставляет провайдер. Он уходит в сеть провайдера. Напоминаем, что всё в этом облаке — это абстрактная сеть, которая на деле может состоять из десятков маршрутизаторов и сотен коммутаторов. Но нам нужно нечто управляемое и предсказуемое, поэтому водружаем сюда ещё маршрутизатор. С одной стороны в него линк из коммутатора, с другой сервера в Интернете.
Сервера нам понадобятся следующие: 1. Два клиент-банка для бухгалтеров (sperbank.ru, mmm-bank.ru) 2. Linkmeup.ru для ПТОшников 3. яндекс (yandex.ru)
Для такого подключения мы поднимем ещё один влан на msk-arbat-gw1. Его номер, разумеется, согласуется с провайдером. Пусть это будет VLAN 6 Предположим, провайдер предоставляет нам подсеть 198.51.100.0/28. Первые два адреса используются для организации линка (198.51.100.1 и 198.51.100.2), а оставшиеся мы используем, как пул для NAT’a. Впрочем, никто совершенно нам не мешает использовать и адрес 198.51.100.2 для пула. Так и сделаем: пул: 198.51.100.2-198.51.100.14 Для простоты предположим, что публичные сервера у нас находятся в одной подсети: 192.0.2.0/24. Как настроить линк и адреса вы вполне уже в курсе. Поскольку у нас только один маршрутизатор в сети провайдера, и все сети подключены непосредственно к нему, то необходимости настраивать маршрутизацию нету. А вот наш msk-arbat-gw1 должен знать куда отправлять пакеты в Интернет, поэтому нам нужен маршрут по умолчанию:
Теперь по порядку
Во первых настроим пул адресов
Теперь собираем ACL:
не имеет доступа в интернет вообще Готово
Имеют доступ только к профильным сайтам, например, Linkmeup.ru
Даём доступ всем хостам на оба сервера
Даём разрешение только финансовому директору — это только один хост.
Наши компьютеры с полным доступом
Пусть адреса эникиев будут одинаковыми: 172.16.х.222
Вот так выглядит сейчас ACL полностью:
Запускаем:
Но счастье не будет полным без настройки интерфейсов: На внешнем интерфейсе нужно дать команду ip nat outside На внутреннем: ip nat inside
Это позволит маршрутизатору понять откуда ждать пакеты, которые нужно будет обработать и куда их потом слать.
Show must go on!
Сразу проверяем, например, мы можем это делать с тестового ПК c аресом 192.0.2.7. Сейчас ничего не заработает, потому что для сети серверов у нас не настроен интерфейс на msk-arbat-gw1:
На этом первое знакомство с технологией NAT можно считать законченным. В качестве ещё одного ДЗ ответьте на вопрос, почему нет доступа в Интернет с компьютеров эникиев в Питере и в Кемерово. Ведь мы их добавили уже в список доступа.
Чтобы сервера в интернете были доступны по доменному имени, нам бы неплохо было обзавестись DNS-сервером в нашей сети:
Естественно его, нужно прописать на тех устройствах, с которых будем проверять доступ:
С компьютера админа доступно всё:
Из сети ПТО есть доступ только на сайт linkmeup.ru по 80-му порту (HTTP):
В сети ФЭО в мир выходит только 4.123 (финдиректор)
В бухгалтерии работают только сайты клиент-банков. Но, поскольку разрешение дано полностью на протокол IP, то их можно и пинговать:
Тут нам нужно настроить проброс портов, чтобы к ним можно было обращаться из Интернета:
А теперь:
Вот для этого в ACL Servers-out мы открывали также и 20-21-й порты для всех
Проверить также не сложно. Следуйте инструкциям: Сначала настраиваем почтовый сервер. Указываем домен и создаём двух пользователей.
Далее вносим домен в DNS. Этот шаг необязательный — можно к серверу обращаться и по IP, но почему бы и нет?
Настраиваем компьютер из нашей сети:
Из внешней:
Готовим письмо:
На локальном хосте нажимаем Receive:
