|
Видимость (доступ) к компьютерам-рабочим станциям в домене 2003
Преамбула!
Захотел когда-то мой шеф, чтоб наша локалка была разделена на 2 сегмента-бухгалтерия и проектный отдел, а его комп через 2 сетевухи смотрел и туда и туда. Сеть тогда была одноранговой, без домена. Но вот пришла пора, докупили мы еще пару машинок-рабочих станций и комп сервера. Поставил я на сервер 2003 Винку, настроил, подключил сетевуху в интернет и еще 2 сетевушки на каждый сегмент сети в которых прописал следующее 1 сермент: IP сетевухи 192.168.0.1 маска 255.255.255.0 2 сермент: IP сетевухи 192.168.2.1 маска 255.255.255.0 Поставил ИСА сервер, поставил Актив директори, ввел все компы в домен, раздал всем как надо интернет. И вдруг заметил, что мои компы из разных подсетей видят друг друга, как на ладони, все пингуются, все типа алес гууд, но мне то этого не надо. Надо, чтоб одна подсеть не видила другую, но тем не менее все входили в домен. На сервере служба Routing and Remote Access выключена. Таблица маршрутов, выданная по команде route print напичаталось следующее c:\>route print IPv4 таблица маршрута =========================================================================== Список интерфейсов 0x1 ........................... MS TCP Loopback interface 0x2 ...YY YY YY YY YY YY ...... NVIDIA nForce Networking Controller 0x3 ...YY YY YY YY YY YY ...... Realtek RTL8139 Family PCI Fast Ethernet NIC - P acket Scheduler Miniport 0x20004 ...YY YY YY YY YY YY ...... Realtek RTL8139 Family PCI Fast Ethernet NIC #2 - Packet Scheduler Miniport =========================================================================== =========================================================================== Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 0.0.0.0 XXX.XX.XXX.193 XXX.XX.XXX.204 30 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 192.168.0.0 255.255.255.0 192.168.0.1 192.168.0.1 20 192.168.0.1 255.255.255.255 127.0.0.1 127.0.0.1 20 192.168.0.255 255.255.255.255 192.168.0.1 192.168.0.1 20 192.168.2.0 255.255.255.0 192.168.2.1 192.168.2.1 20 192.168.2.1 255.255.255.255 127.0.0.1 127.0.0.1 20 192.168.2.255 255.255.255.255 192.168.2.1 192.168.2.1 20 XXX.XX.XXX.192 255.255.255.240 XXX.XX.XXX.204 XXX.XX.XXX.204 30 XXX.XX.XXX.204 255.255.255.255 127.0.0.1 127.0.0.1 30 XXX.XX.XXX.255 255.255.255.255 XXX.XX.XXX.204 XXX.XX.XXX.204 30 224.0.0.0 240.0.0.0 192.168.0.1 192.168.0.1 20 224.0.0.0 240.0.0.0 192.168.2.1 192.168.2.1 20 224.0.0.0 240.0.0.0 XXX.XX.XXX.204 XXX.XX.XXX.204 30 255.255.255.255 255.255.255.255 192.168.0.1 192.168.0.1 1 255.255.255.255 255.255.255.255 192.168.2.1 192.168.2.1 1 255.255.255.255 255.255.255.255 XXX.XX.XXX.204 XXX.XX.XXX.204 1 Основной шлюз: XXX.XX.XXX.193 =========================================================================== Постоянные маршруты: Отсутствует Здесь я игреками заменил МАС адреса карт, а иксами часть адреса провайдера, она всюду одна и таже. Возможно какие то маршруты надо удалить, но подскажите какие и вообче поподробнее о команде route, а то я в ней мягко не селён. Да все хотят добавить маршрут, а мне надо удалить. И еще: может есть вариант запретить к компу (или учетной записи компа) из других определенных компов из сети. Кто знает поделитесь!!!!! |
Цитата:
|
Цитата:
В реестре на серваке параметр: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\IPEnableRouter=0 так что роутинг средствами сервера запрещен. |
Проверил! Рутит сеть однозначно служба Firewall от ISA Server. Но как отключить - пока не знаю!!!
|
Не нравится слово интерфейс, можно его заменить на "сети". Запретить пересылку пакетов NetBios средствами ISA из 1-ой сети ко 2-ой сети и наоборот.
p.s. Удалите|остановите службу ISA. Смотрим, что изменилось. Проверьте установлена ли служба маршрутизация и удаленный доступ. |
Да все мне нравится! Ты рецепт напиши, а то тыкаю фиг знает куда, народ дергается, что интернет вываливается, а толку никакого.
|
Я ISA не использую, но рецепт одинаковый для всех Routing-Firewall _ных устройств.
Пишутся правила доступа/запрета прохождения пакетов от одних хостов/сетей к другим, ко всему диапазону портов или выборочно. Все правила делятся на 3 типа: входящие, исходящие и транзитные, последние иногда называет форвардные- от англ.слова Forward. Все правила такого рода похожи друг на друга, общий синтаксис примерно такой: Что (input/output/forward) Откуда (Net1, например 192.168.1.0/24) Куда (Host1, например 192.168.2.1/32) какой протокол (tcp/udp/icmp и т.д.) какой порт (номер порта, например 135) что делать (принять/Отклонить - Reject/Accept). |
Разобрался я примерно в этом аспекте и с ИСА и с сервером маршрутизации. Роутинг можна делать или тем или тем. Определенно для каждого порта в ИСЕ вряд ли удастся, т.к. поскольку ИСА "весит" на интерфейсе, который смотрит в внешнюю сеть, т.е. Интернет, ей совершенно вроди бы "по барабану", как пакеты "летают" по внутренних интерфейсах, главное контролировать, то, что валит от тебя и к тебе через Интернетовский интерфейс.
Только вот вопрос: есть 3 интерфейса, назовем их А-смотрит в интернет на котором стоит NAT, В,С-смотрят в локальные подсети. Если команды пинг проходят из В в А и из С в А то будут ли однозначо проходить пинги из В в С и наоборот и как этот процесс запретить/разрешить. |
Andrik
Client address - C Destination - B - Protocol ICMP - Deny |
| Время: 04:06. |
Время: 04:06.
© OSzone.net 2001-