• Messages
• Photos
• Map

Subscribe

• Jabber
• RSS

• *работа *идиоты

  В регламентной бумаге есть утверждение: "Сегменты ЛВС А и Б должны быть изолированы друг от друга на уровне не ниже третьего. Трафик между ними должен контролироваться межсетевым экраном, конфигурация которого согласуется и утверждается."
  Фактически так оно и есть — это два физически изолированных сегмента, между которыми стоит ФПСУ. На ФПСУ прописаны согласованные и утвержденные правила взаимодействия, сводящиеся, впрочем, к permit any any.
  Проверяющий пробует пингать машинку в А из Б. Пингается. Проверяющий негодуе.
  Вопрос — а что мы нарушили-то? ;)

  #515991

  from RTZI, 24 months ago

← All messages

Replies (15)

Post a reply (xmpp)

• @karapuz:

  а что значит "на уровне не ниже третьего"?

  #515991/1

  from Gajim1, 24 months ago
• @infidel:

  @karapuz Ну, формулировка вот такая корявая.
  Имелось в виду, что допускается объединение сегментов на уровнях (согласно модели OSI) первом (т.е. физика, допускается гонять их данные по одним проводам) и втором (т.е. коммутация, допускается организовывать их в разных виланах/VC на одном свитче/мультиплексоре), но уже на третьем уровне (роутеры, IP-адресация) и выше — они должны быть разделены.

  #515991/2

  from RTZI, 24 months ago, in reply to /1
• @karapuz:

  @infidel тогда возможно вы нарушили положения документа, про который не знаете или упустили. Мне, как проверяющему такие случаи известны, они происходят повсеместно :)

  #515991/3

  from Gajim1, 24 months ago, in reply to /2
• @Esc:

  @infidel получается, если третий уровень, то пинговаться не должно? (По его разумению)

  #515991/4

  from bomb, 24 months ago, in reply to /2
• @infidel:

  @karapuz Не, там вполне детальная формулировка негодования — "раз у нас пингается, значит у вас сегменты фактически НЕ РАЗДЕЛЕНЫ, устраняйте!". Тыкание пальцами в схему, в наличие между ними МСЭ и в его утвержденные правила, согласно которым — ну вот так утвердили вы же! — пинговаться должно и будет — не приводят к пониманию.
  Какой именно процент хостов сегмента должен быть поставлен в deny на файрволле, чтобы признать разделение сегментов фактически существующим — мне совершенно непонятно ;)

  #515991/5

  from RTZI, 24 months ago, in reply to /3
• @karapuz:

  @infidel а проверяющий не бывший военный? :)

  #515991/6

  from Gajim1, 24 months ago, in reply to /5
• @infidel:

  @karapuz Начальство у него — да ;)

  #515991/7

  from RTZI, 24 months ago, in reply to /6
• @karapuz:

  @karapuz и вообще, я не знаю как и кто вас проверяет, но обычно, выявив нарушение, даем письменное предписание. Думаю у вас должно быть что-то подобное. Вот пусть напишет и подпишется :)

  #515991/8

  from Gajim1, 24 months ago, in reply to /6
• @Toyoku-mono:

  Ну так топор и вперед :)

  #515991/9

  from web, 24 months ago
• @karapuz:

  @Toyoku-mono причем топор не нижу третьего уровня :)

  #515991/10

  from Gajim1, 24 months ago, in reply to /9
• @infidel:

  @karapuz Я эльф 80 уровня! ;)

  #515991/11

  from RTZI, 24 months ago, in reply to /10
• @karapuz:

  @infidel значит тебе можно, руби :)

  #515991/12

  from Gajim1, 24 months ago, in reply to /11
• @karapuz:

  @karapuz или во, пришли им на согласование правило файрвола, в котором будет блокироваться протокол ICMP :)

  #515991/13

  from Gajim1, 24 months ago, in reply to /12
• @infidel:

  @karapuz Я уже думал о таком... ;)

  #515991/14

  from RTZI, 24 months ago, in reply to /13
• @Toyoku-mono:

  @karapuz Напомнило :
  Дневник бдительного американца.
  10:00 Заметил на рабочем столе 2 подозрительных провода. Перерезал их на всякий случай. Возможно я предотвратил терракт
  10:05 Неожиданно перестали работать мышь и клавиатура

  #515991/15

  from eeepc901, 24 months ago, in reply to /13

Messages

• All
• Blog
• Recommendations
• Photo and video

Tags all

? google juick links music авто ДВ дыбр игры Идиоты кино китай музыка мысли нетбук работа фигасе Ха цитаты юмор язык

Search

Statistics

• I read (93)
• My readers (132)
• Messages: 1615
• Replies: 8725