Re: 請教一個網路架構.. 傷腦筋

看板Network作者codex (all or nothing)時間20年前 (2005/02/08 13:35)推噓0(0推 0噓 0→)

留言0則, 0人參與討論串3/3 (看更多)

※ 引述《JJss (好丟臉我誤解了)》之銘言： : 公司目前兩個網段 : 一個是 192.168.1.x 辦公室網段 : 192.168.2.x 電腦教室網段 : 其中電腦教室網段不直接連網路,而是透過Proxy連網路 : 但是這兩個網段的Proxy是同一台.. : 變成導致電腦教室的網段可以連到辦公室的網段 (如公司的內部伺服器) : 很危險 .. 上面說不要更動硬體架構 : 於是我嘗試.. : 1.在proxy上把自己連192.168.1.x的連線都deny掉 , 結果導致辦公室網段的同仁 : 也不能連內部的網站 (辦公室電腦預設都是有設proxy) : 2.在proxy上設firewall 把來自192.168.2.x 到 192.168.1.x 的都擋掉 : 可是.. 電腦教室還是可以連 ~_~ (真怪呀) : 不知道有甚麼方法或設定可以解決我的問題 >_<~ : 註.proxy主機是用linux 我猜你們是同一個vlan or 同一駝switches/hubs 底下, 設兩個subnets: 192.168.1/24 & 192.168.2/24 然後, 192.168.1/24 有default gateway, 192.168.2/24 的沒有default gateway; 然後, 你們的proxy server 網卡bind 兩個IPs: 192.168.1.xxx & 192.168.2.xxx 在這種架構下, 只要任何一部192.168.2的機器改IP成 192.168.1的就可以通了. 要不然就是, 兩個獨立的vlans 透過proxy 這部機器又是proxy, 又是兩個網段的gateways 這樣照道理講, 設了firewall 應該就可以擋掉192.168.2的traffic才是除非, 你的rules 設錯interfaces... 您提供的架構還不夠清楚所以只好亂猜... :P cheers, -- Self-Pity I never saw a wild thing sorry for itself. A small bird will drop frozen dead from a bough without ever having felt sorry for itself. ~ D. H. Lawrence -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 61.222.84.159