Как запретить доступ к сети одному компьютеру?

  • Тут может быть ваша реклама
Dimella

Dimella

ex-Team DUMPz
6 Июн 2004
2.056
205
118
Credits
0
Помогите пожалуйста решить задачку:
Дано: Есть сеть компьютеров подключенная через свич к серверу который раздает интернет.
Вопрос: Как одному компьютеру разрешить доступ к интернету но запретить видеть/доступ к расшареным дискам/файлам и принтерам других компьютеров(другие должны видеть и работать друг с другом)?
Выглядит вот так:

voprosva3.jpg


Спасибо.
 
Последнее редактирование модератором:
Veda

Veda

Турист
12 Май 2005
1.290
197
118
Прямиком с WallStreet
Credits
0
нарезать на свиче пару VLAN-ов в один VLAN воткнуть компы которые должны друг друга видеть, в другой тот, который не должен ничего видеть и привести этот свич к серваку или транком или парой HUB-TO-HUB линков (в случае двух VLAN-ов)... Это вариант если свич первого\второго поколения, если свич взрослый - третье поколения, то можно и по другому - с помощью списков доступа например или приватных VLAN-ов.., если свич четвёртого поколения, то можно поизголяться ещё сильнее - между интерфейсами на которых висят компы которые должны друг друга видеть поднять бриджинг, а интерфейс на котором висит комп которому нужен только доступ к серваку не включать в группу бриджинга
 
Последнее редактирование модератором:
  • Like
Реакции: Dimella
lammer

lammer

Турист
15 Дек 2005
450
16
53
Kyiv
Credits
0
1. Оставить все настройки Прокси или другого раздатчика Инета.
2. Свойства папки - Автоматически подключать сетевые папки и диски - снять.
3. Почистить скрытые папки NetHood (C - Doc and Sett\ all user @@ User1 @@ User2)

666. Самый радикальный метод - отключение службы "Обзор компьютеров"(Computer Browser) и чистка вышеуказаных папок.
 
  • Like
Реакции: Dimella
Dimella

Dimella

ex-Team DUMPz
6 Июн 2004
2.056
205
118
Credits
0
Veda, честно нече не понял.
lammer, а если нет доступа к той машине которой ставим запрет на просмотр ресурсов сети? Ко всем остальным есть.
 
okun

okun

Турист
3 Май 2005
2.045
659
118
evergreen forest (wonderland)
Credits
0
Самый быстрый способ, по-моему, настроить файрволы на компах, которые должны видеть друг друга. Если ОС на них XP, можно настроить встроенный брандмауер, сняв галочку с "Общий доступ к файлам и принтерам", но задав исключения для разрешенных IP адресов.

Способ, предложеный Veda наверное самый радикальный, но сработает наверное в том случае, если свич управляемый.

Можно ещё перед тем КОМП3 поставить компьютер маршрутизатор с двумя сетевыми картами и настроить на нем какой-либо пакетный фильтр, например VisNetic Firewall
 
Veda

Veda

Турист
12 Май 2005
1.290
197
118
Прямиком с WallStreet
Credits
0
Dimella ничего сложно, гораздо проще (а главное в разы эффективней) чем разруливание настроек и политик винды, будет время позаморачивайся с VLAN очень хорошая технология, очень рекомендуется к изучению абсолютно всем админам, даже если и не занимаются сетями
как поднять и настроить виртуальные локальные сети (базовые функции) обязательно должно быть описано в доках при свиче. От себя крайне рекомендую к изучению!
На данный момент не парьтесь - делайте так, как Вам проще и удобней, но на будущее лучше изучить оборудование которым пользуетесь;)
Вот любопытная ссылочка

okun, да так и есть, но неуправляемых свичей не бывает (я не вспоминаю про серии типа SOHO, потому как честно говоря это хабы, не более того, и уж никак не свичи!)

