Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   Закрыть порт на маршрутизаторе win2003 (http://forum.oszone.net/showthread.php?t=140691)

Donner 21-05-2009 08:08 1123687
Закрыть порт на маршрутизаторе win2003
 
Я думаю проблемка плёвая, но для верности решил спросить. Есть сети объединенные посредством маршрутизатора на базе win2003, и есть пользователи, которые умудряются печатать на сетевые принтера не своей сети. Решение вроде как простое - закрыть трафик по порту 9100 (принтерный) между сетями. Так вот вопрос как это сделать? В свойствах интерфейсов во вкладке ip-маршрутизации есть что то типа фильтр входа, фильтр выхода, это оно, тут копать?

CaminoDeFlores 21-05-2009 08:41 1123699
AD есть?
Сам не особо разбираюсь, но разве ПКМ > Безопасность, выбрать пользователей и выставить права не работает?

Donner 21-05-2009 09:06 1123711
нет, принтер сетевой, т.е. по сути к ниму может получить доступ любая железка включенная в сеть, ад тут не поможет.

exo 21-05-2009 09:32 1123725
Цитата:
Цитата Donner
ад тут не поможет »
Вы можете раздать права в свойствах принтера.
Цитата:
Цитата Donner
средствам маршрутизатора на базе win2003 »
маршрутизация штатными средствами или нет?
если штатными, то вам сюда.

CaminoDeFlores 21-05-2009 09:37 1123732
Всё таки я был прав.

exo 21-05-2009 10:05 1123751
вообщем нужно разобораться с терминалогией принтеров. кто локальный, а кто сетевой.
чем отличается локальный на порту TCP/IP от сетевого подключённого через другой комп, на котором он подключён локально по TCP/IP

monkkey 21-05-2009 12:52 1123852
Цитата:
Цитата exo
локальный на порту TCP/IP »
Локальный принтер может быть подключен через физические порты компьютера( COM, LPT, USB и т. д.). Подключенный через TCP/IP - и есть сетевой, если учесть, что TCP/IP - протокол связи, а не физическое устройство.

exo 21-05-2009 13:01 1123861
Цитата:
Цитата monkkey
Подключенный через TCP/IP - и есть сетевой »
это то понятно, но почему когда я подключаю принтер, я выбираю - локальный принтер -> порт TCP/IP ?
т.е. дело не в технике, а в словах, почему так назвали ? почему не назвать сетевой -> IP такой-то?

Donner 21-05-2009 13:17 1123879
ребят,то что принтером можно управляеть в свойствах и так понятно, этоне решает проблемы. Я пришел в сеть, зацепил ноут, получил по DHCP ip, установил сетевой принтер из другой сети (маршрутизация же работает независимо от домена) и сиди печатай. вот это надо запретить. да да, сетевой я имею в виду именно подключенный физически к свитчу, а не тандем принтер-компьютер-сеть.

exo 21-05-2009 17:23 1124095
Цитата:
Цитата Donner
и сиди печатай »
а если разрешить печать только Domain Users ?
Цитата:
Цитата Donner
сетевой я имею в виду именно подключенный физически к свитчу »
как правило такие принтеры подключаются локально на принт-сервере, расшариваются, и используются с теми правами, которые ему назначил Администратор принт-сервера.

monkkey 21-05-2009 17:51 1124134
Цитата:
Цитата Donner
и сиди печатай. вот это надо запретить »
В безопасности разрешить печать только OU из нужной подсети (если его нет, создать).

Donner 21-05-2009 19:29 1124236
ребята, вы в каком веке, какие принтсервера? уже давным давно сетевая карта встроена в принтер, ограничить печать внутренним принтсервером невозможно в связи отсутствия функционала... ну на примере HP LJ3055, да и почти на всех современных мфу с сетью, кроме дорогих для больших групп, невозможно. Забудьте про компьютеры вообще, управление принтером происходит напрямую через сетевой порт, ни о каких доменных безопасностях и пользователях речи нет. Вопрос повторю, как на стандартном виндовом маршрутизаторе (не НАТ, а просто включенная маршрутизация средством rras и настроенными стат.маршрутами) выключить шлюзование отдельного порта?

exo 21-05-2009 20:55 1124336
Цитата:
Цитата Donner
уже давным давно сетевая карта встроена в принтер »
ну да. без неё он бы не получил бы IP настройки, и не был бы доступен по сети.
Цитата:
Цитата Donner
ограничить печать внутренним принтсервером невозможно в связи отсутствия функционала...
доменных безопасностях и пользователях речи нет »
можете написать на support@microsoft.com, почему AD не имеет таких инструментов?

Хотите закрывать RRAS-ом порт принтера - желаю удачи.

Если уж AD не может управлять печатью в силу того, что управление происходит через сетевой порт Ethernet, то наверняка RRAS закроет порт в сети любого принтера...

P.S.: с помощью GPO можно управлять брендмауером компьютеров в домене...

Donner 21-05-2009 21:12 1124353
так я не хочу закрывать порт принтера, это ессно невозможно, я повторяюсь, хочу закрыть этот порт на МАРШРУТИЗАТОРЕ, чтобы ограничить печать из других подсетей.

exo 21-05-2009 21:22 1124364
Donner, 4 пост внимательно читали ?
там нет ответа, но есть примеры как закрыть порт.

Donner 22-05-2009 07:12 1124669
да да, именно то что в 4ом посте мне немного и непонятно, а точнее что есть фильтр входа, а что выхода.


К примеру на маршрутизаторе 2 интерфейса А и B
интерфейс A в сети 192.168.0.0/24, а интерфейс B 192.168.1.0/24

мой компьютер в одной сети с A, скажем в сети В есть принтер 192,168,1,156. Если на интерфейсе A в настройках указать фильтр выхода на запрет адреса назначения принтера и порт 9100, всё равно сеть A может печатать. Если же указывать не "выхода", а "входа" то принтер отваливается.... вот эта система мне не понятна.

CaminoDeFlores 22-05-2009 08:59 1124706
"... если используется сетевой порт (например, TCP/IP RAW или LPR), то принтер все равно является локальным. "Сетевой" принтер - это на самом деле подключение к серверу печати на другом компьютере, такое подключение сохраняется в профиле пользователя и видно только создавшему его пользователю."
*osr_ MVP http://social.technet.microsoft.com/...-91a6dc25278d/

Отличие локального принтера от сетевого в наличии общего доступа (Из Степанека) а не типе подключения.
Мелочь, но знать не помешает.


Время: 12:06.

Время: 12:06.
© OSzone.net 2001-