Subnets.ru

Ramirez писал(а):3 - красная собственно бухгалтерия, на схеме показан только сервер он же и роутер в интернет.

Функции роутера с сервера бухгалтерии снять в первую очередь, как это вообще возможно? поставьте любой PC и сделайте из него роутер, но совмещать с бугалтерией роутера для Интернета. Ладно если просто взломают, так еще и утащят данные.
Я правильно понимаю что у Station A - две сетевые карты?
Если, да, то что мешает на Station A и Station B порты перевести в trunk, настроить соответствующие интерфейсы с необходимыми параметрами и сделать отдельный vlan для связки Station A - Station B? Это стоит делать после выноса функций роутера со StationB
StationB, линк от провайдера и wifi роутера, все включаем в 2960. Тем самым облегчаем себе задачу в управлении сетью, 2960 поддерживает acl, что позволит отфильтровать трафик на входе от провайдера.

В том то и дело, что конфигурация сети останется как есть.
Моя задача выдать информацию на сервер, раздать Интернет на буки, и обезопаситься.

Ramirez писал(а):В том то и дело, что конфигурация сети останется как есть.

Что мешает ее поменять? Религия?

Ramirez писал(а):В том то и дело, что конфигурация сети останется как есть.Моя задача выдать информацию на сервер, раздать Интернет на буки, и обезопаситься.

В форуме разжевано все до мелочей уже.
1й вилан -в него асу + датчики.
2й вилан - в него буховский комп, роутер, буховские лэптопы.

АЦЛ на 2 порта. и все будет работать.

zaikini писал(а):Что мешает ее поменять? Религия?

Тут аверняка, как всегда, ряд факторов типа начальство неодобряет, непрерывный процесс производства, "а вдруг не получится" и т.п.

Доброго всем времени суток!
В текущий момент настроил свое приложение работать с SQL.
Данные на сервер вроде потекли. SQL слушает порт 2689 тут все хорошо.
А вот приложение запросы посылает каждый раз по разным портам.
Если почитать вот тут http://ru.wikibooks.org/wiki/TCP/IP вроде как получается приложение берет у винды текущий свободный порт.
Я насчитал уже с десяток. Собственно думаю как мне быть.
Вопросов два
Можно ли как нибудь жестко прописать за конкретным приложением конкретный порт.
И второе - похоже придется ограничится одним ACL на входе с сервера (по схеме Station B) чтоб пропускал пакеты только TCP, только с IP сервера с порта 2689.
Правильно ли я мыслю ?

Ramirez писал(а):А вот приложение запросы посылает каждый раз по разным портам.

А вы как хотели?
Служба работает на строго определенных портах, а вот клиент - на свободных. Точнее служба ожидает подключения на строго указанный порт/порты, а клиент подключается с произвольных портов, если нет необходимости задать их принудительно.
Как называется СУБД? SQL - это язык запросов, а не служба. Если бы читали выше - поняли бы о чем я говорил. Кому пишу - наверное себе и потомкам, но никак не для решения вашей проблемы.

Ramirez писал(а):Можно ли как нибудь жестко прописать за конкретным приложением конкретный порт.

На всех приложениях по-разному. Где можно, а где нет.

Ramirez писал(а):И второе - похоже придется ограничится одним ACL на входе с сервера (по схеме Station B) чтоб пропускал пакеты только TCP, только с IP сервера с порта 2689.

Если на Station B у вас СУБД, то в ACL надо разрешать входящий трафик на 2689 порт, и только с ip Station A.

Ramirez писал(а):Если почитать вот тут http://ru.wikibooks.org/wiki/TCP/IP вроде как получается приложение берет у винды текущий свободный порт.

Если бы все читали википедию, то все нормальные IT были бы богаты. Читайте RFC-доки.

На Station B допустим стоит СУБД Microsoft SQL Server
На порт ведущий к Station B
другими словами к серверу я вешаю ACL на вход порта -
разрешать трафик с IP Station B до Station A в формате TCP порт 2689.
Тем самым я отсекаю любой являющийся для Cisco внешний трафик
кроме ответов СУБД SQL что в принципе и требуется.
В направлении во вне я в общем виде правило написать не могу т. к. заранее неизвестен список портов
по которым будет посылать запросы мое приложение.
Еще бы хорошо пропускать только ответы интересно как это делается

Ramirez писал(а):На Station B допустим стоит СУБД Microsoft SQL Server

наконец-то. Теперь будем точно знать что серверное приложение.

Ramirez писал(а):На порт ведущий к Station Bдругими словами к серверу я вешаю ACL на вход порта - разрешать трафик с IP Station B до Station A в формате TCP порт 2689.

Вот я опять ничего не понимаю. Вы же говорите, что MSSQL server стоит на Station B (на буховском сервере), а АСУ кидает на него? Для этого вам надо разрешить tcp трафик от Station A на Station B в порт 2689.

Ramirez писал(а):Тем самым я отсекаю любой являющийся для Cisco внешний трафиккроме ответов СУБД SQL что в принципе и требуется.

Cisco по барабану. Это для нее транзитный трафик.

Ramirez писал(а):В направлении во вне я в общем виде правило написать не могу т. к. заранее неизвестен список портовпо которым будет посылать запросы мое приложение.

Если есть желание - настройте клиента, может там такое и есть (с клиентом для MS SQL server не работал), а вообще в этом нет необходимости.

Ramirez писал(а):Еще бы хорошо пропускать только ответы интересно как это делается

Какие ответы TCP? Если да, то никак это не делается ибо tcp-диалог состоит из 4х этапов (если я правильно помню):
1. отправка запроса на подключение
2. получение ответа на подключение.
3. передача данных
4. crc

В udp пакетах все проще - просто передача (как есть). Но СУБД на udp работать не будет.

Смотрим схему, Station A заходит на Cisco, жаль на схеме не обозначил но пусть будет порт А,
другой порт - ведущий к Wi-Fi роутеру и потом к серверу Station B пусть будет Б.
Теперь дальше, я повесил ACL на вход (на выход почему-то не получается) порта Б
Разрешил проходить пакетам от Statin B до Station A TCP порт 2689.
Т. е. MSSQL которая стоит на Station B принимает запросы на порт 2689 и соответственно с него и отвечает.
Таким образом на Cisco попадает только трафик TCP с порта 2689 до Station A должно же клиентское приложение знать,
что данные, которые он положил обработаны.
А на порт А мне не приходят мысли что-нибудь вешать, кроме разве нерасширенного ACL разрешить TCP трафик только до Station B.
Вот как то так.
На досуге все проверил - вроде работает.

Ramirez писал(а):На досуге все проверил - вроде работает.

это не ответ. Выясняйте точно.

Ramirez писал(а):Смотрим схему, Station A заходит на Cisco, жаль на схеме не обозначил но пусть будет порт А,другой порт - ведущий к Wi-Fi роутеру и потом к серверу Station B пусть будет Б. Теперь дальше, я повесил ACL на вход (на выход почему-то не получается) порта БРазрешил проходить пакетам от Statin B до Station A TCP порт 2689.

это я как не пытался понять - не понял.

Ramirez писал(а):А на порт А мне не приходят мысли что-нибудь вешать, кроме разве нерасширенного ACL разрешить TCP трафик только до Station B.

А нельзя разрешить в port-B весь трафик на tcp порт 2689 с port-A, а в port-A весь трафик с tcp порта 2689 от port-B?