Доброе время суток!

Существует 2 небольших организации с общим серваком. Обе берут инет через kerio fw. Нужно запритить доступ из чужой фирмы к нашей локалке, т.е. запретить доступ к расшареным папкам нашей фирмы, при этом сохранив инет для них. 

Пробовал для одного из их компа так: |rule: new rule| Source: 192.168.0.33| Destination: Network| Service: Any| Action: Drop| 

Как вообще сделать так, чтобы запретить какойто конкретной машине внутри локалки доступ к другой, в тойже локалке, кроме сервака, напрмер машина с ip 192.168.0.5 не могла зайти к 192.168.0.10?

Пачему не работает, непойму. Жду любой помощи, хотябы в теории или на примере др. файрвола.

 

Это сообщение отредактировал(а) vAnza - 18.7.2007, 11:55

  Да тут ваще файрвол не причем.. А сетка на доменах ? 

vAnza, все просто, на сервере пускаешь локалки через разные сетевые интерфейсы, в керио запрещаешь связь между сетевыми интерфейсами(это на всякий случай), хотя я думаю этого можно и не делать...

Ну это понятно то, но влечёт за собой дополнительные расходы. К тамуже хотелось бы более гибкой настройки. 
Вот я задумался, попадает ли вообще пакет от одной машины к другой на сервак, может в этом и смысл проблемы, как показал снифер, оказывается попадает. Так почему же не работает правило в керио?

Вот кстате информация к размышлению:

[20/Jul/2007 11:02:36] DROP "New rule" packet from Network, proto:UDP, len:78, ip/port:192.168.0.102:137 -> 192.168.0.255:137, udplen:50

Исходя из логов всё работает, но на практике нет.

Это сообщение отредактировал(а) vAnza - 20.7.2007, 09:57

вообще-то по всем правилам организации сети, в сети даже без сервера существует обозреватель сети к которому обращаются все машины с сетевыми запросами, на сервере(при правильной настройке) эту функцию берет на себя сервер.
И еще по умолчанию в ХР обозревательсти запускается автоматически после проведения выборов обозревателя в локальной сети, я думаю что на клиентских машинах ты обозревательне отключал, а значит не факт, что сервак у тебя главный, да он может быть шлюзом, ДНС-сервером и т.д. но не факт что он является обозревателем, а значит что после локального запроса от шлюза запрос переходит к обозревателю а дальше к конечному адресату, чтобы эфективно контролировать локальную сеть тебе придется поднять домен в сети где можно будет описать правила которым будут подчиняться соответствующие группы пользователей...

Нет, рабочая группа

2redona: вот это уже ценная инфа, спасибо. Теперь несколько вопросов. Обозреватель если не сервак, то какая то 1 машина, или им может быть любой комп в сети? Как найти обозреватель? Как сделать обозревателем только сервак?

Это сообщение отредактировал(а) vAnza - 20.7.2007, 13:51

Господи! Да почитай ты уже наконец хотя бы основы сетевых протоколов. Как свич с хабом работают в конце-то концов! Ну нафига жатся на одну сетевую карту, которая стоит 200рублей, если при такой конфигурации один комп ВСЕГДА сможет обратится к другому НАПРЯМУЮ минуя твой несчастный WinRoute????

опять же все просто - панель управления -> администрирование -> службы, находишь искомый процесс и в обциях его отключаешь, это все делаешь на клиентских машинах, но учти тогда сервер должен быть всегда включен, иначе будут сбои в работе сети...
а вообще то я согласен с DENNN...

Сам только разбираюсь 

Если в сети есть машина с серверной ОС 2000 или 2003, то она станет главной Master Browser. О службе Computer Browser 

Посмотреть, какой компьютер является Master Browser сети можно , выполнив команду nbtstat -n , если есть строка __MSBROWSE__ значит сей ПК главный. Подробнее тут 




Это сообщение отредактировал(а) Иван Человеков - 6.8.2007, 12:47

не факт не однократно сталкивался с проблеммой, что обозревателем сети становились рабочие станции, так как время пребывания в сети у них было больше, чем у сервера...