Локальная сеть

[Alex48]

Привет Всем! У меня проблема иного плана .

У меня есть сеть из 30 компов и 2-х рабочих групп - G1 и G2.

Помогите пожалуйста решить вот такую проблему, а то я зашел в тупик: как сделать что бы компьютеры разных групп не видили друг друга и не имели доступа. Т.е. G1 и G2 полностью должны быть независимыми и невидимыми. Сеть построена с использованием хабов по структуре звезда и одного роутера для раздачи всем инета. ОС на роутере XP. Также стоит Kerio.На рабочих станциях стоят разные ОС от 98 до XP Pro и XP Home

Подсеть 192.168.0.*

Сразу скажу что пробовал менять адреса подсети - т.е. для компов группы G1 ставил 192.168.1.*, а для компов G2 оставлял исходную. Так не получилось.

Разделение с помощью свитчей и доп. роутеров не приемлемо - нужно как-0нибудь на уровне ПО и ОС.

Всем за ранее спасибо! Жду ответов - проблема актуальна.

[Kobi]

Привет Всем! У меня проблема иного плана .

У меня есть сеть из 30 компов и 2-х рабочих групп - G1 и G2.

Помогите пожалуйста решить вот такую проблему, а то я зашел в тупик: как сделать что бы компьютеры разных групп не видили друг друга и не имели доступа. Т.е. G1 и G2 полностью должны быть независимыми и невидимыми. Сеть построена с использованием хабов по структуре звезда и одного роутера для раздачи всем инета. ОС на роутере XP. Также стоит Kerio.На рабочих станциях стоят разные ОС от 98 до XP Pro и XP Home

Подсеть 192.168.0.*

Начну с вопросов:

1) как раздаются ip-адреса (dhcp или статические адреса)

2) есть ли доступ (админский) ко всем компам одной из рабочих групп?

3) почему не получилось

Сразу скажу что пробовал менять адреса подсети - т.е. для компов группы G1 ставил 192.168.1.*, а для компов G2 оставлял исходную. Так не получилось.

Какая при этом была маска родсети?

4) стоят ли на клиентских машиная firewall?

[Alex48]

Начну с вопросов:

1) как раздаются ip-адреса (dhcp или статические адреса)

2) есть ли доступ (админский) ко всем компам одной из рабочих групп?

3) почему не получилось

Какая при этом была маска родсети?

4) стоят ли на клиентских машиная firewall?

1) статика

2) есть доступ всех ко всем

3) откуда я знаю почему не получилось - вот в этом и вопрос. маски подсети в обоих случаях 255.255.255.0 - т.е. по идее это разные подсети и видеть друг друга не должны. но вот шлюз у них один. то есть на роутере ставлю карточке 2 ипа для каждой подсети - иначе инета не будет на одной из групп.

4) файрволы у всех машин поотключал - да они здесь и не причем. суть в том что в винде рабочие группы не отделны жестко. зачем тогда их вообще придумали, если машины по ипам все равно работают.

Есть какие-нибудь предложения? Может виндовс 2003 сервер поставить на роутер и домен поднять? хоты в домене все одно будут все всех видеть.

[Andrey_al]

У меня есть сеть из 30 компов и 2-х рабочих групп - G1 и G2.

... как сделать что бы компьютеры разных групп не видили друг друга и не имели доступа. Т.е. G1 и G2 полностью должны быть независимыми и невидимыми. Сеть построена с использованием хабов по структуре звезда и одного роутера для раздачи всем инета. ОС на роутере XP. Также стоит Kerio.На рабочих станциях стоят разные ОС от 98 до XP Pro и XP Home

Подсеть 192.168.0.*

как предположение: что если попробовать использовать встроенный виндовый файрволл? ну что-то вроде этого, но для каждой сетевой карточки прописать свои адреса, относящиеся к данной группе, невидимыми они скорее всего не станут, но доступа из одной группы в другую не будет

а вообще рой в сторону VLAN

Разделение с помощью свитчей и доп. роутеров не приемлемо - нужно как-0нибудь на уровне ПО и ОС.

категорически? если не секрет с чем это связано? одна дополнительная железка могла бы решить твою проблему за 2 мин.

Изменено 16 июля, 2006 пользователем Andrey_al

[Alex48]

Да я знаю что железка все решит. Наверное все таки сооружу еще один роутер для группы G2 и тогда точно хрен кто у меня до нее доберется.

