Я не вполне владею нюансами сетевой подсистемы Linux, но думаю, что да, если вы хотите ограничить "адресное" (в смысле какого-то конкретного набора сервисов, а, следовательно, и значений портов) сканирование, то сможете. Но будьте готовы к побочным эффектам (например, при обработке p2p-трафика) и укажите завышенные пороги для минимизации этих эффектов (например, чтобы пользователь, попытавшийся открыть 10 ssh-сессий, смог это сделать, хотя такое поведение характерно для далеко не каждого пользователя).
>При траблшутинге очень полезно пользоваться OSI
подмножеством OSI. Что такое L1,L2,L3,L4,L7-проблема, примерно понятно. Что такое L5-проблема? (я знаю одну - отсутствие сеансового уровня в современном стеке а-ля HTTP over TCP over IP и как следствие огромное количество костылей) L6-проблема? Вы часто такие термины встречаете?
>Технари предлагают выделить интересующие протоколы в отдельный VLAN.
Фактически это сведение к фильтрации по хостам. Оценить влияние на архитектуру без ознакомления с нею затрудняюсь.
>Второй предложный вариант был зеркалировать trunk-порт
Поддерживаю этот вариант, в данном случае, чем проще, чем меньше вносимые изменения, тем лучше.
>Это практическое задание для понимания взаимосвязи между оборудованием,
Если есть практическое задание, то должна быть где-то и методичка/учебник. Учитывая использование терминологии 80х годов ("мост"), я полагаю, что это задание будет оцениваться формально (выполняются ли различные принципы вроде 80/20 и прочая). Поэтому, если вам нужна нормальная оценка, делайте так, как написано в методичке (или рассказывалось в лекции).
>Как бы вы поступили в данной ситуации?
Физическую топологию составил бы как у вас. Логически - влан на отдел, влан на сервер[-а]. Расписал бы, как заполнены таблицы маршрутизации/коммутации, arp-таблицы (в том числе и на хостах), как меняются поля заголовков фреймов/пакетов по мере прохождения фреймов/пакетов в том или ином направлении. Оборудование указал бы от Cisco (чтобы преподаватель прочувствовал серьезность подхода), например, Catalyst 2960 в качестве коммутатора, Cisco 2821 в качестве маршрутизатора), приложил бы пример конфигурации.
>Задача - внедрение IDS системы.
Это промышленное решение или курсовая/дипломная работа? Если первое, то зачем вам IDS? Для прохождения аудита? Далее, какой именно трафик необходимо анализировать (есть ли группа потенциально уязвимых серверов, например, если да, то можно попытаться выделить ее в отдельный влан)
>как эта IDS система будет реагировать на инциденты, если есть теоретическая вероятность drop'а пакетов
По формулировке вашего вопроса я понимаю, что вы догадываетесь, что работать она будет не лучшим образом.
Указанная вами карта хороша тем, что это, фактически, мини-компьютер (гибкость фильтрации и прочая), и плоха тем, что включается в "разрез" кабеля, потенциально влияя на производительность сети. Будем надеяться, у вас получится реализовать задуманное.
Никаких чудес. Пользователь твердо знает (и он прав), что пункты 3,4,5 не входят в ответ, почему вы не хотите ему за это баллы начислить? Баллы - это не галочки. Баллы должны отражать, насколько в данном случае ответ близок к правильному.
>начну понижать и перестанет парк пробивать.
Откуда вы знаете, если не пробовали?
Еще вопрос - как точка доступа установлена? Если есть доступ сзади, попробуйте отрезать задний лепесток (если виноват он, а не переотражения центрального лепестка) сеткой с шагом не более 3 см (четверть длины волны) или фольгой на крайний случай. Но имейте в виду, что это может повлиять на ситуацию в центральном лепестке.
Похоже, сервер шлет первый GRE-пакет, создается трансляция по набору правил nat -> source -> rule-set trust-to-untrust и дальше уже и GRE-трафик от клиента натируется.
Не вполне понял, в чем заключалась моя помощь, но рад, что у вас все заработало как надо.