※ 引述《JJss (好丢脸 我误解了)》之铭言： : 公司目前两个网段 : 一个是 192.168.1.x 办公室网段 : 192.168.2.x 电脑教室网段 : 其中电脑教室网段不直接连网路,而是透过Proxy连网路 : 但是这两个网段的Proxy是同一台.. : 变成导致 电脑教室的网段可以连到办公室的网段 (如公司的内部伺服器) : 很危险 .. 上面说不要更动硬体架构 : 於是我尝试.. : 1.在proxy上把自己连192.168.1.x的连线都deny掉 , 结果导致办公室网段的同仁 : 也不能连内部的网站 (办公室电脑预设都是有设proxy) : 2.在proxy上设firewall 把 来自192.168.2.x 到 192.168.1.x 的都挡掉 : 可是.. 电脑教室还是可以连 ~_~ (真怪呀) : 不知道有甚麽方法或设定可以解决我的问题 >_<~ : 注.proxy主机是用linux 我猜 你们是同一个vlan or 同一驼switches/hubs 底下, 设两个subnets: 192.168.1/24 & 192.168.2/24 然後, 192.168.1/24 有default gateway, 192.168.2/24 的没有default gateway; 然後, 你们的proxy server 网卡bind 两个IPs: 192.168.1.xxx & 192.168.2.xxx 在这种架构下, 只要任何一部192.168.2的机器改IP成 192.168.1的就可以通了. 要不然就是, 两个独立的vlans 透过proxy 这部机器 又是proxy, 又是两个网段的gateways 这样照道理讲, 设了firewall 应该就可以挡掉192.168.2的traffic才是 除非, 你的rules 设错interfaces... 您提供的架构还不够清楚 所以只好乱猜... :P cheers, -- Self-Pity I never saw a wild thing sorry for itself. A small bird will drop frozen dead from a bough without ever having felt sorry for itself. ~ D. H. Lawrence --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 61.222.84.159