|
Компьютерный форум OSzone.net » Компьютеры + Интернет » Сетевые технологии » FTP/File - Файловый обмен с ограничением прав |
|
|
FTP/File - Файловый обмен с ограничением прав
|
Пользователь Сообщения: 60 |
Профиль | Отправить PM | Цитировать Уважаемые знатоки!
Предистория: 1.есть локальная сеть (192.168.0.1-192.168.3.255 маска 255.255.0.0) 2.есть в ней пользователи - те кто учавствует в жизни сети (помогают кто чем - кто финансами - кто прокладкой, перезагрузками свичей, бегают в общем по подъездам) и есть халявщики - ни денег ни помощи. 3.политика SuperAdmina - абонентку не вводить, нам простым типа модерам - остается тока смириться. 4.есть возможность доставать новинки (как видео так и игры, музыку) 5.нет желания открывать доступ всем. Итак проблемма: 1. Как ограничить права (используя MAC адрес) для ограничения доступа к файловому архиву. Архив будет на сервере. Размер предполагается пока 250гигов. по мере заполнения - докупим еще. FTP сервера как я понимаю - ограничивают только доступ тем, кто не знает пароля. FTP сервера - Это не решение. 2. Посоветуйте файловый обменник типа Rapid'ы. Опять же только если у него есть доступ (чтобы человек мог и заливать файлы на сервер и скачивать, опять же при отсутствии интереса к этому файлу например в течении месяца - чтобы файл переносился в диррекорию типа "Корзина") 3. Если таковых нет, подскажите как так сделать. Советы типа "Купите софтинку" - не приемлемы (по крайней мере при цене выше 300р/$10) Надеюсь на толковый, развернутый ответ + ссылочки на софтину. Огромное спасибо тем кто поможет |
|
Отправлено: 22:01, 25-12-2007 |
Ветеран Сообщения: 1190
|
Профиль | Отправить PM | Цитировать Вот в посте указано волшебное слово "свитч", относительно его есть пара вопросов: поддерживает ли он VLAN и есть ли у него возможность использования access list. Т.е. если файл сервер запихнуть в VLAN отдельный и все "хорошие" машины положить туда же, а плохие в другой VLAN. Соответственно доступа не будет. Ну а если есть возможность контроля доступа(в частности такое есть на HP proCurve 26 series) то можно в один свитч впихнуть хорошие компы и файлсервер и тупо забить mac для каждого порта, например.
п.с. Думаю, что есть более простые решения и более умные,..... но почему то они меня не посещают щас |
------- Отправлено: 09:36, 26-12-2007 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Пользователь Сообщения: 60
|
Профиль | Отправить PM | Цитировать madmax24,
Огромное спасибо за совет, но в данном случае он не применим, т.к. свичи (или свитчи ) у нас разномастные - по большей степени самые дешовые. Так что они не поддерживают всякие там ограничения прав и т.п. Опять же повторюсь - решение проблеммы должно быть максимально дешовым (без покупки управляемых свитчей и дорогостоещего софта) Уверен что у народа есть толковые и действенные советы. Таких локалок как у нас ,по стране, сотни а может и более и по этому я думаю поможете мне - поможете очень многим. Опять же спасибо ВСЕМ кто откликнется и предложит свои варианты!!! - Рассмотрим ВСЕ!!! |
Отправлено: 13:55, 26-12-2007 | #3 |
Ветеран Сообщения: 1190
|
Профиль | Отправить PM | Цитировать hunterkomp, я вот тут подумал в течение дня и пришел к такому выводу, што на канальном уровне(а раз идет речь о mac адресах, то они используются тут) разграничения можно делать либо vlan'ами либо контролем доступа(acсess lists) Это не умеют неуправляемые комутаторы. Разграничение на сетевом уровне можно делать фаерволами(а они уже есть софтверные, а значит приобретенные с найденными ключами). Если соответственно выше поднимаца, то там уже и логины и пароли и прочее...
