Lan Security

[Exiled2]

Θέλω σε ένα δίκτυο με 30 pc όπου όλα βλέπουν Internet, τα 4 να μπορούν να βλέπουν τα κοινόχρηστα μεταξύ τους και όλοι οι υπόλοιποι να μην μπορούν να δουν αυτούς τους 4. Αυτό που έχω κάνει εγώ είναι απλά να δώσω δικαιώματα στα κοινόχρηστα μόνο για τους users των 4 αυτών pc. Με αυτόν τον τρόπο όμως οι υπόλοιποι μπορούν να δουν τα κοινόχρηστα των άλλων απλά δεν μπορούν να μπουν επειδή δεν έχουν δικαιώματα. Καθώς επίσης ότι σε κάθε φάκελο που θέλω να κάνω share πρέπει να κάθομαι να δίνω δικαιώματα.

Υπάρχει κάποιος άλλος τρόπος που μπορώ να κάνω τα παραπάνω? Κάτι έχω ακούσει για vpn αλλά δεν ξέρω πως γίνεται. Ξέρει κάποιος να μου πει?

Ευχαριστώ.

[exile]

Το VPN δεν έχει νόημα από τη στιγμή που όλα τα PC ανήκουν στο ίδιο LAN. Αν θέλεις να κρύψεις τους κοινόχρηστους φακέλους αυτών των τεσσάρων PC, ένας τρόπος είναι στο όνομα του κοινόχρηστου στοιχείου να προσθέσεις και το δολλάριο ($). Αν για παράδειγμα έχεις σε ένα PC ένα κοινόχρηστο φάκελο με όνομα documents, αν στο πεδίο "κοινόχρηστο ως..." γράψεις documents$ δεν θα εμφανίζεται στα κοινόχρηστα στοιχεία του PC.

 

Βέβαια έτσι δεν θα εμφανίζεται ούτε στους χρήστες που θέλεις να το βλέπουν, όμως θα έχουν τη δυνατότητα να το δουν πληκτρολογώντας \\computername\documents$, από τη στιγμή που ξέρουν την ύπαρξή του. Μπορείς επίσης, στα PC που θες να τα βλέπουν να κάνεις map network drive στους κρυφούς κοινόχρηστους φακέλους.

[Exiled2]

Είναι καλός ο τρόπος σου. Δεν το ήξερα αυτό με το $. Αυτό με το vpn το είπα γιατί θυμάμε ότι στη σχολή μάς είχαν πει ότι γίνετε vpn σε ένα lan με βάση την ip ή την mac address. Ίσως εγώ κατάλαβα λάθος. Σκέφτηκα και το άλλο. Αν γίνετε στο adsl router τα ethernet που έχει να μην επικοινωνούν μεταξύ τους θα βάλω ένα hub με τα 4 pc στη μια port και ενα hub με τα υπόλοιπα pc σε άλλο port. Γίνεται όμως αυτό?

[exile]

Δεν ξέρω τι router έχεις, δεν νομίζω όμως ότι γίνεται. Στους περισσότερους ADSL routers με περισσότερες από μία πόρτες Ethernet, οι πόρτες αυτές αποτελούν απλά ένα ενσωματωμένο switch, για να συνδέεεις περισσότερα PC απευθείας στο router. Πρέπει να πας σε πολύ ακριβότερους routers (πχ της Cisco) για να έχεις δύο διαφορετικά Ethernet interfaces, που να μπορούν να έχουν και διεφορετικές διευθύνσεις IP.

 

Ίσως αυτό που θυμάσαι από τη σχολή είναι τα VLAN, που όμως θέλουν και switch που να τα υποστηρίζει, με ανάλογο κόστος.

[keftedakos]

Isws an kopseis me firewall to traffic pros ta 4 pc stis TCP:139, TCP:445, UDP:137, UDP:138 ektos otan prokeitai gia apo kai pros tis IP autwn twn 4 pc.

