![]() |
Модераторы: marykone |
![]() ![]() ![]() |
|
vAnza |
|
|||
![]() Новичок Профиль Группа: Участник Сообщений: 12 Регистрация: 16.11.2006 Где: Курск Репутация: нет Всего: нет |
Доброе время суток!
Существует 2 небольших организации с общим серваком. Обе берут инет через kerio fw. Нужно запритить доступ из чужой фирмы к нашей локалке, т.е. запретить доступ к расшареным папкам нашей фирмы, при этом сохранив инет для них. Пробовал для одного из их компа так: |rule: new rule| Source: 192.168.0.33| Destination: Network| Service: Any| Action: Drop| Как вообще сделать так, чтобы запретить какойто конкретной машине внутри локалки доступ к другой, в тойже локалке, кроме сервака, напрмер машина с ip 192.168.0.5 не могла зайти к 192.168.0.10? Пачему не работает, непойму. Жду любой помощи, хотябы в теории или на примере др. файрвола. Это сообщение отредактировал(а) vAnza - 18.7.2007, 11:55 |
|||
|
||||
Папараццы |
|
|||
![]() Опытный ![]() ![]() Профиль Группа: Участник Сообщений: 475 Регистрация: 18.9.2006 Где: Баку Репутация: нет Всего: нет |
Да тут ваще файрвол не причем.. А сетка на доменах ?
-------------------- /*---------------------------------------------------------------------------------*/ |
|||
|
||||
redona |
|
|||
![]() фоса: - МЯСА... ![]() ![]() ![]() ![]() Профиль Группа: Участник Клуба Сообщений: 2252 Регистрация: 15.11.2005 Где: Украина, Харьков Репутация: 13 Всего: 99 |
vAnza, все просто, на сервере пускаешь локалки через разные сетевые интерфейсы, в керио запрещаешь связь между сетевыми интерфейсами(это на всякий случай), хотя я думаю этого можно и не делать...
-------------------- В храме надпись: "От святого огня не прикуривают" переходи на сторону зла, - у нас есть печеньки! - Пишите код так, как будто сопровождать его будет склонный к насилию психопат, который знает, где вы живете. Стив Макконнелл |
|||
|
||||
vAnza |
|
|||
![]() Новичок Профиль Группа: Участник Сообщений: 12 Регистрация: 16.11.2006 Где: Курск Репутация: нет Всего: нет |
Ну это понятно то, но влечёт за собой дополнительные расходы. К тамуже хотелось бы более гибкой настройки. Вот я задумался, попадает ли вообще пакет от одной машины к другой на сервак, может в этом и смысл проблемы, как показал снифер, оказывается попадает. Так почему же не работает правило в керио? Вот кстате информация к размышлению: [20/Jul/2007 11:02:36] DROP "New rule" packet from Network, proto:UDP, len:78, ip/port:192.168.0.102:137 -> 192.168.0.255:137, udplen:50 Исходя из логов всё работает, но на практике нет. Это сообщение отредактировал(а) vAnza - 20.7.2007, 09:57 |
|||
|
||||
redona |
|
|||
![]() фоса: - МЯСА... ![]() ![]() ![]() ![]() Профиль Группа: Участник Клуба Сообщений: 2252 Регистрация: 15.11.2005 Где: Украина, Харьков Репутация: 13 Всего: 99 |
вообще-то по всем правилам организации сети, в сети даже без сервера существует обозреватель сети к которому обращаются все машины с сетевыми запросами, на сервере(при правильной настройке) эту функцию берет на себя сервер. И еще по умолчанию в ХР обозревательсти запускается автоматически после проведения выборов обозревателя в локальной сети, я думаю что на клиентских машинах ты обозревательне отключал, а значит не факт, что сервак у тебя главный, да он может быть шлюзом, ДНС-сервером и т.д. но не факт что он является обозревателем, а значит что после локального запроса от шлюза запрос переходит к обозревателю а дальше к конечному адресату, чтобы эфективно контролировать локальную сеть тебе придется поднять домен в сети где можно будет описать правила которым будут подчиняться соответствующие группы пользователей... -------------------- В храме надпись: "От святого огня не прикуривают" переходи на сторону зла, - у нас есть печеньки! - Пишите код так, как будто сопровождать его будет склонный к насилию психопат, который знает, где вы живете. Стив Макконнелл |
|||
|
||||
vAnza |
|
|||
![]() Новичок Профиль Группа: Участник Сообщений: 12 Регистрация: 16.11.2006 Где: Курск Репутация: нет Всего: нет |
Нет, рабочая группа |
|||
|
||||
vAnza |
|
|||
![]() Новичок Профиль Группа: Участник Сообщений: 12 Регистрация: 16.11.2006 Где: Курск Репутация: нет Всего: нет |
2redona: вот это уже ценная инфа, спасибо. Теперь несколько вопросов. Обозреватель если не сервак, то какая то 1 машина, или им может быть любой комп в сети? Как найти обозреватель? Как сделать обозревателем только сервак?
