hardhearted
Advanced Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Tabu13
ну как вариант третья сетевуха и циску вешать на третью, можно вообще ису снаружи закрыть циской, то есть оставить две сетевухи просто наружу иса будет попадать через циску, между циской и исой сделать промежуточную сетку (у меня так, тоже куча впн каналов и все на цисках).
TCP Stateful filter, подробно описан на офсайте, и срабатывает только на tcp, udp и icmp работают нормально, если на пальцах то происходит такая штука: комп из филиала коннектится на комп из твоей сетки, пакет с флагом syn (в начале tcp сессии именно такой посылают) идет из филиала через циску прямиком на комп (через ису он не проходит ибо циска в твоей сети она комп видит напрямую) комп отвечает с флагом ack, но ответный пакет (маршрута то нет) идет через default gateway, то есть через ису, а иса видит что пакет ack есть а syn не было (как раз этим анализом и запоминанием что было а чего не было и занимается вышеупомянутый фильтр), исе такие расклады не нравятся, она считает это неправильным и пакетик ack дропает. в обратную сторону будет все ок, syn пойдет через ису, это нормально, а обратно вернется через циску, у циски такой фильтр по умолчанию не включен поэтмоу она не дропнет.
как отключить его и отключается ли он вообще я не знаю.
насчет firewall клиентов то нужно филиальную сеть вписатьна каждом компе в файлик C:\Documents and Settings\All Users\Application Data\Microsoft\Firewall Client 2004\LocalLAT.txt в формате
начальный адресtab(символ табуляции)конечный адрес, например
192.168.2.1 192.168.2.255
маршруты прописывать в своей сети все равно надо
все это можно делать скриптами через доменную политику например.
Добавлено:
shpunt
что то я тогда не пойму у тебя две сетки, между ними даже роутинга нет? какие провода куда идут не важно, логически как они друг друга видят, как вторая сетка видит ису? |
)) 
