Модераторы: marykone
  

Поиск:

Ответ в темуСоздание новой темы Создание опроса
> Kerio WR Firewall и 2 организации 
:(
    Опции темы
vAnza
Дата 18.7.2007, 11:47 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Новичок



Профиль
Группа: Участник
Сообщений: 12
Регистрация: 16.11.2006
Где: Курск

Репутация: нет
Всего: нет



Доброе время суток!

Существует 2 небольших организации с общим серваком. Обе берут инет через kerio fw. Нужно запритить доступ из чужой фирмы к нашей локалке, т.е. запретить доступ к расшареным папкам нашей фирмы, при этом сохранив инет для них. 

Пробовал для одного из их компа так: |rule: new rule| Source: 192.168.0.33| Destination: Network| Service: Any| Action: Drop| 

Как вообще сделать так, чтобы запретить какойто конкретной машине внутри локалки доступ к другой, в тойже локалке, кроме сервака, напрмер машина с ip 192.168.0.5 не могла зайти к 192.168.0.10?

Пачему не работает, непойму. Жду любой помощи, хотябы в теории или на примере др. файрвола.

 

Это сообщение отредактировал(а) vAnza - 18.7.2007, 11:55
PM MAIL ICQ   Вверх
Папараццы
Дата 19.7.2007, 23:18 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Опытный
**


Профиль
Группа: Участник
Сообщений: 475
Регистрация: 18.9.2006
Где: Баку

Репутация: нет
Всего: нет



  Да тут ваще файрвол не причем.. А сетка на доменах ? 


--------------------
/*---------------------------------------------------------------------------------*/
PM MAIL WWW ICQ MSN   Вверх
redona
Дата 20.7.2007, 09:03 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


фоса: - МЯСА...
****


Профиль
Группа: Участник Клуба
Сообщений: 2252
Регистрация: 15.11.2005
Где: Украина, Харьков

Репутация: 13
Всего: 99



vAnza, все просто, на сервере пускаешь локалки через разные сетевые интерфейсы, в керио запрещаешь связь между сетевыми интерфейсами(это на всякий случай), хотя я думаю этого можно и не делать...


--------------------
В храме надпись:
"От святого огня не прикуривают"

переходи на сторону зла, - у нас есть печеньки!

 - Пишите код так, как будто сопровождать его будет склонный к насилию психопат, который знает, где вы живете.
Стив Макконнелл
PM MAIL WWW   Вверх
vAnza
Дата 20.7.2007, 09:49 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Новичок



Профиль
Группа: Участник
Сообщений: 12
Регистрация: 16.11.2006
Где: Курск

Репутация: нет
Всего: нет



Цитата(redona @ 20.7.2007,  09:03)
vAnza, все просто, на сервере пускаешь локалки через разные сетевые интерфейсы, в керио запрещаешь связь между сетевыми интерфейсами(это на всякий случай), хотя я думаю этого можно и не делать...


Ну это понятно то, но влечёт за собой дополнительные расходы. К тамуже хотелось бы более гибкой настройки. 
Вот я задумался, попадает ли вообще пакет от одной машины к другой на сервак, может в этом и смысл проблемы, как показал снифер, оказывается попадает. Так почему же не работает правило в керио?

Вот кстате информация к размышлению:

[20/Jul/2007 11:02:36] DROP "New rule" packet from Network, proto:UDP, len:78, ip/port:192.168.0.102:137 -> 192.168.0.255:137, udplen:50

Исходя из логов всё работает, но на практике нет.

Это сообщение отредактировал(а) vAnza - 20.7.2007, 09:57
PM MAIL ICQ   Вверх
redona
Дата 20.7.2007, 09:59 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


фоса: - МЯСА...
****


Профиль
Группа: Участник Клуба
Сообщений: 2252
Регистрация: 15.11.2005
Где: Украина, Харьков

Репутация: 13
Всего: 99



Цитата(vAnza @  20.7.2007,  09:49 Найти цитируемый пост)
Ну это понятно то, но влечёт за собой дополнительные расходы. К тамуже хотелось бы более гибкой настройки. Вот я задумался, попадает ли вообще пакет от одной машины к другой на сервак, может в этом и смысл проблемы, как показал снифер, оказывается попадает. Так почему же не работает правило в керио?

вообще-то по всем правилам организации сети, в сети даже без сервера существует обозреватель сети к которому обращаются все машины с сетевыми запросами, на сервере(при правильной настройке) эту функцию берет на себя сервер.
И еще по умолчанию в ХР обозревательсти запускается автоматически после проведения выборов обозревателя в локальной сети, я думаю что на клиентских машинах ты обозревательне отключал, а значит не факт, что сервак у тебя главный, да он может быть шлюзом, ДНС-сервером и т.д. но не факт что он является обозревателем, а значит что после локального запроса от шлюза запрос переходит к обозревателю а дальше к конечному адресату, чтобы эфективно контролировать локальную сеть тебе придется поднять домен в сети где можно будет описать правила которым будут подчиняться соответствующие группы пользователей...


--------------------
В храме надпись:
"От святого огня не прикуривают"

переходи на сторону зла, - у нас есть печеньки!

