>Привет всем! Возник интересный вопрос:
>Две компании,между ними интернет.На одном конце Checkpoint (внутреняя сеть 192.168.0.0/24, внешний адрес
>скажем а.а.а.а) на другом cisco (внутреняя сеть 172.20.20.0/24, внешний адрес в.в.в.в).
>Между ними настроен VPN (взято с сайта www.cisco.com), задача видимость внутренних
>сетей
>Рассматриваем только Cisco.
>На входном интерфейсе повешен ACL на вход, который прикрывает внутренюю сеть.
>В который для правильной работы VPN были добавлени след строки:
>ip access-list ex 120
>...
> 110 permit ip host а.а.а.а host в.в.в.в
> 120 permit ip 192.168.0.0 0.0.0.255 172.20.20.0 0.0.0.255
>...
> Без строки 120 VPN не заводится.
>Вопрос: А не опастно ли держать такую строку на входном интерфейсе? (наверняка
>можно организовать атаку с подменой исходящего адреса и пройти из интренета
>через интерфейс), а не только из локалки что за Chekpoint?
>Спасибо.
Не опасно.
На самом деле все работает не совсем так, как написано в листе.
В свежих вариантах иоса, насколько я помню, лист даже выглядит по-другому.
|