rozdzielnie grupy roboczej od reszty na switchu

Widzisz wersję archiwalną wątku "rozdzielnie grupy roboczej od reszty na switchu" z forum pl.comp.sieci



jack - 14 Gru 2006, 17:52
Siec komputerowa oparta o switcha - zalozona wspólna grupa robocza ok
15
komputerow - wymiana plikow na kilku - udostępnianie drukarek.
W jaki sposób zrobić tak aby "wydzierzawić" wolne łacze ze switcha
na
komputer w holu ktory NIE MOZE miec dostępu do grupy roboczej wpiętej
do
tego samego switcha.

Czy zrobić to za pomoca routera wpiętego miedzy komputer w holu a owy
switch czy moze jest jeszcze inny sposób na "izolacje" o którą
pytam.

pisalem na inną grupe ale dostałem skierowanie tutaj :)

prosze o wskazówki




Kuba Glebicki - 14 Gru 2006, 18:25

Siec komputerowa oparta o switcha - zalozona wspólna grupa robocza ok
15
komputerow - wymiana plikow na kilku - udostępnianie drukarek.
W jaki sposób zrobić tak aby "wydzierzawić" wolne łacze ze switcha
na
komputer w holu ktory NIE MOZE miec dostępu do grupy roboczej wpiętej
do
tego samego switcha.

Czy zrobić to za pomoca routera wpiętego miedzy komputer w holu a owy
switch czy moze jest jeszcze inny sposób na "izolacje" o którą
pytam.



Słowo klucz "VLAN", w założeniu, że masz switch zarządzalny z VLAN'ami.
Router nie zapewni Ci izolacji, chyba, że taki z DMZ'tem i dobrze
konfigurowalnym firewallem.
Pozdrawiam,
Kuba



ttttttt wytnijto - 15 Gru 2006, 05:39

Siec komputerowa oparta o switcha - zalozona wspólna grupa robocza ok
15
komputerow - wymiana plikow na kilku - udostępnianie drukarek.
W jaki sposób zrobić tak aby "wydzierzawić" wolne łacze ze switcha
na
komputer w holu ktory NIE MOZE miec dostępu do grupy roboczej wpiętej
do
tego samego switcha.

Czy zrobić to za pomoca routera wpiętego miedzy komputer w holu a owy
switch czy moze jest jeszcze inny sposób na "izolacje" o którą
pytam.

pisalem na inną grupe ale dostałem skierowanie tutaj :)

prosze o wskazówki



musisz skorzystac ze switcha zarzadzalnego, ktory posiada opcje tworzenia
tzn. VLANOW. Dzielisz siec na np. 2 Vlany, w jednym sa komputery, ktore beda
mogly sie komunikowac ze soba, w drugim Vlanie reszta, komunikacja miedzy
Vlanami nie bedzie mozliwa bez odpowiedniej konfiguracji.



adasiek - 15 Gru 2006, 11:37

komputer w holu ktory NIE MOZE miec dostępu do grupy roboczej wpiętej
do
tego samego switcha.



sprawa wyglada w ogolnosci tak: na Twoim switchu lataja swobodnie
ramki ethernetowe; tzn. switch dziala mniej wiecej tak, jakby te
wszystkie komputery byly polaczone jednym kablem - no moze nie do
konca, ale w najgorszym wypadku tak to wyglada; koledzy proponuja
Ci zestawienie VLANow; w Twoim wypadku to w sumie tak, jakbys
postawil sobie dwa switche obok siebie i do jednego z nich wpial
tylko ten jeden komputer - czyli bez sensu - bo niezaleznie od tego
czy to beda dwa osobne switche czy tez dwa VLANy na jednym switchu,
to "gdzies wyzej" (powiedzmy na uplinku switcha) i tak trzeba bedzie
te dwa LANY (fizycznie albo wirtualne) jakos rozroznic; zatem o ile
nie masz zarzadzalnego switcha, to go nie kupuj; pod pojeciem
"rozroznic" rozumiemy koniecznosc podjecia decyzji o puszczaniu lub
nie puszczaniu pewnego rodzaju ruchu do tych dwoch podsieci - taka
funkcje zasadniczo realizuje router;

