Две сети один свитч

[Loader]

Есть две сети, один сервер, один свитч. Необходимо разделить эти сети так чтобы все компы видели сервер, но компы с одной сети не видели компы с другой сети.

Меня интересует разбивка по IP адресам. Айпи я все равно буду поднимать статичные и никто не рискнет их менять

[Олег А]

самый простой способ - сделай разной ВТОРУЮ справа цифру (для разных подсетей)... а в масках на компах - 255.255.255.0 , а на сервере - 255.255.0.0 (конечно можно с маской и более тонко поиграть - но вроде смысла нет...

[Loader]

я в принципе так и думал. А по доступу к серверу можно правила сделать в зависимости от IP?

Сразу оговорюсь это прокси-сервер, поэтому смысла ставить серверную ось не увидел, поставил ХР т.к. машин немного

[Олег А]

на ХР возможны проблеммы подключения если машин больше 9...

Что ты подразумеваешь под правилами ? конкретнее и с пожеланиями например...

если правила доступа в НЕТ - то проще в прокси программе сделать - например в ЮзерГейте...

Изменено 5 июня, 2007 пользователем Олег А

[Loader]

прокся будет стоять по-любому. Файлы интересуют. У меня почему-то получается если я по безопасности рублю - компы с хомяком вообще зайти не могут

[Олег А]

Хомяка не пробовал... а так в винде идентификация на доступ по логину идет... а не по IP

[Loader]

Вопрос остался, только немного уточнился.

Есть сервер с внутренним IP 192.168.100.1

Есть 1 подсеть с IP 192.168.100.2-192.168.100.10

Еще есть 2 подсеть с IP 192.168.1.2-192.168.100.10

Как сделать чтоб из второй подсети можно было зайти только на сервер. либо только получать интернет через сервер.

При расширении маски второй подсети как я понимаю компы из нее смогут заходить в первую подсеть.

[Yezhishe]

Разбей их на разные рабочие группы... IMHO наипростейший вариант, ибо группа к группе доступа иметь не будет без соответствующего разрешения... Плюс пошаманить с правами доступа на самом сервере, если нужен доступ к каким-то файлам...

[Andrey_al]

немудренный управляемый свитч с поддержкой VLAN' ов, цена вопроса от 30$

[Loader]

Andrey_al: Делается это все в фирме. Лишнего рубля не выпросишь

[Andrey_al]

Делается это все в фирме. Лишнего рубля не выпросишь

может быть и не стоит время тратить, потом же будут требовать результат по полной программе, так, почему-то, бывает, когда лишнего (или, даже, необходимого) рубля жалко вложить...

Изменено 25 февраля, 2008 пользователем Andrey_al

[Yezhishe]

Да не будет за флуд посчитано, но классики (во множестве) утверждали, что "Умный думает - потом платит, скупой же, невзирая на размышления, платит дважды... Но скупой дурак - платит всю жизнь!"

[максимус_азов]

Я тоже сейчас бьюсь над этой темой! У меня положение почти такое же как у Loader-а, только я не работаю на фирме и в денежном отношении у меня проблем нет. Ситуация такова: У меня комп. клуб разбит на 2 зала. На данный момент работает один зал с 18-ю машинами. Инет на эти машины поступает через отдельно стоящий сервер. На сервере IP 192.168.0.1. На (игровых) компах 192.168.0.2 - 192.168.0.19.

Так вот. Сейчас я хочу открыть второй зал на 10 комп. и подключить их к тому же серверу. Но при этом мне нужно чтобы 1зал и 2зал не видели друг, друга по локалке, даже в играх. На данный момент я сделал так:

IP адреса 1зала я оставил такие же, тоесть 192.168.0.2 - 192.168.0.19, а IP адреса 2-зала я сделал 192.168.1.2-192.168.1.11. Так вот! Оба зала друг, друга не видят, но 2зал соответственно не видит сервер, т.к. на сервере IP 192.168.0.1.

Подскажите пожалуйста кто знает, как нужно сделать и что прикупить, чтобы оба зала заворачивали инет с одного сервера но не видели друг, друга в играх.

[Andrey_al]

Я тоже сейчас бьюсь над этой темой!

