Фильтрация ARP-пакетов |
При получении «ФПСУ-IP» пакета ARP-запроса на получение сетевого адреса абонента, находящегося со стороны другого интерфейса, после проверки на корректность формата «ФПСУ-IP» автоматически проверяет наличие IP‑адресов отправителя и получателя в конфигурационных таблицах портов, описанных администратором. В случае отрицательного результата поиска адресов - данные адреса или маски их подсетей не указаны администратором в качестве разрешённых для соединений - пакет сбрасывается и доступ удалённой станции не предоставляется, что позволяет скрывать топологию сети от сканирования. Если адреса отправителя и получателя в конфигурационных таблицах найдены, производится поиск в ARP-кэше противоположного порта записи, содержащей IP-адрес получателя. В случае успеха отправителю высылается ответ, позволяющий ему в дальнейшем посылать IP-пакеты, которые будут профильтрованы по правилам для IP-пакетов. В противном случае «ФПСУ-IP» генерирует ARP-запрос и отправляет его с противоположного интерфейса, по получении ответа, на который он вышлет свой ответ абоненту-отправителю исходного пакета. Обратите внимание: если «ФПСУ-IP» получает ARP-запрос на получение MAC-адреса, соответствующего одному из собственных IP-адресов комплекса, ответ на ARP-запрос посылается в обязательном порядке, то есть проверка наличия IP-адреса отправителя в конфигурационных таблицах портов не производится. Это позволяет регистрировать удалённых администраторов и «ФПСУ-IP/Клиентов» по уникальным именам и аутентификационным данным, без конкретной привязки к их IP-адресам. |