Ограничение доступа к серверам МИС.
Добавлено: 14 ноя 2014, 17:26Для ограничения доступа к серверам МИС из сторонних сетей и сети «Интернет» необходимо выполнить следующее:
1. Удалить правило destination nat на интернет-шлюзе, разрешающее доступ на сервер (по любым портам) из сети Интернет (примечание - рекомендуется предварительно ознакомится с инструкцией пользователя для используемого роутера, в большинстве роутеров эта функция настраивается в разделе «Firewall -> Virtual Servers»).
2. Отключить от сетевого интерфейса сервера МИС Ethernet-кабель, обеспечивающий связь сервера со шлюзом в сеть Интернет.
3. Отключить интерфейс, обеспечивающий связь сервера со шлюзом в сеть Интернет, в операционной системе сервера МИС. А именно, установить значение «no» для параметра «ONBOOT» в файле «/etc/sysconfig/network-scripts/ifcfg-ethX», где X – номер отключаемого интерфейса. После чего выполнить команду «service network restart».
4. Для корректной маршрутизации пакетов на сервере МИС необходимо добавить в файле «/etc/sysconfig/network-scripts/ifcfg-ethY», где Y – номер интерфейса в защищенном сегменте сети, параметры «DEFROUTE=yes» и «GATEWAY=10.Z.Z.Z», где Z – IP-адрес ViPNet-координатора (или мар-шрутизатора Juniper SRX100, если используется схема «Без ViPNet-координатора»).
1. Удалить правило destination nat на интернет-шлюзе, разрешающее доступ на сервер (по любым портам) из сети Интернет (примечание - рекомендуется предварительно ознакомится с инструкцией пользователя для используемого роутера, в большинстве роутеров эта функция настраивается в разделе «Firewall -> Virtual Servers»).
2. Отключить от сетевого интерфейса сервера МИС Ethernet-кабель, обеспечивающий связь сервера со шлюзом в сеть Интернет.
3. Отключить интерфейс, обеспечивающий связь сервера со шлюзом в сеть Интернет, в операционной системе сервера МИС. А именно, установить значение «no» для параметра «ONBOOT» в файле «/etc/sysconfig/network-scripts/ifcfg-ethX», где X – номер отключаемого интерфейса. После чего выполнить команду «service network restart».
4. Для корректной маршрутизации пакетов на сервере МИС необходимо добавить в файле «/etc/sysconfig/network-scripts/ifcfg-ethY», где Y – номер интерфейса в защищенном сегменте сети, параметры «DEFROUTE=yes» и «GATEWAY=10.Z.Z.Z», где Z – IP-адрес ViPNet-координатора (или мар-шрутизатора Juniper SRX100, если используется схема «Без ViPNet-координатора»).