Хотелось бы конечно сделать все на программном уровне.

Свитч покупать не будут пока - денег жалко....

Может кто еще что посоветует используя только возможности виндов?

Если бы у них XP Pro стояли бы у всех, то можно было бы через политики лок.безопасности порулить, а так как у них там и 98 и 2000 и Home - тут уж ничего путнего не сделать...

2 Andrey_al - попробую с файром винды как ты сказал, вроде бы есть шанс что получится.

[Нерожденный в Зимбабве]

Alex48 , мое предложение- использовать технологию Virtual LAN (VLAN). VLAN позволяет разделить траффик по подсетям и сделать так, чтобы компы одной группы не видели компов другой. Более того это может существенно повысить работоспособность сети засчет уменьшения количества широковещательных пакетов в сети, забивающих канал. Как следствие- решение проблемы производительности сети, проблем простоя + дополнительный приятный бонус в виде существенного повышения безопасности сети. Понадобится лишь один маршрутизатор с поддержкой VLAN (стоимость такого оборудования D-link~ 2000р).

Если жалко 2000р, то я думаю стоит объяснить, что

G1 и G2 полностью должны быть независимыми и невидимыми.

- условие невыполнимое. По роду службы был свидетелем, как "ПОЛНСТЬЮ НЕЗАВИСИМЫЕ" и "НЕВИДИМЫЕ" ломались в течение часа, когда по зарез потребовался доспуп к конфиденциальной информации. Если цель- защититься- то 2т. руб - это не те траты, ктотрые себя не окупят. Убеждать начальство, безусловно, дело очень сложное, однако средства должны быть сопоставимы с уровнем цели :(

Желаю удачи ;)

[Alex48]

Alex48 , мое предложение- использовать технологию Virtual LAN (VLAN). VLAN позволяет разделить траффик по подсетям и сделать так, чтобы компы одной группы не видели компов другой. Более того это может существенно повысить работоспособность сети засчет уменьшения количества широковещательных пакетов в сети, забивающих канал. Как следствие- решение проблемы производительности сети, проблем простоя + дополнительный приятный бонус в виде существенного повышения безопасности сети. Понадобится лишь один маршрутизатор с поддержкой VLAN (стоимость такого оборудования D-link~ 2000р).

Если жалко 2000р, то я думаю стоит объяснить, что - условие невыполнимое. По роду службы был свидетелем, как "ПОЛНСТЬЮ НЕЗАВИСИМЫЕ" и "НЕВИДИМЫЕ" ломались в течение часа, когда по зарез потребовался доспуп к конфиденциальной информации. Если цель- защититься- то 2т. руб - это не те траты, ктотрые себя не окупят. Убеждать начальство, безусловно, дело очень сложное, однако средства должны быть сопоставимы с уровнем цели :(

Желаю удачи ;)

Спасибо Всем кто принял участие в теме. Проблема решена.

Уговорил купить еще один сетевой адаптер и воткнул его в один из компов группы G2 (благо патчкорды всех компьютеров этой группы сходились в один хаб ). Затем установил Керио и разрулил трафик на сервер + запретил доступ к роутеру2 из-вне.

Теперь правда группа G1 видна из группы G2 но это не страшно - самая главная задача была запретить доступ из группы G1 к компам группы G2

[Maikll]

Спасибо Всем кто принял участие в теме. Проблема решена.

Уговорил купить еще один сетевой адаптер и воткнул его в один из компов группы G2 (благо патчкорды всех компьютеров этой группы сходились в один хаб ). Затем установил Керио и разрулил трафик на сервер + запретил доступ к роутеру2 из-вне.

Теперь правда группа G1 видна из группы G2 но это не страшно - самая главная задача была запретить доступ из группы G1 к компам группы G2

Alex48, рас уж ты решил проблему таким экстравагантным способом - в керио можно также написать правила для 2 твоих сетевух и запретить "видеться" обоим группам

[Alex48]

Alex48, рас уж ты решил проблему таким экстравагантным способом - в керио можно также написать правила для 2 твоих сетевух и запретить "видеться" обоим группам

Видеть - это одно, а вот доступ запретить это совсем другое.

И вообще что имолось в виду под двумя сетевухами?

Изначально был один роутер и 30 компов присоедененных через хабы к одной из двух сетевух на роутере.

Вторая карточка смотрела в инет. Какое в Керио при этом правило можно создать что бы группы не видили друг друга и находились в конечном итоге на однорм хабе, который уже потом втыкался в сетевуху роутера?

