Отключение интернета не трогая локальную сеть
 

Доброго времени суток, форумчане! Такое дело, надо отключить интернет на всех остальных компьютерах(~ 20 штук) кроме трех, но оставляя нетронутой Локальную сеть. Какие есть варианты? Спасибо!

Как организован выход в интернет? На клиентах статические адреса или DHCP сервер раздает?

Telepuzik,
С модема на Хаб.

Вывод ipconfig /all с любого клиентского компьютера покажите.

Telepuzik,
Сорри, такое вообще можно показывать, неопасно?

SBSA, можно и даже нужно, ибо телепаты потянулись в южные края.

Нет не опасно у Вас же сеть закрыта модемом и внутри используется частная ip адресация или нет? Главное не светить свой внешний адрес.

topotun32, Я имел в виду не опасно показывать эти данные? =)

SBSA, какой у Вас "модем"? (я подозреваю, что это скорее всё-таки маршрутизатор, а не модем)
Обычно доступ в интернет закрывают именно настройками маршрутизатора

P.S. Публиковать сведения о локальных интерфейсах совершенно безопасно. Ими может воспользоваться только человек внутри Вашего локального сегмента. Но если кто-то уже пробрался в Ваш локальный сегмент, он может сам выполнить нужную команду. :wink:

Telepuzik, Не знаю, я только вчера увидел эту сеть. Эта сеть организации. Как узнать, что ip адресация частная и что не буду светить свой внешний адрес?

Я Вам дал ссылку где описаны диапазоны частных сетей посмотрите входит ли Ваша сеть в данный диапазон или нет.

AMDBulldozer,
D-Link DIR-615 его соединили с Хабом той же компании.


Вот

SBSA, просто для информации (это не имеет отношения к Вашей проблеме): адреса для подсети 8.8.8.0/24 выбраны крайне неудачно. Для приватных сетей RFC1918 определяет три диапазона адресов: 10.0.0.0/8, 172.16.0.0/12 (у Вас он тоже используется) и 192.168.0.0/16.

AMDBulldozer, Не знаю, все это уже было. А в чем плох этот адрес?

SBSA,
блокируйте доступ к интернету через настройку DIR-615 по МАС-адресам: ADVANCED - Access Control - ... - Block All Access

Вот, а блокировку по МАК адресам не нашел.

Вот, что показывает при выборе MAC-фильтр

Основных недостатков два: первый состоит в том, что с компьютеров вашего локального сегмента невозможно получить доступ к узлам с адресами 8.8.8.0/24 - они будут интерпретированы как адреса локальной сети. Обычно это не представляет особой проблемы, но в Вашем случае в эту подсеть попадает популярный публичный DNS Google - 8.8.8.8.
Второй, обычно более существенный недостаток состоит в том, что в случае определенных ошибок в настройках NAT, маршрутизации, туннелей и т.д. в интернет попадает реальный IP интерфейса. Если он принадлежит приватному адресному пространству, это не вызывает никаких проблем - он просто не пройдет дальше одного из нескольких первых переходов. А вот IP из публичного диапазона либо будет перехвачен брандмауэром провайдера, который расценит это как сетевую атаку, либо, если провайдер не провеяет исходящие ip, дойдет до адреса назначения, после чего этот адрес начнет слать пакеты в адрес узла, который имеет реальный IP совпадающий с вашим локальным.
Что, естественно, тоже будет расценено как сетевая атака.
Резюме: основной недостаток использования публичного IP в качестве адреса локального интерфейса сети состоит в том, что это создает не только потенциальную опасность утечки внутренних пакетов в сеть, но также возможность принятия ответных мер по отношению к предполагаемому сетевому хулигану.

