|
|
|
|
| Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » Видимость (доступ) к компьютерам-рабочим станциям в домене 2003 |
|
|
Видимость (доступ) к компьютерам-рабочим станциям в домене 2003
|
|
Старожил Сообщения: 174 |
Преамбула!
Захотел когда-то мой шеф, чтоб наша локалка была разделена на 2 сегмента-бухгалтерия и проектный отдел, а его комп через 2 сетевухи смотрел и туда и туда. Сеть тогда была одноранговой, без домена. Но вот пришла пора, докупили мы еще пару машинок-рабочих станций и комп сервера. Поставил я на сервер 2003 Винку, настроил, подключил сетевуху в интернет и еще 2 сетевушки на каждый сегмент сети в которых прописал следующее 1 сермент: IP сетевухи 192.168.0.1 маска 255.255.255.0 2 сермент: IP сетевухи 192.168.2.1 маска 255.255.255.0 Поставил ИСА сервер, поставил Актив директори, ввел все компы в домен, раздал всем как надо интернет. И вдруг заметил, что мои компы из разных подсетей видят друг друга, как на ладони, все пингуются, все типа алес гууд, но мне то этого не надо. Надо, чтоб одна подсеть не видила другую, но тем не менее все входили в домен. На сервере служба Routing and Remote Access выключена. Таблица маршрутов, выданная по команде route print напичаталось следующее c:\>route print IPv4 таблица маршрута =========================================================================== Список интерфейсов 0x1 ........................... MS TCP Loopback interface 0x2 ...YY YY YY YY YY YY ...... NVIDIA nForce Networking Controller 0x3 ...YY YY YY YY YY YY ...... Realtek RTL8139 Family PCI Fast Ethernet NIC - P acket Scheduler Miniport 0x20004 ...YY YY YY YY YY YY ...... Realtek RTL8139 Family PCI Fast Ethernet NIC #2 - Packet Scheduler Miniport =========================================================================== =========================================================================== Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 0.0.0.0 XXX.XX.XXX.193 XXX.XX.XXX.204 30 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 192.168.0.0 255.255.255.0 192.168.0.1 192.168.0.1 20 192.168.0.1 255.255.255.255 127.0.0.1 127.0.0.1 20 192.168.0.255 255.255.255.255 192.168.0.1 192.168.0.1 20 192.168.2.0 255.255.255.0 192.168.2.1 192.168.2.1 20 192.168.2.1 255.255.255.255 127.0.0.1 127.0.0.1 20 192.168.2.255 255.255.255.255 192.168.2.1 192.168.2.1 20 XXX.XX.XXX.192 255.255.255.240 XXX.XX.XXX.204 XXX.XX.XXX.204 30 XXX.XX.XXX.204 255.255.255.255 127.0.0.1 127.0.0.1 30 XXX.XX.XXX.255 255.255.255.255 XXX.XX.XXX.204 XXX.XX.XXX.204 30 224.0.0.0 240.0.0.0 192.168.0.1 192.168.0.1 20 224.0.0.0 240.0.0.0 192.168.2.1 192.168.2.1 20 224.0.0.0 240.0.0.0 XXX.XX.XXX.204 XXX.XX.XXX.204 30 255.255.255.255 255.255.255.255 192.168.0.1 192.168.0.1 1 255.255.255.255 255.255.255.255 192.168.2.1 192.168.2.1 1 255.255.255.255 255.255.255.255 XXX.XX.XXX.204 XXX.XX.XXX.204 1 Основной шлюз: XXX.XX.XXX.193 =========================================================================== Постоянные маршруты: Отсутствует Здесь я игреками заменил МАС адреса карт, а иксами часть адреса провайдера, она всюду одна и таже. Возможно какие то маршруты надо удалить, но подскажите какие и вообче поподробнее о команде route, а то я в ней мягко не селён. Да все хотят добавить маршрут, а мне надо удалить. И еще: может есть вариант запретить к компу (или учетной записи компа) из других определенных компов из сети. Кто знает поделитесь!!!!! |
|
|
Отправлено: 14:33, 14-12-2005 |
Ветеран Сообщения: 1114
|
Профиль | Отправить PM | Цитировать Цитата:
|
|
|
------- Последний раз редактировалось XPurple, 15-12-2005 в 11:31. Отправлено: 06:48, 15-12-2005 | #2 |
|
Старожил Сообщения: 174
|
Профиль | Отправить PM | Цитировать Цитата:
В реестре на серваке параметр: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\IPEnableRouter=0 так что роутинг средствами сервера запрещен. |
|
|
Отправлено: 12:22, 15-12-2005 | #3 |
|
Старожил Сообщения: 174
|
Профиль | Отправить PM | Цитировать Проверил! Рутит сеть однозначно служба Firewall от ISA Server. Но как отключить - пока не знаю!!!
