Автор Тема: Нужен односторонний ACL на сетевом и транспортном уровнях  (Прочитано 1582 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Сергей7766

  • Новичок
  • *
  • Сообщений: 8
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Moscow
Всем здравия. Имеется топология router on a stick. Роль “маршрутизатора на палочке” с сабинтерфейсами играет R17 (на топологии выделил название желтым маркером).
В vlan3 расположен Контроллер Домена. Остальные хосты-его клиенты.
Протокол LDAP работает на портах 389 (серверный порт) и 1024-65535 (пул клиентских портов).
Подскажите, пожалуйста, каким образом можно обеспечить доступ из vlan1 во vlan3 по LDAP и из vlan2 во vlan3 по всем возможным протоколам без ограничений. При этом доступа из vlan3 во vlan1 и vlan2 нет абсолютно никакого!

Что я пробовал? Навешивать ACL. При чем на разных портах разных сетевых устройств (вешал на входящем соединении порта switch12, за которым стоит Контроллер Домена, запрет на ip адрес хоста DC, то есть самого контроллера домена. Запрет-то ставится, только вот обратно он ответные пакеты из-за этого другим хостам не может слать, точнее, эти пакеты просто блочатся на входящем порту switch12, хотя запрос пошел от другого адреса. Также вешал на подинтерфейс роутера R17, в итоге та же история: двунаправленный запрет, что в одну сторону для одного хоста запрет на трафик, что в другую сторону, тк физический порт один, либо же связь между сабинтерфейсами такая же двунаправленная, но суть та же, что порт один. Файерволы и IPS/IDS пытаюсь рассмотреть, может кто какие варианты может посоветовать? Есть вроде функция acl established, но она навешивается внутри для своего набора адресов локальной сети (в данном случае vlan3). То есть established позволяет инициировать соединение изнутри вовне и принимать оттуда трафик, но первыми хосты из vlan1 и vlan2 подключиться в таком случае не смогут. Хотя, сейчас до меня дошло, что, возможно, я могу поставить established на порты самих vlan1 и vlan2, либо на их сабинтерфейсы на роутере и тогда эти члены домена из vlan1 и vlan2 смогут инициировать соединение к DC во vlan3, но не наоборот. Или может здесь есть решение в виде инструментов AD типа одностороннего отношения доверия, LDAPS или VPN, удаленное подключение пользователей к DC по RDP? Или мб DNS-туннелирование поверх IP, например. Но чую, что DNS и VPN вместе с LDAPSом также будут давать двустороннее подключение, что расходится с задачей, да и вообще не для этого предназначено. Жду ваших идей, буду рад обсудить