Теперь по поводу Вашего вопроса:

Открываете web-интерфейс маршрутизатора, выбираете в разделе "межсетевой экран" вкладку "IP-фильтры" и дальше делаете одно из двух:
1. Если Вы хотите закрыть доступ в интернет определенным компьютерам, а всем остальным доступ разрешить, укажите адреса блокируемых компьютеров в поле "Диапазон IP-адресов; Источник" и выберите для них "Действие" DROP.
Создавайте столько правил, сколько потебуется для того, чтобы в них попали все блокируемые адреса
2. Предыдущий способ имеет существенный недостаток - злоумышленнику достаточно изменить IP чтобы получить доступ в интернет. Поэтому удобнее пойти по прямо противоположному пути - запретить доступ всем, кроме заданных IP.
Для этого делаете всё то же самое, что и в предыдущем пункте, но вместо "Действие" DROP указываете "Действие" ACCEPT.
После того как Вы добавили правила для всех компьютеров, доступ которым разрешен, добавляете в конец спика еще одно правило - для компьютеров подсети 0.0.0.0/0 выбрать "Действие" DROP.
(я не могу гарантировать, что маршрутизатор поймет такой синтаксис, поскольку нигде не указан список допустимой разрядности подсетей для интерфейса данного маршрутизатора. Но, раз у него отсутствует способ задания политики по умолчанию, очевидно должен быть альтернативный способ получить тот же самый результат)

Выше я описал способ блокировать доступ в интернет по IP. Хотя надежнее делать это по MAC-адресу. Преимуществом использования MAC-адреса является практическая невозможность его подмены - если правила разрешают доступ для компьютера с заданным MAC-адресом и этот компьютер в данный момент работает, способа проникнуть в сеть у злоумышленника уже не остается. Он не сможет установить себе MAC работающего компьютера, потому что если он это сделает, в лучшем случае, его сетевое соединение перестанет работать (потому что ethernet-коммутатор уже кэшировал номер порта, которому соответствует указанный MAC), в худшем грохнется разом весь сегмент, поскольку в одном сегменте не может быть двух интерфейсов с одинаковым MAC (чтобы меня не поправляли, заранее оговорюсь, что не имею в виду агрегацию каналов ethernet с использованием протокола 802.3ad).

Чтобы разрешить или блокировать доступ по MAC, а не по IP, выберите закладку "MAC-фиьтр" в том же меню "Межсетевой экран".

P.S. Попробуйте использовать другой браузер и проверьте, что он не блокирует сценарии javascript.

AMDBulldozer, При выборе MAC-фильтра оказывает, что можно выбрать только одно из двух(Разрешить или Запретить). Если выбрать запретить от не выкинет из сетки?

Из сети не выкинет, компьютер просто перестанет получать доступ в интернет.

Маршрутизатор физически не может никого "выкинуть из сети". Он может только ограничить доступ к себе самому. А, ограничив доступ к себе, он одновременно заблокирует доступ в интернет, поскольку все направляемые за пределы локального сегмента пакеты проходят через него. Поэтому компьютеры чьи MAC-адреса внесены в "черный список" смогут общаться между собой и вообще с любым устройством в локальном сегменте (к примеру, с сетевым принтером), но не будут отрезаны от интернета.
Доступ к web-интерфейсу маршрутизатора с них, с большой долей вероятности, тоже станет невозможен (в зависимости от реализации - смотря в какую из очередей маршрутизатор добавляет правило).
Однако "черный список" традиционно считается не лучшим способом решения проблемы. Я уверен, что злобных хакеров у вас в организации нет. Однако, если бы они были, им достаточно было бы сменить MAC сетевой карты и они получили бы доступ в интернет (с этим можно бороться путем привязки IP к MAC адресу).
Оптимальным является использование "белого списка" при котором указываются MAC-адреса компьютеров доступ которым разрешен, а все остальные блокируются политикой по умолчанию.
Это тоже не панацея - злоумышленник сможет взять себе MAC-адрес любого компьютера из "белого листа", но только при условии, что этот компьютер в данный момент отключен.
В большинстве случаев люди обычно используют "белые листы" не из боязни хакеров, а по гораздо более прозаической причине - поддерживать актуальность "белого списка" обычно бывает легче, чем "черного". Просто потому, что он меньше (в Вашем случае 3 адреса вместо 20).

