From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-2.6 required=5.0 tests=BAYES_00,SPF_PASS autolearn=ham version=3.2.5 DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=mail.ru; s=mail2; h=Content-Transfer-Encoding:Content-Type:In-Reply-To:References:Subject:To:MIME-Version:From:Date:Message-ID; bh=82/O9HngInP+oQRGjmHuhLhz23E17WmKNP6MwS2lQVg=; b=uBXp+A6VNplrFs3xZStL9HFCVkpNdDgri/ojjSZZpnpj5+O5Yq7/HuvMwwzBr+unuc6RlRzKDytnsFuStMRTl+UZyBAIOYaI9WfNd6FWjUy1+RYvxZWm+JHV6SyWv84xn82zW4umuAUhnBtyb5W1/gClN2iNWTBGGnVDE/xO2ik=; Message-ID: <53444530.3020204@mail.ru> Date: Tue, 08 Apr 2014 22:51:28 +0400 From: Vladimir Karpinsky User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:24.0) Gecko/20100101 Thunderbird/24.4.0 MIME-Version: 1.0 To: sysadmins@lists.altlinux.org References: <53414F5C.8010902@mail.ru> <534166D7.4080501@mail.ru> <53417C45.5080102@altlinux.ru> <53417EA0.4040004@mail.ru> <5341818C.4070408@altlinux.ru> <53433078.3050501@mail.ru> <5343A865.7040806@altlinux.ru> <5343C4F8.5080308@mail.ru> <20140408134257.13d23f87@gmail.com> In-Reply-To: <20140408134257.13d23f87@gmail.com> Content-Type: text/plain; charset=KOI8-R; format=flowed Content-Transfer-Encoding: 8bit X-Spam: Not detected X-Spam: Not detected X-Mras: Ok Subject: Re: [Sysadmins] =?koi8-r?b?7sHT1NLPysvBIE9wZW5WUE4=?= X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux sysadmins' discussion List-Id: ALT Linux sysadmins' discussion List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Tue, 08 Apr 2014 18:56:26 -0000 Archived-At: List-Archive: 08.04.2014 14:42, Dmitriy L. Kruglikov пишет: > On Tue, 08 Apr 2014 13:44:24 +0400 > Vladimir Karpinsky wrote: > > VK> Другими словами, организовать такой доступ настройками > VK> OpenVPN через iroute (для самого роутера) и push route (для > VK> остальных) это нельзя --- надо это делать другими > VK> средствами. Правильно я понимаю? > > Сделать можно. > Если пользователь сам, с той стороны, не пропишет себе маршруты. > Не уверен за iroute, не проверял. > А к тем маршрутам, которые приходят через push route, > добавить руками можно, проверено. > > Подозреваю, что iroute сработает так, как нужно, но не гарантирую. Сразу оговорюсь, что сисадмином не являюсь и уровень моих знаний о маршрутизации из-за плинтусом практически не виден. Поиск решения этой задачи привёл к выводу, что необходимы и iroute для роутера за которым есть сеть которую надо видеть остальным и push route для остальных. Из предыдущего абзаца, я делаю вывод, что это не так --- iroute Вы не используете, но нужный результат получаете. Я правильно понимаю? Что касается закрыванием файерволом, то тут задача не спрятать --- надо, во-первых, понизить вероятность каких-то случайностей, а, во-вторых, не плодить лишних сущностей. Защиты от квалифицированного вредительства в данном случае очень трудна, поскольку доступ к "железному телам" имеется у большого количества народа, и если враг найдётся, то эта проблема будет далеко не самой серьёзной. -- С уважением, Владимир.