Настройка маршрутизации в Windows Server
В один прекрасный, не помню солнечный или нет, день встала задача разделить два сегмента сети, ограничив доступ из одного сегмента в другой. Естественно, нормальный маршрутизатор никто не собирался покупать, сказали делать на чем есть: Windows 2003 Server.
Ну что ж делать... Надо так надо. Как показал поиск в интернете, на вопрос: как настроить маршрутизацию? Однозначного ответа не было найдено. Везде была расшифровка что такое IP адрес и маска подсети. Однако этого не было достаточно для настройки маршрутизации, т.к. в Windows этого не достаточно. Поэтому описываю как настраивали мы.
Начало
Поставили Windows 2003 Server, добавили роль маршрутизатора (Routing and Remote Access). На компьютере-маршрутизаторе стоят 3 сетевые карты: 1 сегмент, 2 сегмент, интернет (да, не слишком большое финансирование, 1 сервер выполняет все, что только можно придумать, и файл-сервер, и прокси, и маршрутизатор, и dns-сервер, и контроллер домена...). На примере рассмотрим маршрутизацию между 1 и 2 сегментом сети.
Дано: два сегмента сети. Один: 192.168.0.х, второй: 192.168.1.х. Сделать так, чтобы сегменты были полностью разделены, но из первого сегмента несколько компьютеров имели доступ ко второму сегменту.
Процесс
Для начала разделим сегменты. Заходим в оснастку управления маршрутизацией.
Выбираем один из интерфейсов. Интерфейс - грубо говоря есть та сетевая карта, для которой мы хотим настроить правила маршрутизации. В нашем случае - правила маршрутизации определят то, с каких адресов на какие пакеты могут проходить беспрепятственно, а какие адреса не имеют доступ друг к другу.
Настройка
Окно настройки интерфейса выглядит так:
Нас интересуют кнопки "Inbound Filters..." и "Outbound Filters...". Суть этих кнопок сводится к тому, что Inbound Filters - работают с пакетами пришедшими на этот интерфейс, а Outbound Filters - работают с пакетами, которые пытаются уйти через выбранный интерфейс. Можно провести такую аналогию: Inbound Filters - фейс контроль на входе, Outbound Filters - фейс контроль на выходе.
Мы настраивали фейс-контроль на выходе для интерфейса (Outbound Filters...)
Transmit all packets except those that meet criteria below - значит пропускать все пакеты, кроме тех, которые указаны. Политика безопасности "Разрешено все, что не запрещено".
Drop all packets except those that meet criteria below - значит не пропускать пакеты, кроме тех, которые указаны. Политика безопасности "Запрещено все, что не разрешено". В нашем случае это лучше, потому что нам необходимо порезать весь траффик, кроме разрешенного.
Drop all packets except those that meet criteria below - значит не пропускать пакеты, кроме тех, которые указаны. Политика безопасности "Запрещено все, что не разрешено". В нашем случае это лучше, потому что нам необходимо порезать весь траффик, кроме разрешенного.
Итак, у нас есть несколько адресов, которым должны быть доступны все сегменты сети:
192.168.0.100, 192.168.0.101, 192.168.0.200
Окно настройки правила выглядит так:
192.168.0.100, 192.168.0.101, 192.168.0.200
Окно настройки правила выглядит так:
Итак, возьмем 2-ой интерфейс и создадим правила, которые позволят пропускать пакеты от наших 3-х компьютеров:
| Source IP | Source Mask | Destination IP | Destination mask |
| 192.168.0.100 | 255.255.255.254 | 192.168.1.0 | 255.255.255.0 |
| Данное правило означает: пропустить через выбранный интерфейс все пакеты от адресов 192.168.0.100, 192.168.0.101 (потому что маска подсети 255.255.255.254 задает не строгое соответствие адреса) для адресов 192.168.1.х | |||
| 192.168.0.200 | 255.255.255.255 | 192.168.1.0 | 255.255.255.0 |
| Данное правило означает: пропустить через выбранный интерфейс все пакеты от адреса 192.168.0.200 (потому что маска подсети 255.255.255.255 задает строгое соответствие адреса) для адресов 192.168.1.х | |||
Примеры задания масок подсети:
192.168.0.111/255.255.0.255 - значит, что будет взят 111 адрес из любого сегмента. Под это правило попадут адреса: 192.168.0.111, 192.168.2.111, ..., 192.168.255.111.
192.168.0.1/255.255.255.255 - значит, что будет взят строго адрес 192.168.0.1.
Вопросы? Комментарии?
Alex
[16.09.2021]
Вопросы ещё актуальны?
SLAVA725G
[27.02.2013]
