![]() |
![]() |
Stepan Razin 16.06.2004 - 11:02 |
Ситуация такова. Есть сеть, есть шлюз в инет с NAT'ом. Необходимо создать вторую подсеть, причем маршрутизатором сделать один из клиентских компов. Подсеть должна быть скрытая, то есть ее должны видеть только определенные IP-шники. На шлюзе в инет - WinRoute Pro. Как лучше реализовать? Через Advanced NAT получится? Или я туплю? |
ma[DD]og 1 - 16.06.2004 - 11:30 | Вторая подсеть внутри или снаружи? |
Stepan Razin 2 - 16.06.2004 - 11:44 | Внутри |
Andy_user 3 - 16.06.2004 - 11:48 |
"ее должны видеть только определенные IP-шники" Из первой (исходной) сети или из Интернет ? |
Stepan Razin 4 - 16.06.2004 - 11:51 |
Сорри. Просто может быть я сюда зря NAT и шдюз в инет приплел (а может и не зря)... Должны видеть определенные IP-шники из внутренней сети. Просто хочется человеку один комп спрятать от всех, кроме нескольких чеоловек. При этом обязательное условие - маршрутизатором должен быть клиент, ане шлюз в инет. |
ma[DD]og 5 - 16.06.2004 - 11:55 |
Отключить "скрытого" от хаба Дать ему адрес из другой подсети настроить на произвольном компьютере первой подсети шлюз на тот хост на избранных хостах прописать маршрут на "скрытый" комп |
Andy_user 6 - 16.06.2004 - 11:57 | На маршрутизаторе, соединяющем первую (исходную) и дополнительную подсети поставить фильтр пакетов запрещающий пакеты по IP адресу источника, за исключением входящих в разрешающий список. |
PriZrak 7 - 16.06.2004 - 11:59 | Ну если на то, его видеть вобще не будет не кто за шлюзом, а уже чем доступ рулить, ето другой вопрос. |
Andy_user 8 - 16.06.2004 - 12:01 |
Другой вариант: На каждом компе в дополнительной сети не указывать дефолтовый маршрут, а указать конкретные маршруты на разрешенные IP из первой сети. |
Stepan Razin 9 - 16.06.2004 - 12:01 |
Ну то есть как я и думал - тупо настраиваем клиента, как маршрутизатор и на "разрешенных" клиентах прописываем дополнительный маршрут. И для спокойствия - фаерволл на маршрутизатор. |
zuav 10 - 16.06.2004 - 12:08 |
<Просто хочется человеку один комп спрятать от всех, кроме нескольких чеоловек> Если суть только в этом, то проще на этом компе поднять kerio personal firewall, ничего не меняя в остальных настройках ни у него ни у других |
r00t 11 - 16.06.2004 - 12:13 | А если в политике безопасности "разрешить доступ к компьютеру из сети" тока для "избранных"?? |
zuav 12 - 16.06.2004 - 12:18 |
Кстати, тоже правильная мысль ... но это если домен есть и станция не 98 И тогда уж заодно сделать /hidden:yes |
r00t 13 - 16.06.2004 - 12:21 | 12 - а если нет домена и 98й - то 10 |
Andy_user 14 - 16.06.2004 - 12:27 |
To (10): А как в предлагаемом Вами варианте спрятать канальный уровень (ARP запросы и ARP ответы) ? |
zuav 15 - 16.06.2004 - 12:55 | А зачем, ну что с того, что мак определят ? |
Andy_user 16 - 16.06.2004 - 13:00 |
<Просто хочется человеку один комп спрятать от всех, кроме нескольких чеоловек> Спрятать значит спрятать... |
zuav 17 - 16.06.2004 - 13:17 |
Штука в том, что в варианте с маршрутизатором тоже особо не спрячешь комп, потому что на него должен быть доступ с избранных. Следовательно, все равно сотрудникам будет известно, что есть еще комп. И даже будут знать как он называется.:) -- Ну и если подумать, ввели новый комп в сеть, позакрывали порты. И как обычные юзера узнают что появился новичок (ведь в сетевом он у них не выскочит) ? |
Andy_user 18 - 16.06.2004 - 13:26 |
"как обычные юзера узнают что появился новичок" Предположим, среди "обычных юзеров" есть лица, отвечающие за безопасность сети... Пинг по IP из диапазона подсети и проверка ARP-кэша на предмет новых MAC адресов. Есть и нестандартные средства... |
Коготь 19 - 16.06.2004 - 13:30 | Спрятать можно и назначив IP из другой подсети, а на "избранных" прописать второй IP из этой подсети. Но это именно "спрятать", а не защитить, хотя если юзеры не могут менять IP, то пойдет. |