Что касаемо компьютера-маршрутизатора, на вкус и на цвет товарищей нет, но лучше уж купить железку заточенную под работу в сети, чем пытаться сделать из чего-то её, и тут дело не только в том что это весьма трудоёмкий процесс, а ещё и в том, что для того чтобы эффективно поднять такую железку нужно очень неплохо разбираться в сетях, а если админ хорошо разбирается в сетях он точно не будет тратить время на такие ухищрения (и так голова будет пухнуть от проблем;) ). Вот такая вот палка о двух концах получается по моему разумению:(

Dimella, а что за свич то стоит? Фирма производитель, серия? Зная это я возможно смогу помочь что и как, а главное свич ли это?
 
Последнее редактирование модератором:
  • Like
Реакции: Dimella
K

kirgos

Турист
17 Окт 2006
13
0
6
tern
Credits
0
управляемые свичи? наверно имелись ввиду интеллектуальные свичи, т.к. (как было сказано)неуправляемых нет(это уже хабы получаются) . В последнее время только такие и делают - интелектуальные. Если свич из новых(и это действительно свич), то VLAN поддерживается
 
lammer

lammer

Турист
15 Дек 2005
450
16
53
Kyiv
Credits
0
На машине к которой надо дать доступ создаем пользователей (идентичных удаленным по имени, полному имени и паролю).
В сетевой папке удаляем группу ВСЕ, и добавляем нужного пользователя с нужными правами. Гость отключен.
Человек которого не добавили просто не получит доступа.
Для безопасности можно таким пользователям запретить локальный вход, и они смогут работать только по сети.

Второй вариант (пример) - даем всему дереву папок (шара) полные права всем, а в нижних папках в локальной безопасности делаем явный запрет на определенные действия определенного пользователя, и даже если он есть в правах сети, доступа все равно не получит.
 
Dimella

Dimella

ex-Team DUMPz
6 Июн 2004
2.056
205
118
Credits
0
Veda написал(а):
Dimella, а что за свич то стоит? Фирма производитель, серия? Зная это я возможно смогу помочь что и как, а главное свич ли это?
Нажмите для раскрытия...

D-Link DES-1008D
D-Link DES-1008D является неуправляемым коммутатором 10/100 Мбит/с предназначенным для повышения производительности работы малой группы пользователей, обеспечивая при этом высокий уровень гибкости. Мощный и одновременно с этим простой в использовании, DES-1008D позволяет пользователям без труда подключить к любому порту сетевое оборудование, работающее на скоростях 10 Мбит/с или 100 Мбит/с, понизить время отклика и удовлетворить потребности в большой пропускной способности сети.
Нажмите для раскрытия...
:(
 
Последнее редактирование модератором:
Veda

Veda

Турист
12 Май 2005
1.290
197
118
Прямиком с WallStreet
Credits
0
можно прикупить ещё один такой же (благо стоит он немного) и применить самый простой и самый эффективный способ разграничения сетевых ресурсов - на одном хабе компы что должны видеть друг друга, на другом комп которому нужен только инет
 
  • Like
Реакции: Dimella
ReVo

ReVo

Турист
16 Апр 2004
673
32
53
52
Bulgaria, Kozloduy
Credits
10
Сервер для того и сервер чтобы работал с несколькими сетями. Он же и рутером является в этот момент.
Самое елегантное решение это через умный свитч и сделать VLAN-ы, но если не возможно купить и настроить, то второе решение является точьно два хэба - в первом комп для и-нета, а во вторым другие компы. Оба хэба будут обединятся в сервер. На самом сервере тогда должны стоять три платы - одну для внешнего и-нета и две для внутренней сети.
Есть и решение другое - поставить комп для и-нета в совсем другую сеть - IP адрес и другую маску, так чтобы никак не совпадал с другими компами - примерно эму 192.168.х.х/255.255.0.0, а другим компютрам 172.168.х.х. Тогда можно поставить их и в одном хэбе. На сервере нужно прописать правильно на одну плату две сети - 172.168.... и 192.168.....
Примерно так можно сделать.
 
Сверху Снизу