а чего биться то? уже ответил на этот вопрос, самый простой способ - это урправляемый свитч с поддержкой VLAN, в твоем случае даже простейший 5 портовый подойдет более чем...

в денежном отношении у меня проблем нет.

тем более не понятно в чем проблема, да и денюг там много не надо

чтобы оба зала заворачивали инет с одного сервера но не видели друг

создаешь два VLAN, допустим 1 порт + 2 порт = VLAN 1, 1 порт + 3 порт = VLAN 2; в первый порт втыкаешь свой сервер, оба вилана будут его видеть, во второй и в третий порты по свитчу обычному, а в них уже все свои компьютеры

[максимус_азов]

Есть Compex 2224 с помощью его можно сделать выше написанное? И вот вопросик: А можно настроить с помощью "Маршрутизация и удаленный доступ" в Server-е 2003 ?

[Timba]

Полностью согласен с Andrey_al VLan`ами все это решается на раз-два

Можно экспирементировать с группами и т п. Но VLanы - самое правильное решение ИМХО.

[Andrey_al]

Есть Compex 2224

SXP2224WM? или SAS2224B? в принципе для твоих целей годится и тот и другой...(способ настройки немного разный, но VLAN' ы поддерживают обе модели), наверное еще придется добавить обычный свитч, так как компьютеров у тебя достаточно много и портов не хватит

Изменено 27 февраля, 2008 пользователем Andrey_al

[максимус_азов]

А как его настроить как маршрутизатор? Что-то я даже в инете не нахожу инструкции

[Andrey_al]

А как его настроить как маршрутизатор?

как маршрутизатор - никак, разговор был про управляемый свитч с поддержкой VLAN

Что-то я даже в инете не нахожу инструкции

ты не ответил у тебя SXP2224WM? или SAS2224B? соответственно и инструкции будет разные

[максимус_азов]

На нем написано SRX2224 и все, а WN на нем не написано. На нем функций черт ногу сломит и как создавать VLAN я увы не знаю. Жму на кнопку MODE, переключаю до того момента когда загорается VLAN 1/3 или VLAN 2/4 configuration, потом нажимаю SET. А он продолжает опрашивать компы. Если знаешь как от начала, до конца настроить то что я просил выше, напиши пожалуйста, а то уже башню срывает.

[Andrey_al]

На нем написано SRX2224

как ни странно, на оф.сайтах (российском и тайваньском) такая модель не анонсирована, позвонил в техподдержку - прибор снят с производства, как минимум, уже лет 5, про него никто уже ничего не помнит, похоже, что возможности у него весьма ограничены... и управляется он кнопочками на лицевой панели... короче народ про него уже забыл, а я с таким не сталкивался, потому помочь тебе вряд ли смогу...

в денежном отношении у меня проблем нет.

в связи с этим предлагаю совершенно бредовую идею - приобрести что-то более свежее и более настраиваемое, ну пусть даже из линейки Compex, например тот же SXP2224WM или SAS2224B, первый настраивается через веб интерфейс, второй через консоль или утилиту, цены у обоих более, чем адекватные... у одного 2800 руб., у второго 1800 руб.

Изменено 28 февраля, 2008 пользователем Andrey_al

[студент_86]

Loader

как мой ламерский вариант можно создать на каждой клиентской машине батник вида

arp -s 192.168.1.1 00-02-08-18-a4-a8

arp -s 192.168.1.5 00-00-00-00-00-00

и т.д. для каждого ip в сети, где для машин на которые должен быть доступ с данной машины прописан реальный мак-адрес, а для остальных липовый, батник закинуть в автозагрузку или запускать через планировщик чтобы не светить. Плюс - коннекта между группами не будет в принципе. Минус - если кто-то доберется до батника и прочтет справку по команде arp, способ потеряет эффективность

[Loader]

Проблема осталась... Появились доп. условия. Стоит Kerio Winroute.

Можно вообще доступ прикрыть к серверу с определенных IP но тогда пропадает интернет.

Подскажите порты по которым осуществляется общий доступ к файлам и папкам чтобы наложить блокировку конкретно на них

[Loader]

Сам же отвечаю TCP 139 и 445, а также UDP 137-138.

[студент_86]

лучше наоборот оставить порты tcp 20-21 (ftp), 80, 8080 (http), udp 53 (dns), все остальное закрыть. Мое имхо.