 - Пишите код так, как будто сопровождать его будет склонный к насилию психопат, который знает, где вы живете.
Стив Макконнелл
PM MAIL WWW   Вверх
vAnza
Дата 20.7.2007, 10:05 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Новичок



Профиль
Группа: Участник
Сообщений: 12
Регистрация: 16.11.2006
Где: Курск

Репутация: нет
Всего: нет



Цитата(Папараццы @ 19.7.2007,  23:18)
Да тут ваще файрвол не причем.. А сетка на доменах ?

Нет, рабочая группа
PM MAIL ICQ   Вверх
vAnza
Дата 20.7.2007, 13:51 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Новичок



Профиль
Группа: Участник
Сообщений: 12
Регистрация: 16.11.2006
Где: Курск

Репутация: нет
Всего: нет



2redona: вот это уже ценная инфа, спасибо. Теперь несколько вопросов. Обозреватель если не сервак, то какая то 1 машина, или им может быть любой комп в сети? Как найти обозреватель? Как сделать обозревателем только сервак?

Это сообщение отредактировал(а) vAnza - 20.7.2007, 13:51
PM MAIL ICQ   Вверх
DENNN
Дата 22.7.2007, 11:11 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
****


Профиль
Группа: Участник Клуба
Сообщений: 3878
Регистрация: 27.3.2002
Где: Москва

Репутация: 10
Всего: 43



Цитата(vAnza @  20.7.2007,  13:51 Найти цитируемый пост)
2redona: вот это уже ценная инфа, спасибо. Теперь несколько вопросов. Обозреватель если не сервак, то какая то 1 машина, или им может быть любой комп в сети? Как найти обозреватель? Как сделать обозревателем только сервак?

Господи! Да почитай ты уже наконец хотя бы основы сетевых протоколов. Как свич с хабом работают в конце-то концов! Ну нафига жатся на одну сетевую карту, которая стоит 200рублей, если при такой конфигурации один комп ВСЕГДА сможет обратится к другому НАПРЯМУЮ минуя твой несчастный WinRoute????
PM ICQ   Вверх
redona
Дата 23.7.2007, 09:57 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


фоса: - МЯСА...
****


Профиль
Группа: Участник Клуба
Сообщений: 2252
Регистрация: 15.11.2005
Где: Украина, Харьков

Репутация: 13
Всего: 99



Цитата(vAnza @  20.7.2007,  13:51 Найти цитируемый пост)
2redona: вот это уже ценная инфа, спасибо. Теперь несколько вопросов. Обозреватель если не сервак, то какая то 1 машина, или им может быть любой комп в сети? Как найти обозреватель? Как сделать обозревателем только сервак?

опять же все просто - панель управления -> администрирование -> службы, находишь искомый процесс и в обциях его отключаешь, это все делаешь на клиентских машинах, но учти тогда сервер должен быть всегда включен, иначе будут сбои в работе сети...
а вообще то я согласен с DENNN...


--------------------
В храме надпись:
"От святого огня не прикуривают"

переходи на сторону зла, - у нас есть печеньки!

 - Пишите код так, как будто сопровождать его будет склонный к насилию психопат, который знает, где вы живете.
Стив Макконнелл
PM MAIL WWW   Вверх
Иван Человеков
  Дата 6.8.2007, 12:42 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Бывалый
*


Профиль
Группа: Участник
Сообщений: 235
Регистрация: 11.3.2006
Где: Минск

Репутация: нет
Всего: 1



Сам только разбираюсь smile
Цитата(vAnza @  20.7.2007,  13:51 Найти цитируемый пост)
Как найти обозреватель? Как сделать обозревателем только сервак?

Если в сети есть машина с серверной ОС 2000 или 2003, то она станет главной Master Browser. О службе Computer Browser smile

Посмотреть, какой компьютер является Master Browser сети можно , выполнив команду nbtstat -n , если есть строка __MSBROWSE__ значит сей ПК главный. Подробнее тут smile




Это сообщение отредактировал(а) Иван Человеков - 6.8.2007, 12:47
PM ICQ   Вверх
redona
Дата 7.8.2007, 11:09 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


фоса: - МЯСА...
****


Профиль
Группа: Участник Клуба
Сообщений: 2252
Регистрация: 15.11.2005
Где: Украина, Харьков

Репутация: 13
Всего: 99



Цитата(Иван Человеков @  6.8.2007,  12:42 Найти цитируемый пост)
Если в сети есть машина с серверной ОС 2000 или 2003, то она станет главной Master Browser. О службе Computer Browser 

не факт не однократно сталкивался с проблеммой, что обозревателем сети становились рабочие станции, так как время пребывания в сети у них было больше, чем у сервера...


--------------------
В храме надпись:
"От святого огня не прикуривают"

переходи на сторону зла, - у нас есть печеньки!

 - Пишите код так, как будто сопровождать его будет склонный к насилию психопат, который знает, где вы живете.
Стив Макконнелл
PM MAIL WWW   Вверх
  
Ответ в темуСоздание новой темы Создание опроса
0 Пользователей читают эту тему (0 Гостей и 0 Скрытых Пользователей)
0 Пользователей:
« Предыдущая тема | Сетевые технологии | Следующая тема »


 




[ Время генерации скрипта: 0.0746 ]   [ Использовано запросов: 21 ]   [ GZIP включён ]


Реклама на сайте     Информационное спонсорство

 
По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности     Powered by Invision Power Board(R) 1.3 © 2003  IPS, Inc.