Версия для печати темы
Нажмите сюда для просмотра этой темы в оригинальном формате
Форум программистов > Сетевые технологии > Kerio WR Firewall и 2 организации


Автор: vAnza 18.7.2007, 11:47
Доброе время суток!

Существует 2 небольших организации с общим серваком. Обе берут инет через kerio fw. Нужно запритить доступ из чужой фирмы к нашей локалке, т.е. запретить доступ к расшареным папкам нашей фирмы, при этом сохранив инет для них. 

Пробовал для одного из их компа так: |rule: new rule| Source: 192.168.0.33| Destination: Network| Service: Any| Action: Drop| 

Как вообще сделать так, чтобы запретить какойто конкретной машине внутри локалки доступ к другой, в тойже локалке, кроме сервака, напрмер машина с ip 192.168.0.5 не могла зайти к 192.168.0.10?

Пачему не работает, непойму. Жду любой помощи, хотябы в теории или на примере др. файрвола.

 

Автор: Папараццы 19.7.2007, 23:18
  Да тут ваще файрвол не причем.. А сетка на доменах ? 

Автор: redona 20.7.2007, 09:03
vAnza, все просто, на сервере пускаешь локалки через разные сетевые интерфейсы, в керио запрещаешь связь между сетевыми интерфейсами(это на всякий случай), хотя я думаю этого можно и не делать...

Автор: vAnza 20.7.2007, 09:49
Цитата(redona @ 20.7.2007,  09:03)
vAnza, все просто, на сервере пускаешь локалки через разные сетевые интерфейсы, в керио запрещаешь связь между сетевыми интерфейсами(это на всякий случай), хотя я думаю этого можно и не делать...


Ну это понятно то, но влечёт за собой дополнительные расходы. К тамуже хотелось бы более гибкой настройки. 
Вот я задумался, попадает ли вообще пакет от одной машины к другой на сервак, может в этом и смысл проблемы, как показал снифер, оказывается попадает. Так почему же не работает правило в керио?

Вот кстате информация к размышлению:

[20/Jul/2007 11:02:36] DROP "New rule" packet from Network, proto:UDP, len:78, ip/port:192.168.0.102:137 -> 192.168.0.255:137, udplen:50

Исходя из логов всё работает, но на практике нет.

Автор: redona 20.7.2007, 09:59
Цитата(vAnza @  20.7.2007,  09:49 Найти цитируемый пост)
Ну это понятно то, но влечёт за собой дополнительные расходы. К тамуже хотелось бы более гибкой настройки. Вот я задумался, попадает ли вообще пакет от одной машины к другой на сервак, может в этом и смысл проблемы, как показал снифер, оказывается попадает. Так почему же не работает правило в керио?

вообще-то по всем правилам организации сети, в сети даже без сервера существует обозреватель сети к которому обращаются все машины с сетевыми запросами, на сервере(при правильной настройке) эту функцию берет на себя сервер.
И еще по умолчанию в ХР обозревательсти запускается автоматически после проведения выборов обозревателя в локальной сети, я думаю что на клиентских машинах ты обозревательне отключал, а значит не факт, что сервак у тебя главный, да он может быть шлюзом, ДНС-сервером и т.д. но не факт что он является обозревателем, а значит что после локального запроса от шлюза запрос переходит к обозревателю а дальше к конечному адресату, чтобы эфективно контролировать локальную сеть тебе придется поднять домен в сети где можно будет описать правила которым будут подчиняться соответствующие группы пользователей...

Автор: vAnza 20.7.2007, 10:05
Цитата(Папараццы @ 19.7.2007,  23:18)
Да тут ваще файрвол не причем.. А сетка на доменах ?

Нет, рабочая группа

Автор: vAnza 20.7.2007, 13:51
2redona: вот это уже ценная инфа, спасибо. Теперь несколько вопросов. Обозреватель если не сервак, то какая то 1 машина, или им может быть любой комп в сети? Как найти обозреватель? Как сделать обозревателем только сервак?

Автор: DENNN 22.7.2007, 11:11
Цитата(vAnza @  20.7.2007,  13:51 Найти цитируемый пост)
2redona: вот это уже ценная инфа, спасибо. Теперь несколько вопросов. Обозреватель если не сервак, то какая то 1 машина, или им может быть любой комп в сети? Как найти обозреватель? Как сделать обозревателем только сервак?

Господи! Да почитай ты уже наконец хотя бы основы сетевых протоколов. Как свич с хабом работают в конце-то концов! Ну нафига жатся на одну сетевую карту, которая стоит 200рублей, если при такой конфигурации один комп ВСЕГДА сможет обратится к другому НАПРЯМУЮ минуя твой несчастный WinRoute????

Автор: redona 23.7.2007, 09:57
Цитата(vAnza @  20.7.2007,  13:51 Найти цитируемый пост)
2redona: вот это уже ценная инфа, спасибо. Теперь несколько вопросов. Обозреватель если не сервак, то какая то 1 машина, или им может быть любой комп в сети? Как найти обозреватель? Как сделать обозревателем только сервак?

опять же все просто - панель управления -> администрирование -> службы, находишь искомый процесс и в обциях его отключаешь, это все делаешь на клиентских машинах, но учти тогда сервер должен быть всегда включен, иначе будут сбои в работе сети...
а вообще то я согласен с DENNN...

Автор: Иван Человеков 6.8.2007, 12:42
Сам только разбираюсь smile
Цитата(vAnza @  20.7.2007,  13:51 Найти цитируемый пост)
Как найти обозреватель? Как сделать обозревателем только сервак?

Если в сети есть машина с серверной ОС 2000 или 2003, то она станет главной Master Browser. О службе http://www.networkdoc.ru/files/insop/win2000/read.html?computer-browser.html smile

Посмотреть, какой компьютер является Master Browser сети можно , выполнив команду nbtstat -n , если есть строка __MSBROWSE__ значит сей ПК главный. Подробнее http://www.thg.ru/network/200401141/sharing-02.html smile

Автор: redona 7.8.2007, 11:09
Цитата(Иван Человеков @  6.8.2007,  12:42 Найти цитируемый пост)
Если в сети есть машина с серверной ОС 2000 или 2003, то она станет главной Master Browser. О службе Computer Browser 

не факт не однократно сталкивался с проблеммой, что обозревателем сети становились рабочие станции, так как время пребывания в сети у них было больше, чем у сервера...

Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)