Это сообщение отредактировал(а) vAnza - 20.7.2007, 13:51 |
|||
|
||||
DENNN |
|
|||
Эксперт ![]() ![]() ![]() ![]() Профиль Группа: Участник Клуба Сообщений: 3878 Регистрация: 27.3.2002 Где: Москва Репутация: 10 Всего: 43 |
Господи! Да почитай ты уже наконец хотя бы основы сетевых протоколов. Как свич с хабом работают в конце-то концов! Ну нафига жатся на одну сетевую карту, которая стоит 200рублей, если при такой конфигурации один комп ВСЕГДА сможет обратится к другому НАПРЯМУЮ минуя твой несчастный WinRoute???? |
|||
|
||||
redona |
|
|||
![]() фоса: - МЯСА... ![]() ![]() ![]() ![]() Профиль Группа: Участник Клуба Сообщений: 2252 Регистрация: 15.11.2005 Где: Украина, Харьков Репутация: 13 Всего: 99 |
опять же все просто - панель управления -> администрирование -> службы, находишь искомый процесс и в обциях его отключаешь, это все делаешь на клиентских машинах, но учти тогда сервер должен быть всегда включен, иначе будут сбои в работе сети... а вообще то я согласен с DENNN... -------------------- В храме надпись: "От святого огня не прикуривают" переходи на сторону зла, - у нас есть печеньки! - Пишите код так, как будто сопровождать его будет склонный к насилию психопат, который знает, где вы живете. Стив Макконнелл |
|||
|
||||
Иван Человеков |
|
|||
![]() Бывалый ![]() Профиль Группа: Участник Сообщений: 235 Регистрация: 11.3.2006 Где: Минск Репутация: нет Всего: 1 |
Сам только разбираюсь
![]() Если в сети есть машина с серверной ОС 2000 или 2003, то она станет главной Master Browser. О службе Computer Browser ![]() Посмотреть, какой компьютер является Master Browser сети можно , выполнив команду nbtstat -n , если есть строка __MSBROWSE__ значит сей ПК главный. Подробнее тут ![]() Это сообщение отредактировал(а) Иван Человеков - 6.8.2007, 12:47 |
|||
|
||||
redona |
|
|||
![]() фоса: - МЯСА... ![]() ![]() ![]() ![]() Профиль Группа: Участник Клуба Сообщений: 2252 Регистрация: 15.11.2005 Где: Украина, Харьков Репутация: 13 Всего: 99 |
не факт не однократно сталкивался с проблеммой, что обозревателем сети становились рабочие станции, так как время пребывания в сети у них было больше, чем у сервера... -------------------- В храме надпись: "От святого огня не прикуривают" переходи на сторону зла, - у нас есть печеньки! - Пишите код так, как будто сопровождать его будет склонный к насилию психопат, который знает, где вы живете. Стив Макконнелл |
|||
|
||||
![]() ![]() ![]() |
0 Пользователей читают эту тему (0 Гостей и 0 Скрытых Пользователей) | |
0 Пользователей: | |
« Предыдущая тема | Сетевые технологии | Следующая тема » |
|
По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности Powered by Invision Power Board(R) 1.3 © 2003 IPS, Inc. |