Задать вопрос

Настройка фильтрации трафика в корпоративной сети — NAT vs FIREWALL, как лучше?

Собственно вопрос следующий, каким образом лучше фильтровать трафик из\в корпоративную локальную сеть?
Варианты:
1. firewall (настройка жестко по портам, протоколам и ip) + nat (проброс всего трафика на ip)
2. firewall (настроен только на трафик приходящий из WAN на сам маршрутизатор, трафик в локальную сеть не блокируется) + nat (жесткий проброс по портам, протоколам и ip)
3. firewall (настройка жестко по портам, протоколам и ip) + nat (жесткий проброс по портам, протоколам и ip)

Пример правил:
chain=forward in-interface=wan out-interface= lan action=accept protocol=tcp dst-address=192.168.0.15 dst-port=25 log=no log-prefix=""
chain=dstnat action=dst-nat to-addresses=192.168.0.15 protocol=tcp dst-address=1.1.1.1 in-interface=wan port=25 log=no
log-prefix=""

Собственно на каком уровне лучше фильтровать бОльшую часть траффика идущего в локальную сеть NAT или FIREWALL?
  • Вопрос задан
  • 3687 просмотров
Подписаться 3 Оценить Комментировать
Решения вопроса 1
ifaustrue
@ifaustrue
Пишу интересное в теллеграмм канале @cooladmin
Как подсказывает контекст - фильтровать нужно в фильтре, транслировать трафик нужно в трансляции. Точка.
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
edinorog
@edinorog
Троллей не кормить!
0_о это ж сколько нужно было выпить чтоб задать такой вопрос. И с каких пор нат стал фильтровать трафик вообще?

NAT (от англ. Network Address Translation — «преобразование сетевых адресов») — это механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса транзитных пакетов.
---------------------------------------------------------------------------------------------------------------
Межсетево́й экра́н, сетево́й экра́н, файерво́л, брандма́уэр — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.
Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.
Некоторые сетевые экраны также позволяют осуществлять трансляцию адресов — динамическую замену внутрисетевых (серых) адресов или портов на внешние, используемые за пределами ЛВС.

Я надеюсь у вас не высшее образование? А то вашему преподу стоит повеситься от горя.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы