Вопрос – кому. Разные инфраструктуры требуют разных решений. Сравнительно недавно я видел решение, собранное из консула, AD и пары бинарей скомпиленных из кода на голанге поверх зоопарка srx и asa. При всей печальности этой мешанины, оно решало задачу дать и ОТОБРАТЬ доступы быстро. В других инфраструктурах ответы могут быть другие. К тому же я не рекомендую ПО и подходы, я могу только рекомендовать подрядчиков / исполнителей под задачу 🙂

дырки должны быть на конечных хостах и точка

фаерволы легаси

это идеально, но в это состояние трудно прийти из состояния “ад говна” в один прием

от слова дырокол

его самого)

ну порекомендуйте тогда исполнителей)

Приходите в личку с описанием задачи 🙂

Хуже когда в конфиге фаервола есть секция
# TODO разобраться что это за айпишки и кому они нужны, почистить если не найдем

А потом ты смотришь через месяц, а она еще там же

^ TRUE STORY

друг рассказывал?

а потом хлоп - и в правиле написано

until 17.09.2021

и всё хорошо

Всего через месяц?)) Я такое годами наблюдал))

Да, наблюдал у одной моей подруги с ее парнем.

не все хосты имеют встроенные средства сетевой фильтрации(это опуская момент централизованного управления теми что таки могут)

легаси дмз кусок для таких

...размером с полсети

В одной /16 пользователи в другой /16 сервера :)

кто ж вам /16 то даст, у RIR'ов только /12