感觉被面试官忽悠瘸了

梦回星海

kidcomp 发表于 2023-12-7 16:38
网关外面了啊，所以你说算不算呢？再说你后面不是说了么，万一暴露也就失守一个网段，挺符合标准的啊 ...

这个设计的优势主要是在哪里？文件服务器被攻破后不暴露内网的地址段么？

kidcomp

梦回星海 发表于 2023-12-7 16:47
这个设计的优势主要是在哪里？文件服务器被攻破后不暴露内网的地址段么？ ...

暴露一个网段啊，主贴不是说了么，面试官允许被攻陷一个节点
再者说，互联地址做nat的话，文件服务器没有直接暴露在公网，安全性比直接公网映射高多了

还有，直接对文件服务器的访问根本不暴露内网地址段啊。。。

raimouse

kidcomp 发表于 2023-12-7 16:46
你不是说多出口么，各个网段内部不互联的话，vlan怎么起？
你在出口外侧做nat完全不影响内部安全 ...

多出口只是我个人的猜测罢了，不是面试官直接答的。
不过或许对面的思路就是您这个？

Realplayer

kidcomp 发表于 2023-12-7 16:33
不是，为什么nat一定要走公网？你都说同一个机房了，两个网关再起一个互联地址直连不行么？然后各自做严格 ...

请教下互联地址是什么？如果有多个VLAN呢？

kidcomp

Realplayer 发表于 2023-12-7 16:56
请教下互联地址是什么？如果有多个VLAN呢？

网关a和网关b的互联接口地址，自己协商就行，多网段可以直接定义个地址段，跟vlan没关系

flyinwild

端口映射算物理隔离嘛？我真不懂，感觉上行的数据最后不都是从公网IP出去的吗？

—— 来自 S1Fun

kidcomp

哪有那么多严格的物理隔离？上面有工友说网闸，贴主这个例子实际上就是一台分体式网闸，过等保是没啥问题了

raimouse

flyinwild 发表于 2023-12-7 17:04
端口映射算物理隔离嘛？我真不懂，感觉上行的数据最后不都是从公网IP出去的吗？

—— 来自 S1Fun ...

楼上说了，网关直接互联然后各种把文件服务器映射上去，就不走公网了。
只是我也不知道这算不算符合要求就是了，毕竟我都面完回来了不好再问了。

梦回星海

kidcomp 发表于 2023-12-7 16:48
暴露一个网段啊，主贴不是说了么，面试官允许被攻陷一个节点
再者说，互联地址做nat的话，文件服务器没有 ...

为什么说对文件服务器的访问不会暴露内网地址呢？我自己理解的话，这里的文件服务器指一台FTP服务器，在本地是可以截获数据包的。

kidcomp

梦回星海 发表于 2023-12-7 17:18
为什么说对文件服务器的访问不会暴露内网地址呢？我自己理解的话，这里的文件服务器指一台FTP服务器，在 ...

nat之后，你看不到文件服务器源地址，你只能看到网关接口地址

梦回星海

kidcomp 发表于 2023-12-7 17:25
nat之后，你看不到文件服务器源地址，你只能看到网关接口地址

那没问题了，我那楼的意思是，如果不做nat有暴露内网地址段的风险。不过物理隔离这个概念我之前也不是很明晰，真心认为一直到公网出口，所有设备都要隔离。

raimouse

说到NAT，突然想起几周前面试另一家公司的时候，对面问我怎么控制流量出口
我说我做的PBR，面试官跟我说为啥不用NAT做，NAT比路由先执行，颗粒度更细
我当时立即宫本武藏“不知道，我从来没想过这个问题”.jpg
然后我回来查了一下，华为USG防火墙上的处理顺序是DNAT-路由-SNAT
根据PBR原理，怎么也不应该NAT比PBR先执行才对吧。PBR比传统路由优先级高了

raimouse

destroyworlder 发表于 2023-12-8 09:09
这就是权威的意义，很容易被一个头衔影响。

但是话语权的确在人家身上嘛，领导说对才是对

zerocount

脑洞 发表于 2023-12-7 20:09
掏出u盘

一卡车高容量服务器硬盘请求出战！

梦回星海

raimouse 发表于 2023-12-7 20:12
说到NAT，突然想起几周前面试另一家公司的时候，对面问我怎么控制流量出口
我说我做的PBR，面试官跟我说为 ...

出入方向的生效次序不同？出方向nat似乎优先。

raimouse

梦回星海 发表于 2023-12-8 10:08
出入方向的生效次序不同？出方向nat似乎优先。

我这说的就是出方向的情况啊，至少华为上面是DNAT-路由-SNAT。
普通情况下出流量是没有DNAT需求的
而且正常理解也应该是路由比NAT先执行才对，都还没确定走哪个出口怎么决定SNAT的IP呢？
而且入方向也应该是DNAT先，因为有端口映射的情况下要先确认内部对应IP是哪个

best32167

双网卡能做的事情，XJB映射、绕外网增加复杂度

raimouse

说起来还有另一个提问也是把我干蒙蔽了
“怎么你dhcp做在域服务器上，路由选择又做在路由器上”
我猪脑子都转不过来，路由做在路由器上有啥问题？DHCP本来不就是可有可无的服务么？
路由选择不在路由器，那写主机上？不是更憨逼更难维护？

kumh

嗯嗯啊啊。还是别在他这里干了。

jie2000

raimouse 发表于 2023-12-9 08:44
说起来还有另一个提问也是把我干蒙蔽了
“怎么你dhcp做在域服务器上，路由选择又做在路由器上”
我猪脑子都 ...