AMDBulldozer, Вам бы книги писать...
О каких Вы говорите злоумышленниках когда используются дешевые желзки и полное отсутствие централизованного управления сетью и пользователями?
И что даст фильтр мак адресов? Не выдаст ip и не даст доступа к роутеру и все. Делаем mitm атаку и получаем информацию, злоумышленик счастлив.
И можно смело сделать MITM и получить пароль от маршрутизатора и чужой мак, прийти по раньше и просто добавить свой мак в роутер. Все.
И с доступом в инет этот фильтр нечего не даст т.к можно на любой комп на котором есть интернет поставить прокси сервер.

AMDBulldozer, Rezor666, И как быть?

SBSA, Тут у Вас вариантов не много...
1 - Выпрашивать деньги у начальства, как минимум на 1 сервер. Если начальство не одобрит то сделать как предложил AMDBulldozer, но предупредить что это все можно обойти.
2- Покупка роутеров ALIX или собрать миниатюрный сервер на базе FreeBSD.
3- Установить какой то прокси сервер, например Tmeter или UserGate, но тут нужен сервер.

Если ты в компании недавно то я бы начал с вылизывания ОС и разграничением прав а потом уж закрывал доступ в интернет.

SBSA, сделать как сказал

Зачем?
Для начала нужно объяснить начальству все преимущества и уточнить готово ли оно вкладывать деньги в инфраструктуру а потом уже что-то делать.
У меня была похожая ситуация, теперь там красуется сервер HP и SuperMicro, инет по оптике и нормальные маршрутизаторы, планируется организация еще 2 каналов связи.
Эх, жаль что я оттуда увольняюсь :(

Rezor666, ну я бы тоже, ели нужно было чего-нибудь отключить сделал вланы разбил на подсети и поставил шлюз. но тут пробема с настройкой дир615, поэтому думаю для начала вариант AMDBulldozer вполне подходит.

Rezor666, Да, я, новенький. Под вылизываем и разграничением прав в ОС, что понимать?

Как минимум, отобрать администраторские привилегии на рабочих станциях.

Еще, как сделать белый списков фильтрации мак-адресов, там только запретить и разрешить, или если на несколько адресов установить Разрешить, то автоматом все остальные блокируются?

Angry Demon,
Как, создать новую учетну запись с ограниченными правами в виндоус?

Это понимать надо так
1- Что бы в ОС не было не каких ускорителей, твикалок, чистильщиков и прочего хлама.
2- Удалить весь лишний софт.
3- Если есть возможность то заменить пиратский софт на СПО.
4- У пользователей должны быть только права пользователей, не более.
5- У пользователей должен стоять пароль на учетную запись.

Для начала хватит :)

Если вы начинаете запрещать то это черный список.
Если разрешать то белый.

=)

По поводу первого пункта, почему удалять ускорители и т.п.?

Спасибо!

Читайте

Потому что они не ускоряют а только портят систему.

Сорри за оффтоп. но раз речь зашла про эти программки, можно узнать почему они только портят систему, я часто пользовался этими программками?

SBSA, Читайте

Делать так, как Вам проще. Одна из особенностей форумов состоит в том, что желающих критиковать чужие советы во много раз больше, чем людей, готовых их давать.
Поэтому в любом случае одни будут кричать "откуда злоумышленники на фирме" и предлагать заняться написанием детективных романов, а другие в то же самое время орать "эта защита легко обходится".
Самые "продвинутые" могут ухитряться заявлять обе претензии одновременно. :wink:

Так что на Вашем месте я бы даже не забивал себе голову разделением прав и установкой серверов. Не забывайте, что Вам же всё это и придется проделывать. Вам охота искать лишнюю работу на свою шею?
Просто потратьте 10 минут на настройку маршрутизатора и я уверен, что результат вполне устроит Ваше начальство.

AMDBulldozer, А вот потом мы возмущаемся почему так мало умных студентов...
Потому что вместо того что бы им помочь сделать все так как должно быть, мы даем советы .