dalej: musisz doprecyzowac co to znaczy "nie miec dostepu do grupy
roboczej" - gdyz taki pokemon jak grupa robocza to nic innego jak
protokol NetBIOS transportowany po protokole TCP/IP; zatem mozna po
prostu wylaczyc na tym jednym komputerze transportowanie NetBIOS:
http://irt.stanford.edu/security/howto/disable-netbios.html - ale
to jest kiepskie rozwiazanie; NetBIOS over TCP/IP chodzi sobie po
pewnych portach TCP/IP - jezeli wylaczysz ich obsluge w Windows to
ktos i tak moze sobie przyjsc ze swoim programem, ktory polaczenia
bedzie umial nawiazac;

zatem sam widzisz, ze na komputerze w hallu w ogole nie ma sensu
cokolwiek robic bo ktos sobie przyjdzie ze swoim komputerem, wepnie
sie zamiast PC-ta i bedzie sobie hulal do woli; prawde mowiac, to
moznaby wstawic PPPoE - czyli polaczenie punkt-punkt na bazie sieci
ethernet zabezpieczone haslem, ale tego nie chcesz robic;

pozostaje zatem zrobic cos po stronie switcha; i teraz tak: o ile
faktycznie chcesz odciac dostep tylko do NetBIOS over TCP/IP to
zupelnie wystarczy postawic pomiedzy switchem a komputerem w hallu
jakies male pudelko z linuksem i wyciac ruch na pewnych portach;
oczywiscie zamiast linuksa moze byc drogi sprzetowy firewall; no i
to Ci odetnie oczywiscie caly transport NetBIOS do komputera w hallu;
czyli w szczegolnosci ten komputer nie podziala sobie juz z zadna
inna grupa robocza - co jest ogolnie prawie prawda, bo zawsze mozesz
postawic na nim stunnel i przetunelowac ruch NetBIOS po innych portach;

jezeli jednak Twoja ograniczona wiedza nie pozwala Ci zaprognozowac,
ze Twoje cenne dane moga wyciec przez komputer w hallu nie tylko za
pomoca "grupy roboczej" ale i na 10 milionow innych sposobow (co jest
akurat prawda), to wersja z obcieciem ruchu NetBIOS nie jest pomocna;

zakladajac, ze komputer w hallu powinien sluzyc np. do przegladania
sieci Internet, to powinienes podlaczyc go calkowicie poza siecia
lokalna, ktora zawiera jakiekolwiek dane firmowe; w tym celu mozesz
zainteresowac sie pojeciem DMZ; DMZ to wlasnie nic innego jak taki
fragment Twojej sieci lokalnej, ktory gada ze swiatem zewnetrznym,
ale nie gada z siecia firmowa; czyli powinienes sie zastanowic, czy
Twoja mydelniczka za 150PLN (tzw. router) ma funkcje DMZ i co ona
dokladnie w danym modelu oznacza - a nastepnie wpiac hallowy komputer
w DMZ;

pzdrv;
adas;




jack - 15 Gru 2006, 12:08

musisz skorzystac ze switcha zarzadzalnego, ktory posiada opcje tworzenia
tzn. VLANOW. Dzielisz siec na np. 2 Vlany, w jednym sa komputery, ktore beda
mogly sie komunikowac ze soba, w drugim Vlanie reszta, komunikacja miedzy
Vlanami nie bedzie mozliwa bez odpowiedniej konfiguracji.



Dzięki wielkie - troche juz poczytałem za waszą radą.Czyli ten
switch będzie udostępniał internet wszystkim portom ale część z
nich jest fizycznie idizolowana od reszty vo pozwala zrobić np dwie
niezalezne grupy nie widzące się w sieci.ROzumiem ze w moim przypadku
muszę wymienić switch i to jedyne rozsądne rozwiązanie.Switch jest
na 19 calowym raku ale ma juz kilka portów spalonych wiec moze to
bedzie dobry pretekst do wymiany.