Если имелось в виду на роутере2 правило - то был бы признателен если бы просветили меня какое правило нужно написать.

[Maikll]

Ну чтожь, возможно мы недопоняли друг друга.

Вот как я вижу твою сеть: есть группа G1, все компьютеры которой соеденены с единственным хабом(свитчем), коей может в свою очередь соеденятся с другим и т.д. , не суть важно. Остальные компы составляютгруппу G2, и есть один сервер с выходом в инет, на нем стоит керио, Можно поставить дополнительную сетевую в сервер, и соеденить ее

с хабом(свитчем) G1, отключив физически все соеденения с G2.

В керио же прописать правила на траффик, допустим можно пускать оз обоих подсетей в инет, но блокировать пакеты друг к другу. В твоем случае от G1 к G2 Таким образом деление на подсети чисто условно, теоретически можно давать адреса с одинаковой маской.

Ты же как я понял поднял ещё один керио, может конечно тебе так удобнее,

но чесно я в этом не вижу смысла.

Сорри, если неправ.

[Kobi]

Жаль, что я поздно тут появился

Самый простой, самый дешёвый и самый быстрый (относительно) способ:

создаёшь *.bat файл, содержащий следующее:

arp -s 192.168.1.1 00-00-00-00-00-01

arp -s 192.168.1.2 00-00-00-00-00-02

arp -s 192.168.1.3 00-00-00-00-00-03

...

arp -s 192.168.1.59 00-ab-97-b0-e7-98

...

Цель сего действия такова:

на компах одной из рабочих групп необходимо запустить подобный батник, но правильно сгенерированный для твоего случая.

Этот батник пишется следующим образом:

arp -s - добавить статическую запись в арп таблицу;

далее идёт ip-адрес компа и его мак-адрес.

Чтобы запретить доступ одного компа к другому, достаточно в эту арп-таблицу добавить неверные данные. А именно, в моём примере я компу с ip-адресом 192.168.1.1 поставил в соответствие физический адрес 00-00-00-00-00-01 (просто придуманный из головы). Что получаем: на машине, на которой такая таблица поднята, не может передавать/принимать пакеты от компа с адресом 192.168.1.1 (что и нужно было получить).

Теперь реальный пример:

в однораноговой сети есть 3 компа (1.0.0.1; 1.0.0.2 и 1.0.0.3 с их физическими адресами соответственно 00-40-F4-6F-DD-A0; 00-02-44-28-61-e0 и 00-11-11-1d-20-f4) . Нужно запретить доступ 1.0.0.1 к 1.0.0.2 и 1.0.0.3, но доступ между 1.0.0.2 и 1.0.0.3 должен быть нормальным, при этом доступа к 1.0.0.1 нет.

Тогда формируем батник arp-table.bat со следующим содержимым:

arp -s 1.0.0.1 00-00-00-00-00-01 - неверно сапоставляем ip и физические адреса

arp -s 1.0.0.2 00-02-44-28-61-e0 - можно не делать, тогда запись будет динамическая

arp -s 1.0.0.3 00-11-11-1d-20-f4 - можно не делать, тогда запись будет динамическая

Этот батничек копируется на компы 1.0.0.2 и 1.0.0.3 и запускается там (его нужно поместить в автозагрузку, чтобы после перезагрузки арп-таблица принимала нужный вид).

ИТОГО: 1.0.0.2 и 1.0.0.3 - отлично себя видят и у них есть доступ друг у другу, а у 1.0.0.1 нет ни доступа к 1.0.0.2 ни к 1.0.0.3 - что и требовалось доказать.

Советы из личного опыта:

1)Чтобы написать такой батник при большом числе компов сети, можно пользоваться любыми прогами, сканирующие сеть и которые могут выдать список компов сети с их ip/mac адресами. Например: TCPNetView (очень маленькая, удобная программулинка, выдающая весь список компов сети в текстовый файл, из которого с помощью вставки и замены легко сделать такой батничек)

2)про тот пункт, где я написал про " - можно не делать, тогда запись будет динамическая" в приведённом примере: лучше всегда делать такие записи (т.е. все записи должны быть статическими), чтобы исключить подмену ip-адресов, когда к.л. "умник" своей машине даёт ip-адрес соседа (хотя и это тоже можно обойти :) ).