路由器是网关，路由选择放在网关上方便主机跨网段访问
Dhcp服务器爱放哪里放哪里，硬凹就是角色分离防止路由器故障时影响IP分配进而影响网段内访问
这些问题感觉考你思路，不能知其所以然肯定要扣点分

raimouse

jie2000 发表于 2023-12-9 14:06
路由器是网关，路由选择放在网关上方便主机跨网段访问
Dhcp服务器爱放哪里放哪里，硬凹就是角色分离防止 ...

你说的也对，只是这问题给我的感觉就是问“你为啥要用右手拿筷子吃饭”。下意识觉得是不是这个设计有问题

Realplayer

raimouse 发表于 2023-12-7 17:10
楼上说了，网关直接互联然后各种把文件服务器映射上去，就不走公网了。
只是我也不知道这算不算符合要求 ...

所以要怎么操作？写路由表？在三层交换机上能实现吗

raimouse

Realplayer 发表于 2023-12-9 15:23
所以要怎么操作？写路由表？在三层交换机上能实现吗

不用写路由表啊，网关都直接互联了，就有直连网段了。
内部服务器通过NAT映射到互联网段的地址，对端直接访问就完事了。
三层交换机没有NAT功能的吧，一般都得在路由器或者防火墙上做NAT。

Realplayer

raimouse 发表于 2023-12-9 15:35
不用写路由表啊，网关都直接互联了，就有直连网段了。
内部服务器通过NAT映射到互联网段的地址，对端直接 ...

网关互联？怎么互联
还不用写路由表？那vlan间不是随便tracert

raimouse

Realplayer 发表于 2023-12-9 16:35
网关互联？怎么互联
还不用写路由表？那vlan间不是随便tracert

按层主的说法不走外网就只有一种可能性啊
一根网线连通两边，这就是直连网段了
对于内网来说，不写对端路由的情况下就只能访问到映射到互联网端的文件服务器，访问不到对端内网
只是我觉得这就算物理互联了

Realplayer

“映射到互联网端的文件服务器”这玩意不还是走外网吗
头有点疼

raimouse

Realplayer 发表于 2023-12-9 17:37
“映射到互联网端的文件服务器”这玩意不还是走外网吗
头有点疼

错别字，互联网段-》网关互联所用的网段。这已经等于是内网了。
画了个简易拓扑。

kidcomp

贴主啊，刚学校出来吧？过了几年你再来看这贴，肯定会有一种特别后悔的感觉，建议你完全忘记发过这贴。
单就最后一个贴，你说画图证明内网，那我说左右两侧地址可以重复，你还觉得是你想象中的内网么？画个拓扑就是内网了，画画网闸试试？

raimouse

kidcomp 发表于 2023-12-9 19:08
贴主啊，刚学校出来吧？过了几年你再来看这贴，肯定会有一种特别后悔的感觉，建议你完全忘记发过这贴。
单 ...

我技术比较菜，只能请层主赐教了。毕竟您没画图，这拓扑是我看您的发言理解出来的。
按面试官的说法，这2个网络在同一个机房，我个人理念里面这么连起来就跟内网没区别了。
您说的左右两侧地址相同，该不会指的是网关互联接口两边一样的，这个我的确不会。没见过
如果是PC1，PC2的IP地址一样，我个人理解是PC映射到FW的互联口IP，然后互联口再做源SNAT转换。
不知道不这样做的话还有啥方案，劳烦赐教一下，谢谢。

ambivalence

有毛病吧,那你让他买网闸,完美地实现他的需求
资金有限？资金有限你做你妈两张网呢弄个acl意思意思得了

kidcomp

raimouse 发表于 2023-12-9 19:13
我技术比较菜，只能请层主赐教了。毕竟您没画图，这拓扑是我看您的发言理解出来的。
按面试官的说法，这2 ...

有没有可能图是这样画但是你无法理解所以觉得这是内网，所以你也无法理解面试官的问题？
你这段话说的这些，感觉真的到处都是槽点。。。建议少说或者索性不说。

多沉淀沉淀再上网吐槽吧，这种架构并不少见，实施起来也没有难度，实在不行的话，前面都提示过了，你把两台防火墙理解成初级的网闸

raimouse

kidcomp 发表于 2023-12-9 20:00
有没有可能图是这样画但是你无法理解所以觉得这是内网，所以你也无法理解面试官的问题？
你这段话说的这 ...

那我觉得需要dalao您赐教到底什么叫内网了？
拥有完全自主可控权的两个网络，通过直连链路通信，说不算内网
您说的的确没错，我完全无法理解。
我前公司可以说是一样的的网络架构，只是两个FW之间是BGP/MPLS互联

widder

overlorder 发表于 2023-12-7 14:58
能当上技术总监肯定有技术的，只不过不一定是IT技术，人情练达也是技术 ...

主要看和老板的关系

kidcomp

raimouse 发表于 2023-12-9 20:10
那我觉得需要dalao您赐教到底什么叫内网了？
拥有完全自主可控权的两个网络，通过直连链路通信，说 ...

少说，多看，多学
随便找个网上的案例