|
|
Отправлено: 12:45, 15-12-2005 | #4 |
|
Ветеран Сообщения: 1114
|
Профиль | Отправить PM | Цитировать Не нравится слово интерфейс, можно его заменить на "сети". Запретить пересылку пакетов NetBios средствами ISA из 1-ой сети ко 2-ой сети и наоборот.
p.s. Удалите|остановите службу ISA. Смотрим, что изменилось. Проверьте установлена ли служба маршрутизация и удаленный доступ. |
|
|
------- Отправлено: 12:59, 15-12-2005 | #5 |
|
Старожил Сообщения: 174
|
Профиль | Отправить PM | Цитировать Да все мне нравится! Ты рецепт напиши, а то тыкаю фиг знает куда, народ дергается, что интернет вываливается, а толку никакого.
|
|
Отправлено: 13:09, 15-12-2005 | #6 |
|
Ветеран Сообщения: 1114
|
Профиль | Отправить PM | Цитировать Я ISA не использую, но рецепт одинаковый для всех Routing-Firewall _ных устройств.
Пишутся правила доступа/запрета прохождения пакетов от одних хостов/сетей к другим, ко всему диапазону портов или выборочно. Все правила делятся на 3 типа: входящие, исходящие и транзитные, последние иногда называет форвардные- от англ.слова Forward. Все правила такого рода похожи друг на друга, общий синтаксис примерно такой: Что (input/output/forward) Откуда (Net1, например 192.168.1.0/24) Куда (Host1, например 192.168.2.1/32) какой протокол (tcp/udp/icmp и т.д.) какой порт (номер порта, например 135) что делать (принять/Отклонить - Reject/Accept). |
|
------- Отправлено: 13:22, 15-12-2005 | #7 |
|
Старожил Сообщения: 174
|
Профиль | Отправить PM | Цитировать Разобрался я примерно в этом аспекте и с ИСА и с сервером маршрутизации. Роутинг можна делать или тем или тем. Определенно для каждого порта в ИСЕ вряд ли удастся, т.к. поскольку ИСА "весит" на интерфейсе, который смотрит в внешнюю сеть, т.е. Интернет, ей совершенно вроди бы "по барабану", как пакеты "летают" по внутренних интерфейсах, главное контролировать, то, что валит от тебя и к тебе через Интернетовский интерфейс.
Только вот вопрос: есть 3 интерфейса, назовем их А-смотрит в интернет на котором стоит NAT, В,С-смотрят в локальные подсети. Если команды пинг проходят из В в А и из С в А то будут ли однозначо проходить пинги из В в С и наоборот и как этот процесс запретить/разрешить. |
|
Отправлено: 14:25, 15-12-2005 | #8 |
|
Ветеран Сообщения: 4904
|
Профиль | Сайт | Отправить PM | Цитировать Andrik
Client address - C Destination - B - Protocol ICMP - Deny |
|
------- Отправлено: 16:07, 15-12-2005 | #9 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| выгрузка по рабочим станциям | euro8 | Microsoft Windows NT/2000/2003 | 1 | 07-12-2009 12:14 | |
| Windows Server 2003. Запрет на доступ к компьютерам определенному пользователю | Savrik | Microsoft Windows NT/2000/2003 | 5 | 16-06-2009 17:49 | |
| Разное - [решено] поиск по компьютерам в домене | Dj Dynamite | Microsoft Windows NT/2000/2003 | 2 | 16-04-2009 10:45 | |
| [решено] Доступ к рабочим станциям на Windows 98 и Home Edition | Vygov | Microsoft Windows NT/2000/2003 | 5 | 03-05-2007 16:07 | |
| Доступ к рабочим станциям в сети | SilenceMan | Microsoft Windows 2000/XP | 0 | 30-07-2006 21:24 | |
|
|
Время: 09:55. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. |
