107.40.5 идентификатор 50РазрешитьРазрешитьПервый пакетный фильтр позволяет любому удаленному клиентскому компьютеру заключать IPSec SAc сервером L2TP(131.107.40.5);второй позволяет удаленному клиентскому компьютеру обмениваться зашифрованными средствами ESP данными с сервером L2TP.Хотя для соединений L2TP определен порт UDP 1701,внешний брандмауэр или внешний адаптер сервера L2TP на периметре не требует пакетного фильтра для этого протокола. Только послепринятия передачи туннельным сервером пакет L2TP расшифровывается из пакета IPSec ESP. Только пакету IPSec ESP нужно позволитьпройти через брандмауэр,Выработка решенияНастраивая брандмауэр для разрешения доступа к туннельному серверу L2TP в DMZ учтите следующее.• Используйте адресацию общественной сети, если туннельный сервер L2TP размещен в DMZ.• Если DMZ использует адресацию частной сети согласно RFC 1918,попробуйте создать внешнюю DMZ, применяющую адресациюобщественной сети, или перенесите Ь2ТР-сервер на периметр,разрешив его адаптеру для общественной сети принимать туннельные соединения.• Настройте внешний брандмауэр, чтобы пропускать протокол туннелирования, используемый туннельным сервером в DMZ. В отношении РРТР для этого нужно создать пакетные фильтры, чтобы разрешить трафику РРТР (порт TCP 1723) и GRE (идентификатор протокола 47) проходить на туннельный сервер. В отношении L2TP для этого нужно создать пакетные фильтры, чтобы внешний брандмауэр пропускал пакеты IKE (порт UDP 500) и ESP(идентификатор протокола 50) на туннельный сервер.(идентификатор протокола 50) на туннельный сервер.
Опубликовал vovan666
March 27 2013 10:56:42 ·
0 Комментариев ·
2927 Прочтений ·
• Не нашли ответ на свой вопрос? Тогда задайте вопрос в комментариях или на форуме! •
Комментарии
Нет комментариев.
Добавить комментарий
Рейтинги
Рейтинг доступен только для пользователей.
Пожалуйста, залогиньтесь или зарегистрируйтесь для голосования.
Нет данных для оценки.
Гость
Вы не зарегистрированны? Нажмите здесь для регистрации.