Это я к тому хочу сказать, што возможно охрану файл сервера попробовать поднять выше чем на канале, в связи с малым бюджетом? |
------- Отправлено: 17:16, 26-12-2007 | #4 |
Назгул Сообщения: 2633
|
Профиль | Отправить PM | Цитировать Цитата hunterkomp:
Вот стандартное решение для "бедных", правда для UNIX систем: - ARP-служба на сервере конфигурируется таким образом, дабы ARP-таблица была статичной и редактировалась только руками. Этим мы добиваемся стабильности пар IP-MAC - После этого на сервере в сетевых службах со спокойной душой можно пользоваться ограничениями по IP - Вообще-же очень сильно желательно разделить сеть на сегменты 3-го уровня Не совсем правда понятно сколько именно сегментов, т.к. если судить по маске, то у вас 256*256 хостов, если же по приведенному диапазону 3*256 хостов Цитата hunterkomp:
Цитата hunterkomp:
Однако лучшим выходом будет все таки раздача Логинов и Паролей. Если в вашей сети есть кулхацкеры, тогда FTP - не безопасен. -------------------------------------------------------------------------------------------------------------------- Что касаемо денег. Да, все это возможно реализовать на свободном ПО. Однако дабы все это прилично настроить потребуется около недели. Специалист высокого класса будет драть с вас, ну скажем штуку в день, - итого почти 300$ |
||||
------- Отправлено: 08:47, 27-12-2007 | #5 |
Ветеран Сообщения: 1190
|
Профиль | Отправить PM | Цитировать kim-aa, у меня вопрос: а насколько сложно в unix системах сломать arp таблицу? Я имею в виду это сложнее чем сломать логин/пароль?
|
------- Отправлено: 09:21, 27-12-2007 | #6 |
Назгул Сообщения: 2633
|
Профиль | Отправить PM | Цитировать madmax24,
Гы, а причем тут ломание? Оно не возможно в принципе и не зависит от ОС. Я просто не встречал реализаций данной идеи под win. Суть идеи в чем: - Когда пакет отправляется на какой-либо IP-адрес , см. например http://wiki.oszone.net/index.php/Шлю...к_это_работает , при передаче данных с сетевого на канальный уровень OSI, где адресация при помощи MAC-адресов, - осуществляется преобразование IP в MAC при помощи ARP. Обычно это широковещательные запросы, в результате формируется ARP-таблица, где IP-адресу соответствует MAC-адрес. - При статической ARP-таблице сервер физически сможет ответить лишь IP-адресам прописанным в ARP-таблице. Более того, он сможет ответить только парам IP-MAC. Т. е. данный прием защищает сервер от доступа при помощи подмены либо MAC, либо IP. Однако он не защищает от парной подмены MAC+IP, что в прочем более чем достаточно для большинства доморощенных "кульхацкеров". Нечто подобное используется в свичах D-Link, как "IP-MAC Binding" |
------- Отправлено: 14:13, 27-12-2007 | #7 |
Ветеран Сообщения: 1190
|
Профиль | Отправить PM | Цитировать Цитата kim-aa:
|
|
------- Отправлено: 09:16, 28-12-2007 | #8 |
Назгул Сообщения: 2633
|
Профиль | Отправить PM | Цитировать Цитата madmax24:
вот пример реализации http://ism.tup.km.ua/apache/mac_ip.html |
|
------- Отправлено: 10:17, 28-12-2007 | #9 |
Ветеран Сообщения: 1190
|
Профиль | Отправить PM | Цитировать Спасибо, вот в каникулы и почитаю
|
------- Отправлено: 10:25, 28-12-2007 | #10 |
|
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Windows 2003 R2 проблема с ограничением USB, дисководов | linus87 | Microsoft Windows NT/2000/2003 | 10 | 11-08-2009 22:56 | |
FTP/File - Файловый обмен в локальной сети по протоколу TCP/IP | AnaStas | Сетевые технологии | 12 | 26-03-2009 10:00 | |
Столкнулся с ограничением входящих соединений к серверу | Jose Cuervo | Microsoft Windows NT/2000/2003 | 2 | 18-11-2008 18:59 | |
Груповые политики с ограничением запуска программ | BloodJakal | Microsoft Windows NT/2000/2003 | 4 | 01-04-2007 09:57 | |
Файловый обмен. Помогите найти | Dj Dynamite | Вебмастеру | 3 | 03-07-2006 12:57 |
|