Согласен, сам в колледже фигней страдал, но вырос то не дураком )

Сорри все, за то, что не ответил. Захожу с работы, были выходные.
По делу, еще не изменял настройки, сделаю скажу.

Еще вопрос, при просмотре полной карты сети возникает много не поняток, оказывает 5 коммутаторов, один шлюз, пару десятков компьютеров в половину где-то не заходит. Это как понять, мак-адресов для блокировки модем показывает меньше чем Виндоус компьютеров на карте, что делать?

SBSA, не нужно постить несколько раз подряд, нарушая ОПК 3.14. Это не чат, а форум. Если хотите что-то добавить - пользуйтесь функцией "Редактировать".


Установить сетевой сканер, например, Advanced IP Scanner.

Сорри, не уследил.

Просканировал, чего там только нет 36 адресов в плоть до DNSки Гулга нашел. Модем показывает ~ 14 маков.

Вы что, весь диапазон Интернета сканировали? Не логичнее ли свою подсеть?

Angry Demon, Пользуюсь этой программой впервые, как свою подсеть сканировать?

SBSA, лень, знаете ли, не всегда двигатель прогресса. Что мешает FAQ почитать?

Вот, выбрал "подсеть этого компьютера"

SBSA, у вас кроме вашей подсети (которую вы совершенно напрасно вымарали, ибо треть всех частных сетей имеют подобную адресацию) указан зачем-то Интернет диапазон.

Angry Demon,
Вы про 172..... ?

SBSA, нет, это как раз вымараный вами частный диапазон.

Angry Demon, Если про Восьмерки, то это адреса компьютеров в нашей локальной сети.

вам еще на второй странице писал AMDBulldozer:

Vexel, Да, это понятно, я просто пояснял.


Так вот, попробовал я сделать белый список из двух МАК-адресов, ничего не получилось, другие компьютеры все равно заходят.

Дополнение

К двум разрешенным МАКам добавил еще один но запретил, вырубился интернет у всех, включая разрешенных.

и как вы это сделали?

либо перепутал белый с черным списком или роутер га***
Вот поэтому и не люблю дешевые железки, особенно d-link.

freese,
Там, на роутере это можно сделать. Примерно так: выбрал один МАС-адрес и разрешил его, выбрал другой и его тоже разрешил, и там же выбрал третий, но его запретил, и вот тут-то интернет и вырубился...

SBSA, скриншет можно увидеть?

Что происходит, если Вы разрешаете определенные MAC-адреса, но при этом запрещаете все IP?
(результат может быть разный, в зависимости от того, какой фильтр firmware маршрутизатора применяет первым)

SBSA, Попробуйте обновить прошивку, если это возможно.
В противном случае советую подойти к директору и сказать что наилучший бюджетный вариант взять такую зверюшку или эту.
Я бы правда выбрал первую. А если он хочет избежать простоев в компании то как я и советовал выше надо брать ALIX или ему подобные.
Я думаю что простой в компании куда больше принесет убытков чем покупка маршрутизатора на года 3.

C ip ничего не запрещал.

Rezor666, Да, наверное стоит купить хороший роутер.

SBSA, Попробуйте для начала обновить прошку, судя по версии она у Вас скорее всего старая.
FTP D-Link

Сейчас не вариант, все в интернете, если выключится паника будет. При обновлении настройки слетают и можно ли вернуть старую прошивку?

И еще, куда все время девается кнопка благодарности за сообщения?

Ждите вечера. Главное ревизию роутера не перепутайте. Внизу роутера она написана.
Тут как повезет, могут слететь а могут и нет, советую сделать резервную копию настроек.
Откатиться назад можно если Вы предварительно скачаете старую прошивку.
Стоит лимит на 12 благодарностей в день.

SBSA, не вывешивайте вы свои простынки!!! Либо превьюшки, либо скрывайте тегом [more].

Rezor666, Наверное пока повременю с прошивкой. А про какую ревизию?

Angry Demon, Если вы про скрины, то ок!