3)если 1.0.0.1 как-то догадается про этот метод и сможет себе поменять мак адрес и выставить его значение 00-00-00-00-00-01, то у него сразу появится доступ к защищённым такой таблицей машине, по этому рекомендую придумывать мак адреса посложнее, но опять же так, чтобы ты сам в них не путался, например: 00-00-10-fe-dc-ba (если читать с конца - то это алфавит а в конце порядковый номер компа)

Теперь про недостатки:

если у человека по к.л. причине сменился mac-адрес (поменяли сетевуху и пр.), то это необходимо учитывать в батнике. Это легко сделать так: выкладываешь на одной из машин такой батник, открываешь к нему доступ для "защищаемых машин", говоришь пользователям чтобы они его запустили и всё. Это же можно автоматизировать, но это уже как-нибудь потом.

Метод 100% рабочий, испытан много раз.

[Alex48]

Ну чтожь, возможно мы недопоняли друг друга.

Вот как я вижу твою сеть: есть группа G1, все компьютеры которой соеденены с единственным хабом(свитчем), коей может в свою очередь соеденятся с другим и т.д. , не суть важно. Остальные компы составляютгруппу G2, и есть один сервер с выходом в инет, на нем стоит керио, Можно поставить дополнительную сетевую в сервер, и соеденить ее

с хабом(свитчем) G1, отключив физически все соеденения с G2.

В керио же прописать правила на траффик, допустим можно пускать оз обоих подсетей в инет, но блокировать пакеты друг к другу. В твоем случае от G1 к G2 Таким образом деление на подсети чисто условно, теоретически можно давать адреса с одинаковой маской.

Ты же как я понял поднял ещё один керио, может конечно тебе так удобнее,

но чесно я в этом не вижу смысла.

Сорри, если неправ.

Я согласен с тобой. Так бы было проще. Но дело в том что подтянуть к серваку ethernet от хаба группы G2 по ряду причин невозможно. Поэтому я остановился на втором роутере.

Спасибо.

Жаль, что я поздно тут появился :(

Самый простой, самый дешёвый и самый быстрый (относительно) способ:

создаёшь *.bat файл, содержащий следующее:

arp -s 192.168.1.1 00-00-00-00-00-01

arp -s 192.168.1.2 00-00-00-00-00-02

arp -s 192.168.1.3 00-00-00-00-00-03

...

arp -s 192.168.1.59 00-ab-97-b0-e7-98

...

Цель сего действия такова:

на компах одной из рабочих групп необходимо запустить подобный батник, но правильно сгенерированный для твоего случая.

Этот батник пишется следующим образом:

arp -s - добавить статическую запись в арп таблицу;

далее идёт ip-адрес компа и его мак-адрес.

Чтобы запретить доступ одного компа к другому, достаточно в эту арп-таблицу добавить неверные данные. А именно, в моём примере я компу с ip-адресом 192.168.1.1 поставил в соответствие физический адрес 00-00-00-00-00-01 (просто придуманный из головы). Что получаем: на машине, на которой такая таблица поднята, не может передавать/принимать пакеты от компа с адресом 192.168.1.1 (что и нужно было получить).

Теперь реальный пример:

в однораноговой сети есть 3 компа (1.0.0.1; 1.0.0.2 и 1.0.0.3 с их физическими адресами соответственно 00-40-F4-6F-DD-A0; 00-02-44-28-61-e0 и 00-11-11-1d-20-f4) . Нужно запретить доступ 1.0.0.1 к 1.0.0.2 и 1.0.0.3, но доступ между 1.0.0.2 и 1.0.0.3 должен быть нормальным, при этом доступа к 1.0.0.1 нет.

Тогда формируем батник arp-table.bat со следующим содержимым:

arp -s 1.0.0.1 00-00-00-00-00-01 - неверно сапоставляем ip и физические адреса

arp -s 1.0.0.2 00-02-44-28-61-e0 - можно не делать, тогда запись будет динамическая

arp -s 1.0.0.3 00-11-11-1d-20-f4 - можно не делать, тогда запись будет динамическая

Этот батничек копируется на компы 1.0.0.2 и 1.0.0.3 и запускается там (его нужно поместить в автозагрузку, чтобы после перезагрузки арп-таблица принимала нужный вид).

ИТОГО: 1.0.0.2 и 1.0.0.3 - отлично себя видят и у них есть доступ друг у другу, а у 1.0.0.1 нет ни доступа к 1.0.0.2 ни к 1.0.0.3 - что и требовалось доказать.

