Subnets.ru

[zaikini]

3 - красная собственно бухгалтерия, на схеме показан только сервер он же и роутер в интернет.

Функции роутера с сервера бухгалтерии снять в первую очередь, как это вообще возможно? поставьте любой PC и сделайте из него роутер, но совмещать с бугалтерией роутера для Интернета. Ладно если просто взломают, так еще и утащят данные.
Я правильно понимаю что у Station A - две сетевые карты?
Если, да, то что мешает на Station A и Station B порты перевести в trunk, настроить соответствующие интерфейсы с необходимыми параметрами и сделать отдельный vlan для связки Station A - Station B? Это стоит делать после выноса функций роутера со StationB
StationB, линк от провайдера и wifi роутера, все включаем в 2960. Тем самым облегчаем себе задачу в управлении сетью, 2960 поддерживает acl, что позволит отфильтровать трафик на входе от провайдера.

[Ramirez]

В том то и дело, что конфигурация сети останется как есть.
Моя задача выдать информацию на сервер, раздать Интернет на буки, и обезопаситься.

[zaikini]

В том то и дело, что конфигурация сети останется как есть.

Что мешает ее поменять? Религия?

[Андрей]

В том то и дело, что конфигурация сети останется как есть.Моя задача выдать информацию на сервер, раздать Интернет на буки, и обезопаситься.

В форуме разжевано все до мелочей уже.
1й вилан -в него асу + датчики.
2й вилан - в него буховский комп, роутер, буховские лэптопы.

АЦЛ на 2 порта. и все будет работать.

Что мешает ее поменять? Религия?

Тут аверняка, как всегда, ряд факторов типа начальство неодобряет, непрерывный процесс производства, "а вдруг не получится" и т.п.

[Ramirez]

Доброго всем времени суток!
В текущий момент настроил свое приложение работать с SQL.
Данные на сервер вроде потекли. SQL слушает порт 2689 тут все хорошо.
А вот приложение запросы посылает каждый раз по разным портам.
Если почитать вот тут http://ru.wikibooks.org/wiki/TCP/IP вроде как получается приложение берет у винды текущий свободный порт.
Я насчитал уже с десяток. Собственно думаю как мне быть.
Вопросов два
Можно ли как нибудь жестко прописать за конкретным приложением конкретный порт.
И второе - похоже придется ограничится одним ACL на входе с сервера (по схеме Station B) чтоб пропускал пакеты только TCP, только с IP сервера с порта 2689.
Правильно ли я мыслю ?

[Андрей]

А вот приложение запросы посылает каждый раз по разным портам.

А вы как хотели?
Служба работает на строго определенных портах, а вот клиент - на свободных. Точнее служба ожидает подключения на строго указанный порт/порты, а клиент подключается с произвольных портов, если нет необходимости задать их принудительно.
Как называется СУБД? SQL - это язык запросов, а не служба. Если бы читали выше - поняли бы о чем я говорил. Кому пишу - наверное себе и потомкам, но никак не для решения вашей проблемы.

Можно ли как нибудь жестко прописать за конкретным приложением конкретный порт.

На всех приложениях по-разному. Где можно, а где нет.

И второе - похоже придется ограничится одним ACL на входе с сервера (по схеме Station B) чтоб пропускал пакеты только TCP, только с IP сервера с порта 2689.

Если на Station B у вас СУБД, то в ACL надо разрешать входящий трафик на 2689 порт, и только с ip Station A.

Если почитать вот тут http://ru.wikibooks.org/wiki/TCP/IP вроде как получается приложение берет у винды текущий свободный порт.

Если бы все читали википедию, то все нормальные IT были бы богаты. Читайте RFC-доки.

[Ramirez]

На Station B допустим стоит СУБД Microsoft SQL Server
На порт ведущий к Station B
другими словами к серверу я вешаю ACL на вход порта -
разрешать трафик с IP Station B до Station A в формате TCP порт 2689.
Тем самым я отсекаю любой являющийся для Cisco внешний трафик
кроме ответов СУБД SQL что в принципе и требуется.
В направлении во вне я в общем виде правило написать не могу т. к. заранее неизвестен список портов
по которым будет посылать запросы мое приложение.
Еще бы хорошо пропускать только ответы интересно как это делается

[Андрей]

На Station B допустим стоит СУБД Microsoft SQL Server

наконец-то. Теперь будем точно знать что серверное приложение.

На порт ведущий к Station Bдругими словами к серверу я вешаю ACL на вход порта - разрешать трафик с IP Station B до Station A в формате TCP порт 2689.

Вот я опять ничего не понимаю. Вы же говорите, что MSSQL server стоит на Station B (на буховском сервере), а АСУ кидает на него? Для этого вам надо разрешить tcp трафик от Station A на Station B в порт 2689.

Тем самым я отсекаю любой являющийся для Cisco внешний трафиккроме ответов СУБД SQL что в принципе и требуется.

Cisco по барабану. Это для нее транзитный трафик.

В направлении во вне я в общем виде правило написать не могу т. к. заранее неизвестен список портовпо которым будет посылать запросы мое приложение.

Если есть желание - настройте клиента, может там такое и есть (с клиентом для MS SQL server не работал), а вообще в этом нет необходимости.

Еще бы хорошо пропускать только ответы интересно как это делается

Какие ответы TCP? Если да, то никак это не делается ибо tcp-диалог состоит из 4х этапов (если я правильно помню):
1. отправка запроса на подключение
2. получение ответа на подключение.
3. передача данных
4. crc

В udp пакетах все проще - просто передача (как есть). Но СУБД на udp работать не будет.

[Ramirez]

Смотрим схему, Station A заходит на Cisco, жаль на схеме не обозначил но пусть будет порт А,
другой порт - ведущий к Wi-Fi роутеру и потом к серверу Station B пусть будет Б.
Теперь дальше, я повесил ACL на вход (на выход почему-то не получается) порта Б
Разрешил проходить пакетам от Statin B до Station A TCP порт 2689.
Т. е. MSSQL которая стоит на Station B принимает запросы на порт 2689 и соответственно с него и отвечает.
Таким образом на Cisco попадает только трафик TCP с порта 2689 до Station A должно же клиентское приложение знать,
что данные, которые он положил обработаны.
А на порт А мне не приходят мысли что-нибудь вешать, кроме разве нерасширенного ACL разрешить TCP трафик только до Station B.
Вот как то так.
На досуге все проверил - вроде работает.

[Андрей]

На досуге все проверил - вроде работает.

это не ответ. Выясняйте точно.

Смотрим схему, Station A заходит на Cisco, жаль на схеме не обозначил но пусть будет порт А,другой порт - ведущий к Wi-Fi роутеру и потом к серверу Station B пусть будет Б. Теперь дальше, я повесил ACL на вход (на выход почему-то не получается) порта БРазрешил проходить пакетам от Statin B до Station A TCP порт 2689.

это я как не пытался понять - не понял.

А на порт А мне не приходят мысли что-нибудь вешать, кроме разве нерасширенного ACL разрешить TCP трафик только до Station B.

А нельзя разрешить в port-B весь трафик на tcp порт 2689 с port-A, а в port-A весь трафик с tcp порта 2689 от port-B?