а что правила CIS Level 2 не включаются через nat_config?
Если запустить ncat_config, то один из вопросов будет "Включить правила CIS Level 2?" - нужно ответить Yes. Вопрос выглядит так:
ncat_config:   Apply some or all of CIS Level 2 rules [No] ?

tipok, очень понравилась фраза "Я не собираюсь делать за тебя свою работу)))"

Вообще-то, если поискать в google, то это IP адрес обозначен как iamleet.be Botnet CnC Server и даже для него написано правило Snort.

Правила лечения вирусов, троянов и другого злонамеренного софта:
http://virusinfo.info/showthread.php?t=1235

а какие вопросы по RAT?

Верно. Это было задумано для того, чтобы не использовать DHCP. Опасения в общем правильные и если не хочется иметь MAC адрес в IPv6 - тогда как раз надо по-старинке использовать DHCP (вместе с его старыми уязвимостями ) или другие подходы которые расписаны в главе "2.4. Possible Approaches" RFC 3041. Этот RFC 3041 и был придуман, чтобы уменьшить шансы получить информации из IPv6 больше чем хотелось бы (и чтобы было так же анонимно как и с IPv4).

А к серверу клиенты будут, скорее всего, обращаться по DNS имени. Там наверно будут проблемы при смене карты с очисткой кеша DNS ответов, но временные... Но с другой стороны сейчас не лучше в IPv4: если ты поменяешь карту, но не поставишь на нее сразу старый MAC, то клиенты не смогут законнектиться к default router пока по ARP не спросят его новый MAC адрес - та же проблема но с кешем ARP ответов.

под винду попробуй Internet Scanner или XSpider

- если каждый хост сделает по одному соединению и будет им постоянно пользоваться, то одновременно сможет сидеть 64511 хост
- если каждый хост будет делать соединение и завершать его за одну секунду и затем 9 секунд молчать и не выходить через NAT, то 645110 хост (в расчеты не брался NAT timeout - время старения записи в таблице NAT)
- если на каждом хосте будет 10 одновременных соединений через NAT, то 6451 хост
и т.д. по аналогии

боюсь, что на всех, судя по схеме. между каждой парой свитчей ведь теперь должен быть транк.
но если на этой схеме левый зеленый кабель включить в нижний левый свитч, то тогда транк будет только один - между зданиями

ну и замечательно. интересно прочитать будет о результатах.

есть руководство от вендора Windows Server 2008 Security Guide http://www.microsoft.com/downloads/details.aspx?familyid=FB8B981F-227C-4AF6-A44B-B115696A80AC&displaylang=en

я бы поставил систему предотвращения атак на него, например IBM Proventia Server Intrusion Prevention System (IPS) http://www.ibm.com/ru/services/iss/proventia_server_intrusion_prevention_sy­stem.html

Rokot, практически все _управляемые_ свитчи обладают таким настройками

наверно нужен конкретный пример.
вы можете сделать внутреннюю сетку класса B 10.0.0.0/16 и подцепить в нее 65 тысяч компьютеров через тыщу свитчей. роутер тут ни при чем. это будет ваш дизайн сети. на роутере надо будет просто включить NAT и прописать IP адрес с маской 255.255.0.0. получится, что на маршрутизаторе будет IP адрес 10.0.N.N, а на всех компьютерах адреса вида 10.0.x.x. Везде маска сети 255.255.0.0. NATить маршуризатор будет все 65 тыщ хостов. правда, вы тут правы что маршрутизатор должен быть помощнее и подороже. максимальное количество TCP и UDP соединений которые будет одновременно умещаться в NAT таблице маршрутизатора будет 64 тысячи, как говорил FUF. Другой вопрос, что так никто не делает в жизни. В USB тоже можно воткнуть 256 устройств

Neighbor Solicitation позволяет понять, что neighbor вообще существует и мало того еще и жив. Neighbor Advertisement подтверждает это от соответствующего хоста или маршрутизатора. Ну и если neighbor за свитчом, тогда вернется MAC свитча, как и в случае с ARP.

Windows 2000 и более раниие версии (95,98,ME,NT) всегда так работают. Статическая запись в них означала(ет), что просто не надо делать двойную проверку этой записи, но при приходе ложного ARP ответа они все равно обновляли эту "статическую" запись, которая на самом деле не статическая.
Мне очень странно, что у вас так работает XP и W2K3 - они всегда обрабатывали статические записи правильно.  Проверьте еще раз. (Хотя Microsoft мог и стек TCP/IP подправить в очередном обновлении, что крайне маловероятно)

Сделать, к сожалению, ничего нельзя. Можно поставить утилиту для контроля смены пары MAC-IP в сети.
Например, это XARP для Windows (http://www.chrismc.de/development/xarp/index.html) и arpwatch для Unix\Linux - он как правило есть во всех пакетах (http://www.securitylab.ru/software/233283.php)

По опыту, использование статических arp записей жутко неудобно - ты забываешь, что сделал статическую запись на каком-то хосте и потом долго ищешь почему сеть не работает при смене внешнего MAC к которому ты привязался (при смене шлюза по умолчанию, например)

а зачем нужен внешний IP на NETGEAR? Я считаю это ненужным. Не есть хорошо, что у тебя в одной broadcast сети и внешние и внутренние адреса путешествуют, вдобавок твои внутренние IP в Интернет улетают. Внешний IP для любого сервера внутри можно было бы и на самом Firewall транслировать (эта функция называется публикация сервера)

я бы заменил на второй схеме NETGEAR на DES 3250 (как раз удалится лишний DES 3250 - который ты зеленым проводом к Интернет подключил в обход Firewall) - сразу бы не было никакого двойного NAT для 192.168.0.0/24, никакого внешнего IP и все бы сразу заработало.

Твоя идея с VLAN тоже мне нравится. Ты можешь пробросить свой внешний IP x.x.x.5 через отдельный VLAN прямо в Интернет и тогда схема сети с картинки 2 виртуально будет как на 1 картинке.

Выбирай что тебе проще.

Ну а про безопасность схемы 2 что говорить, если ты подключил внутреннюю сеть к Интернет в обход Firewall  - безопасности нет. А вот с VLAN она там появится.

я советую IBM Proventia Network Mail Security: есть как ящик который фильтрует спам, вирусы, атаки на SMTP: http://www.ibm.com/ru/services/iss/proventia_network_mail_security_system.html, а есть в виде образа под VmWare http://www.vmware.com/appliances/directory/1023 с полным функционалом ящика

Proventia Server IPS for Windows работает на серверах
Proventia Desktop работает на рабочих станциях
http://www.ibm.com/ru/services/iss/iss_products.html

я бы выбрал коммерческий антиспам.
1. покупаешь ящик ставишь его шлюзом для почты и в итоге в почтовые ящики на freebsd уже падают только нужные письма. периодически раз в день они присылают отчет по отфильтрованным письмам, отрезанные письма можно в случае чего доставить себе.
2. платишь за антиспам как за сервис. для этого ставишь шлюзом антиспам чужой и они тоже фильтруют почту за тебя и присылают тебе только нужные письма.