jack - 15 Gru 2006, 12:19

zakladajac, ze komputer w hallu powinien sluzyc np. do przegladania
sieci Internet, to powinienes podlaczyc go calkowicie poza siecia
lokalna, ktora zawiera jakiekolwiek dane firmowe; w tym celu mozesz
zainteresowac sie pojeciem DMZ; DMZ to wlasnie nic innego jak taki
fragment Twojej sieci lokalnej, ktory gada ze swiatem zewnetrznym,
ale nie gada z siecia firmowa; czyli powinienes sie zastanowic, czy
Twoja mydelniczka za 150PLN (tzw. router) ma funkcje DMZ i co ona
dokladnie w danym modelu oznacza - a nastepnie wpiac hallowy komputer
w DMZ;

pzdrv;
adas



Naprawde dobry tekst.Pisze o grupie bo nie ma tam serwera domenowego
teraz widze ze szkoda - tylko ok 15 komputerów wpiętych w switch  -
ten switch do linuxa z DHCP i routingiem  i potem model DSLowy.Do tej
pory nie było problemu - siec była wewnętrzna bez radia i wtyczek w
nieodpowiednich miejscach.Obecnie zachodzi potrzeba uruchomienia w holu
infokiosku wiec sadziłem ze podepiemy go do switcha.Wszystko działa
ale owy kiosk / jego łacze w ramach nudów obeznanego usera mozna
wykorzystać do przeszukania komputerów lokalnych - Nie ma moze super
tajnych danych ale jednak nie powinien ich widziec nikt niepowołany.



jack - 15 Gru 2006, 12:41

musisz skorzystac ze switcha zarzadzalnego, ktory posiada opcje tworzenia
tzn. VLANOW. Dzielisz siec na np. 2 Vlany, w jednym sa komputery, ktore beda
mogly sie komunikowac ze soba, w drugim Vlanie reszta, komunikacja miedzy
Vlanami nie bedzie mozliwa bez odpowiedniej konfiguracji.



Dzięki wielkie - troche juz poczytałem za waszą radą.Czyli ten
switch będzie udostępniał internet wszystkim portom ale część z
nich jest fizycznie idizolowana od reszty vo pozwala zrobić np dwie
niezalezne grupy nie widzące się w sieci.ROzumiem ze w moim przypadku
muszę wymienić switch i to jedyne rozsądne rozwiązanie.Switch jest
na 19 calowym raku ale ma juz kilka portów spalonych wiec moze to
bedzie dobry pretekst do wymiany.



mks - 16 Gru 2006, 06:45

zakladajac, ze komputer w hallu powinien sluzyc np. do przegladania
sieci Internet, to powinienes podlaczyc go calkowicie poza siecia
lokalna, ktora zawiera jakiekolwiek dane firmowe; w tym celu mozesz
zainteresowac sie pojeciem DMZ; DMZ to wlasnie nic innego jak taki
fragment Twojej sieci lokalnej, ktory gada ze swiatem zewnetrznym,
ale nie gada z siecia firmowa; czyli powinienes sie zastanowic, czy
Twoja mydelniczka za 150PLN (tzw. router) ma funkcje DMZ i co ona
dokladnie w danym modelu oznacza - a nastepnie wpiac hallowy komputer
w DMZ;

pzdrv;
adas



Naprawde dobry tekst.Pisze o grupie bo nie ma tam serwera domenowego
teraz widze ze szkoda - tylko ok 15 komputerów wpiętych w switch  -
ten switch do linuxa z DHCP i routingiem  i potem model DSLowy.Do tej
pory nie było problemu - siec była wewnętrzna bez radia i wtyczek w
nieodpowiednich miejscach.Obecnie zachodzi potrzeba uruchomienia w holu
infokiosku wiec sadziłem ze podepiemy go do switcha.Wszystko działa
ale owy kiosk / jego łacze w ramach nudów obeznanego usera mozna
wykorzystać do przeszukania komputerów lokalnych - Nie ma moze super
tajnych danych ale jednak nie powinien ich widziec nikt niepowołany.

Zrob na linuxie kontroler domeny. Samba sie doskonale spisuje...
Jak odpowiednio skonfigurujesz to z infokiosku sie nie dostaneisz do grupy
roboczej


Komunikacja lokalna dla komputera z IP zewnetrznym i IP wewnetrznym na Switchu
Gdyby ktoś miał na zbyciu zarządzalny switch 24 porty 10/100
Router i problem z chatem
monitor sieci i switch'e
  • mieszkaniowego;mF3j;dom
  • plywak duzy do basenu
  • program do przerabiania zdjec sciagnij
  • wlasciwosci opuncji figowej
  • cannot append segment
  • czy w czerwcu pada na Krecie
  • heros of Might and magic3
  • Allegro sklep Wójcik
  • mapa Polski na Medion
  • Kolekcja wiadomości z for dyskusyjnych : Strona Główna