К списку форумов К списку вопросов
Маршрутизация в подсетях и шлюз по дефолту в интернет...
Stepan Razin
16.06.2004 - 11:02
Ситуация такова. Есть сеть, есть шлюз в инет с NAT'ом. Необходимо создать вторую подсеть, причем маршрутизатором сделать один из клиентских компов. Подсеть должна быть скрытая, то есть ее должны видеть только определенные IP-шники.
На шлюзе в инет - WinRoute Pro.
Как лучше реализовать? Через Advanced NAT получится? Или я туплю?
ma[DD]og
1 - 16.06.2004 - 11:30
Вторая подсеть внутри или снаружи?
Stepan Razin
2 - 16.06.2004 - 11:44
Внутри
Andy_user
3 - 16.06.2004 - 11:48
"ее должны видеть только определенные IP-шники"
Из первой (исходной) сети или из Интернет ?
Stepan Razin
4 - 16.06.2004 - 11:51
Сорри. Просто может быть я сюда зря NAT и шдюз в инет приплел (а может и не зря)...
Должны видеть определенные IP-шники из внутренней сети. Просто хочется человеку один комп спрятать от всех, кроме нескольких чеоловек. При этом обязательное условие - маршрутизатором должен быть клиент, ане шлюз в инет.
ma[DD]og
5 - 16.06.2004 - 11:55
Отключить "скрытого" от хаба
Дать ему адрес из другой подсети
настроить на произвольном компьютере первой подсети шлюз на тот хост
на избранных хостах прописать маршрут на "скрытый" комп
Andy_user
6 - 16.06.2004 - 11:57
На маршрутизаторе, соединяющем первую (исходную) и дополнительную подсети поставить фильтр пакетов запрещающий пакеты по IP адресу источника, за исключением входящих в разрешающий список.
PriZrak
7 - 16.06.2004 - 11:59
Ну если на то, его видеть вобще не будет не кто за шлюзом, а уже чем доступ рулить, ето другой вопрос.
Andy_user
8 - 16.06.2004 - 12:01
Другой вариант:
На каждом компе в дополнительной сети не указывать дефолтовый маршрут, а указать конкретные маршруты на разрешенные IP из первой сети.
Stepan Razin
9 - 16.06.2004 - 12:01
Ну то есть как я и думал - тупо настраиваем клиента, как маршрутизатор и на "разрешенных" клиентах прописываем дополнительный маршрут.
И для спокойствия - фаерволл на маршрутизатор.
zuav
10 - 16.06.2004 - 12:08
<Просто хочется человеку один комп спрятать от всех, кроме нескольких чеоловек>
Если суть только в этом, то проще на этом компе поднять kerio personal firewall, ничего не меняя в остальных настройках ни у него ни у других
r00t
11 - 16.06.2004 - 12:13
А если в политике безопасности "разрешить доступ к компьютеру из сети" тока для "избранных"??
zuav
12 - 16.06.2004 - 12:18
Кстати, тоже правильная мысль ... но это если домен есть и станция не 98
И тогда уж заодно сделать /hidden:yes
r00t
13 - 16.06.2004 - 12:21
12 - а если нет домена и 98й - то 10
Andy_user
14 - 16.06.2004 - 12:27
To (10):
А как в предлагаемом Вами варианте спрятать канальный уровень (ARP запросы и ARP ответы) ?
zuav
15 - 16.06.2004 - 12:55
А зачем, ну что с того, что мак определят ?
Andy_user
16 - 16.06.2004 - 13:00
<Просто хочется человеку один комп спрятать от всех, кроме нескольких чеоловек>
Спрятать значит спрятать...
zuav
17 - 16.06.2004 - 13:17
Штука в том, что в варианте с маршрутизатором тоже особо не спрячешь комп, потому что на него должен быть доступ с избранных. Следовательно, все равно сотрудникам будет известно, что есть еще комп. И даже будут знать как он называется.:)
--
Ну и если подумать, ввели новый комп в сеть, позакрывали порты. И как обычные юзера узнают что появился новичок (ведь в сетевом он у них не выскочит) ?
Andy_user
18 - 16.06.2004 - 13:26
"как обычные юзера узнают что появился новичок"
Предположим, среди "обычных юзеров" есть лица, отвечающие за безопасность сети...
Пинг по IP из диапазона подсети и проверка ARP-кэша на предмет новых MAC адресов. Есть и нестандартные средства...
Коготь
19 - 16.06.2004 - 13:30
Спрятать можно и назначив IP из другой подсети, а на "избранных" прописать второй IP из этой подсети. Но это именно "спрятать", а не защитить, хотя если юзеры не могут менять IP, то пойдет.

К списку вопросов на форуме Сети

>>