Разделение на подсети

Ognev · Aug 25, 2005

Доброго времени суток, господа.
Хотелось бы услышать разные советы, про то, как лучше реализовать задачу по разделению двух сетей.
Что есть.
Есть две сетки, скажем А и Б, разнесенные территориально и соединенные модемами. Пока у всех фиксированные Ip из одного диапазона и все видят друг-друга в локальной сети. Сеть одноранговая. Хотя вроде бы в сети Б хотят поднять домен.
Что нужно.
В идеале хотелось бы, чтобы доступ по локалке из А в Б был свободным, а из Б в А могли ходить только разрешенные пользователи (или Ip или адреса сетевух). Очень желательна возможность легко и быстро менять права доступа, скажем дать кому-то доступ на пару часов или закрыть доступ для кого-то. Неплохо было-бы, чтобы доступ давался не на всю сеть А, а на определнные Ip.
Что можно.
Можно как угодно менять конфигурацию сети А. Есть комп с двумя сетевыми, который находится в сети А и который можно использовать для такого разделения. На него можно поставить любую операционку и любой софт.
Хотелось бы узнать несколько вариантов и возможные их плюсы и минусы.
Заранее спасибо всем, кто откликнется.

Korovka · Aug 25, 2005

Ставишь на тот комп 2k/2k3 сервер, ISA 2004 и настраиваешь там firewall policy.
Комп, естесственно, должен быть между сетями, и предварительно надо разделить сетки на подсети и настроить раутинг.
Доступ для IP в нем легко настроить, но, сам понимаешь, пользователь IP тоже легко меняет.
Видимости в "сетевом окружении" обеих подсетей добиться очень тяжело - надо иметь WINS сервер (один на обе сети или два с репликацией), иметь устойчивые master browser в обеих сетях, single-homed DC, которые будут domain master browser... короче, мало кто смог это сделать.

Ognev · Aug 26, 2005

Может в каких-то стенках есть возможность фильтровать локальный трафик по Ip, или может не в стенках, а в каком-то софте, который будет перекидывать трафик с одной сетевухи на другую. А то уж чем иметь такой геморой, пусть все будет как есть

Korovka · Aug 26, 2005

Ну еще можно сделать раутер м/у сетями на линухе и поставить на нём broadcast forwarder (www.serverquery.com/udp_broadcast_fw/) на порт 139, тогда сетевое окружение должно работать как и раньше. Если линух не нравится, можешь откомпилировать этот forwarder под винды.
А вообще ограничение доступа по IP адресам обычно плохо кончается, в виндах рекомендованный путь - поднимать домен, создавать группы и раздавать права.

Ognev · Aug 26, 2005

Korovka,
Спасибо за ответы. Мне чего то вот не хотелось связываться с доменом, но видно от судьбы не уйдешь

А может действительно все ни Линуксе попробовать замутить, хоть эту ОСь может освою.
P.S. Еще раз спасибо.

MozgFx · Sep 8, 2005

Ognev said:
Korovka,
Спасибо за ответы. Мне чего то вот не хотелось связываться с доменом, но видно от судьбы не уйдешь А может действительно все ни Линуксе попробовать замутить, хоть эту ОСь может освою.
P.S. Еще раз спасибо.

Маска подсети задается для того чтобы установить ограничение возможного максимального количества IP.

Например!

192.168.10.10 тока нужно не забыть что еще несколько IP резервируются для localhost и их нельзя использовать не на локальной машине если я не ошибаюсь 127.0.0.0
255.255.255.0

Подробное руководство я видел тока в Руководстве Администратора SuSe Linux 9.2

myafik · Sep 8, 2005

MozgFx, поправочка

localhost это всегда 127.0.0.1

Ognev · Sep 8, 2005

MozgFx,
и причем здесь маска??? И, вообще, ты о чем???

P.S. А про localhost есть хороший анекдот:
Компьютерный форум по хаку. Юное дарование пишет:
- Дайте мне адрес какого-нибудь лоха!!! Я с ним такое сделаю!!!
- Держи: 127.0.0.1

MozgFx · Sep 8, 2005

Ognev said:
MozgFx,
и причем здесь маска??? И, вообще, ты о чем???
P.S. А про localhost есть хороший анекдот:
Компьютерный форум по хаку. Юное дарование пишет:
- Дайте мне адрес какого-нибудь лоха!!! Я с ним такое сделаю!!!
- Держи: 127.0.0.1

По порядку причем здесь маска! Маска подсети! Она так и называется!

А анекдот прикольный!

Ognev · Sep 8, 2005

Как маска подсети относится к тому, что я здесь спрашивал???

MozgFx · Sep 9, 2005

Ognev said:
Как маска подсети относится к тому, что я здесь спрашивал???

Разделение на подсети - Так называется раздел

Ognev · Sep 9, 2005

Если ВНИМАТЕЛЬНО прочитать, что я спрашивал

то окажется, что все разделение надо организовать на одном компе (с двумя сетевухами). А на счет стены, я уже спрашивал - кто знает, скажите, КАКАЯ ИМЕННО может фильтровать локальный трафик!
P.S. И вообще, очень полезно, прежде чем отвечать, почитать что уже есть в теме

Ognev · Sep 11, 2005

1) Не стои все, что говорят воспринимать на свой счет. И помните, как в рекламе - нежнее надо, нежнее

2) Ставить сетну на все клиентские машины - это не вариант. Поэтому я уже спрашивал - какая из них позволяет гибко филтровать локальный трафик.

myafik · Sep 12, 2005

Ognev, локальный трафик может фильтровать ISA 2004
Вообще можно создать несколько объектов типа локальная сеть (с разными диапазонами) и как хочешь регламентировать между ними отношения (например NAT или Route, какие порты или протоколы разрешены итд... очень гибко больше просто не бывает ИМХО)

Разделение на подсети

Ognev

ex-Team DUMPz

Korovka

Member

Ognev

ex-Team DUMPz

Korovka

Member

Ognev

ex-Team DUMPz

MozgFx

myafik

Member

Ognev

ex-Team DUMPz

MozgFx

Ognev

ex-Team DUMPz

MozgFx

Ognev

ex-Team DUMPz

Ognev

ex-Team DUMPz

myafik

Member