Идея такова. Хочется в сети (скажем в «географическом центре) поставить некий фильтр пакетов. Что бы, по крайней мере с двух ее концов юзеры не могли нюкать друг друга, троянить и прочее.
Соответственно в голову приходит идея: в центре сети устаиваю разрыв, а него вставляю комп (с двумя сетевухами). И с этого компа фильтрую все что захочу.
Но тогда возникает трабла – получается единую сеть придется делить на подсети и устанавливать этот серв в качестве шлюза между ними. А это плохо, ибо придется перенастраивать сетевое окружение каждого компа.
Идея-то простая. А как ее реализовать – нигде найти инфы не смог.
Какие могут быть решения?

Занят немного не тем, но есть вариант - Мост + брэндмауэр то биш bridge + firewall.
мост пересылает пакеты туда - сюда, а фаервол блокирует запрещенные порты и/или IP адреса. Можно настроить для каждого IP адреса по своему.

Добавление от 16.04.2003 19:50:

PS
Все под Linux поэтому надо будет голову по ломать
Сам сижу парюсь - хочется чтоб с дискеты а не HDD работало

Voltsifer
в центре сети устаиваю разрыв, а него вставляю комп (с двумя сетевухами). И с этого компа фильтрую все что захочу.

FreeBSD с включенным BRIDGE и IPFIREWALL в ядре - то, что тебе нужно

p.s.
конечно, варианты на других ОС тоже имеют право на существование, MichNET

А почему не аппаратно?
Маршрутизатор с двумя сетевыми....( а то и больше )
Будет стоить как хороший комп. А мороки поменьше будет.

2jr:
FreeBSD... Это конечно круто... Но чувствую что пока я с ней разберусь (никто не пробовл раньше) - пройдет много времени... А нужно поскорее...

2smsen:
Речь идет о домашней сети... А денег у нее маловато...

Вообще хочется, по крайней мере временно, построить bridge на WinNT...
Реально ли это?

Voltsifer
FreeBSD... Это конечно круто... Но чувствую что пока я с ней разберусь...

но, имхо, оно стоит того :) (и не обязательно FreeBSD)

Вообще хочется, по крайней мере временно, построить bridge на WinNT...
Реально ли это?

операясь на посты в этой конфе, слышал, что WinXP умеет мостом работать... а на счет временно, кхм... :) нет ничего более постоянного, что сделано временно (с)<не помню чей> :)

Есть такая штука -transparent bridg (вообще говоря, почти то-же самое что и коммутатор).
Это комп с двумя сетевыми интерфейсами без IP адресов. Интерфейс принимает все пакеты (promiscuous mode) и передает другому ( тупо или через фильтр - это как Вам угодно).
Весь прикол в том, что на клиентах ничего настаивать не надо. (Ессно, как шлюз прописывать, если у него адреса нету )
ЗЫ. Сие устройство не получило широкого распространения, так как ресурсов даже мощного компа едва хватает на трафик 10 Мбит/с

nightman
Сие устройство не получило широкого распространения, так как ресурсов даже мощного компа едва хватает на трафик 10 Мбит/с

ну не скажи, не скажи... только что в качестве теста закачивал большой файл по http через мост на OpenBSD, скорость - 6Мб/сек, умножаем на 8, получаем 48Мбит/сек полезного трафика :)

nightman
Это и называется бридж. Обычный. А вот попытки скрестить его с фаером - хм.

Voltsifer
Начинал я про это читать, но практическая реализация оказалась не нужна, поэтому до рук дело не дошло. Кажется, на слишком разных уровнях все это работает. И полноценным бридж с фаером не будет. Хотя HOW-TO на эту тему в инете есть.

avial
Это и называется бридж. Обычный. А вот попытки скрестить его с фаером - хм.
Кажется, на слишком разных уровнях все это работает. И полноценным бридж с фаером не будет.

ну отчего же :)
прекрасно фильтрует пакетики, которые к IP относятся, а остальные просто посылает :)

jr
Ну это ИМХО было . Интуиция
Хотя знаю, что работает. А как - не разбирался.

Voltsifer
http://tldp.org/HOWTO/mini/Bridge+Firewall.html
http://tldp.org/HOWTO/BRIDGE-STP-HOWTO/advanced-bridge.html

Voltsifer
если AD в сети поднят, то можно еще и IPSec'ом попробовать. правда вот скорости в сравнении..... а насчет качества и гибкости настроек, тоже вроде взрослая вещь.

Какой же это бридж, если он передает с интерфейса на интерфейс все пакеты ethernet.
Это lдвухпортовый коммутатор. Обычный

jr
Ограничения по трафику возникают при наличии интеллектуальной фильтрации (по содержимому пакетов).
При отсутствии фильтрации, или фильтрации только по заголовкам пакетов собственно компьютер (IBM совместимый ) и не нужен. Железки справляются лучше (надежней и дешевле).
ЗЫ. Случай, когда компьютер есть, а железки нет - это частный случай.

nightman
При отсутствии фильтрации, или фильтрации только по заголовкам пакетов собственно компьютер (IBM совместимый ) и не нужен. Железки справляются лучше (надежней и дешевле).

да, забыл сказать; на этой машине-мосте с OpenBSD работает Packet Filter, так что мои полезных 48Мбит/сек получаются через програмный мост с фильтрацией пакетов TCP/IP