Советы из личного опыта:

1)Чтобы написать такой батник при большом числе компов сети, можно пользоваться любыми прогами, сканирующие сеть и которые могут выдать список компов сети с их ip/mac адресами. Например: TCPNetView (очень маленькая, удобная программулинка, выдающая весь список компов сети в текстовый файл, из которого с помощью вставки и замены легко сделать такой батничек)

2)про тот пункт, где я написал про " - можно не делать, тогда запись будет динамическая" в приведённом примере: лучше всегда делать такие записи (т.е. все записи должны быть статическими), чтобы исключить подмену ip-адресов, когда к.л. "умник" своей машине даёт ip-адрес соседа (хотя и это тоже можно обойти :) ).

3)если 1.0.0.1 как-то догадается про этот метод и сможет себе поменять мак адрес и выставить его значение 00-00-00-00-00-01, то у него сразу появится доступ к защищённым такой таблицей машине, по этому рекомендую придумывать мак адреса посложнее, но опять же так, чтобы ты сам в них не путался, например: 00-00-10-fe-dc-ba (если читать с конца - то это алфавит а в конце порядковый номер компа)

Теперь про недостатки:

если у человека по к.л. причине сменился mac-адрес (поменяли сетевуху и пр.), то это необходимо учитывать в батнике. Это легко сделать так: выкладываешь на одной из машин такой батник, открываешь к нему доступ для "защищаемых машин", говоришь пользователям чтобы они его запустили и всё. Это же можно автоматизировать, но это уже как-нибудь потом.

Метод 100% рабочий, испытан много раз.

Спасибо за совет. Можно конечно и так попробовать...

Во всяком случае пока оставлю все как есть, но буду иметь ввиду все предложенные здесь решения.

Спасибо!

[Delphi]

Kobi а если к примеру нужно заблокировать мак адрес тогда что айпи неправильный указывать?или я чегото не понял?

[Kobi]

Kobi а если к примеру нужно заблокировать мак адрес тогда что айпи неправильный указывать?или я чегото не понял?

Так (при этом ip-адрес нужно придумать такой, чтобы его было сложно подобрать).

В том то вся и прелесть, что если к.л. человек может подменить свой ip-адрес или мак-адрес, то он всё равно не получит доступ к компу, на котором запущена такая арп-таблица (для того, чтобы получить доступ к этому компу, нужно знать пару ip-адрес/мак-адрес).

Изменено 13 августа, 2006 пользователем Kobi

[Dem@n]

Привет всем вы бы не могли мне помочь попасть к соседу через локальную сеть в program files и windows желательно без его ведома???? Заранее блогодарен

!

Предупреждение:

Обсуждение взлома, кросспостинг.

Shurr.

[Dem@n]

обьесните как попасть в Documents and Settings через локальную сеть без каких либо програм, чисто только через доступ

!

Предупреждение:

Кросспостинг.

Shurr.

[Delphi]

Kobi как я понял в этой таблице описываются адреса и мак адреса соответственно и если при доступе к твоему компу что-то в этой таблице не совпадает или афпи или мак в смысле то доступ не будет получен???

если это так то не внесенная запись сможетзайти ко мне наком??

[Kobi]

Kobi как я понял в этой таблице описываются адреса и мак адреса соответственно и если при доступе к твоему компу что-то в этой таблице не совпадает или афпи или мак в смысле то доступ не будет получен???

если это так то не внесенная запись сможетзайти ко мне наком??

Да, не внесённая запись сможет войти на комп. По этому + к этой таблице нужно ещё и firewall использовать, желательно такой, который бы смог вылавливать спуфферские атаки (айпи-, мак-спуффинг) (например Agnitum Outpost).

Изменено 18 августа, 2006 пользователем Kobi

[Delphi]

Kobi ок я понял и ещу такой вопрос где этот батник размещать?? прости конешно может ты и писал но я такого не нашол

[Kobi]

Kobi ок я понял и ещу такой вопрос где этот батник размещать?? прости конешно может ты и писал но я такого не нашол

В каком смысле? Сам батник можешь скопировать куда угодно (в любую папку). Главное правильно его прописать в автозагрузке.

[Delphi]

Kobi извини конешно за надоедливость роскажи поподробней а то я непонял

[Kobi]

Kobi извини конешно за надоедливость роскажи поподробней а то я непонял

Дальше в PM, дабы не развводить здесь ненужных сообщений.

ЗЫ

Извиняюсь за оффтоп