[Exiled2]

Υπάρχει Switch που υποστηρίζει vlan? Τότε σίγουρα αυτό λέω. Απ' ότι κατάλαβα πάντως θα μείνω έτσι όπως είμαι. Δεν γίνετε να αγοράσω καινούριο εξοπλισμό. Μήπως υπάρχει τρόπος στα xp αντί να βάζω σε κάθε share τους χρήστες που θέλω να έχουν πρόσβαση, να τους βάλω κάπου σαν "οι χρήστες που έχουν πρόσβαση στο pc" ? Κοίταξα στο Local Security Policy αλλά δεν βρήκα κάτι. Είναι λίγο εκνευριστικό σε κάθε pc με 4-5 share ο καθένας να πρέπει να βάζω χρήστες σε ένα-ένα share.

[Exiled2]

Βρήκα αυτό "Deny access to this computer from the network" στο User rights assignment. Εγώ θέλω το ακριβώς αντίθετο. Μήπως το λέει κάπως που δεν το καταλαβαίνω?

[tech25]

Υπάρχει Switch που υποστηρίζει vlan? Τότε σίγουρα αυτό λέω.

 

Nai.

Koita pros Cisco meria sigoura, den ksero an yparxei kati se 3com.

[mvar]

Εχω την εντυπωση οτι το wrt54gs της Linksys με custom firmware το OpenWRT (linuxοειδες firmware) υποστηριζει VLAN. Ψαξτο λιγο και εδω:

http://wiki.openwrt.org/OpenWrtDocs/Configuration

http://wrt-wiki.bsr-clan.de/index.php?title=VLan_Configuration

http://sk2.id.au/archives/20

 

(φυσικα με custom firmware ξεχνας και την εγγυηση)

[exile]

Υπάρχουν switches και σε 3Com που υποστηρίζουν VLANs. Πάντως οι τιμές σε (24-port) τέτοια switches αρχίζουν από 300 € περίπου και ανεβαίνουν ανάλογα με το πόσα και ποιά άλλα features θέλεις.

[Highlander]

Μια απλή λύση, είναι να βάλεις άλλο Subnet Mask.

Αν θυμάμαι καλά μπορούν να βλέπονται μεταξύ τους, αλλά όχι με αυτά που έχουν διαφορετικό.

[mvar]

δε μπορουν.

καθε subnet ειναι ξεχωριστο δικτυο με δικο του network & broadcast address

 

edit: βιαστικα να απαντησω, βασικα αυτη η λυση "κανει" αλλα ο φιλος θελει να εχουν ολοι internet απο το ιδιο modem, αρα το modem πρεπει να ειναι στο ιδιο δικτυο με ολα

[Highlander]

Internet θα βλέπουν όλα, ας έχουν διαφορετικό subnet, αρκεί να έχουν το ίδιο gateway.

[mvar]

το gateway θα πρεπει να βρισκεται στο ιδιο subnet για να μπορει να επικοινωνει ο client.

ειπαμε subnet=διαφορετικο δικτυο.

Εστω οτι εχουμε το δικτυο 192.168.0.0 χωρισμενο σε υποδικτυα με τη μασκα 255.255.255.192. Αυτο μας δινει τα subnets 192.168.0.64 με broadcast την .127 και 192.168.0.128 με broadcast την .191

Οι clients απο το .64 subnet ΔΕΝ μπορουν να επικοινωνησουν με αυτους απο το .128

Το gateway σε πιο υποδικτυο θα μπει;; θυμισου οτι το gateway ουσιαστικα ειναι μια συσκευη με IP, δηλαδη θα μπορουσε καλλιστα να ειναι ενας client. Αν το βαλουμε στο subnet .64 δεν θα μπορουν να το δουν οι του subnet .128..

 

Στην προκειμενη περιπτωση θα πρεπει να χρησιμοποιηθει router για να δρομολογει τα πακετα απο το ενα subnet στο αλλο..

 

Το οτι ειναι δυο υποδικτυα που αρχιζουν με 192.168.0 δεν λεει κατι, τα 192.168.0.64 & 192.168.0.128 ειναι διαφορετικα *δικτυα*. Αυτο ειναι αλλωστε και το νοημα του subnetting. Ελπιζω να ημουν κατανοητος (ειναι και μια ωρα δυσκολη)

[Highlander]

Έχω την εντύπωση πως είχα καταφέρει κάτι τέτοιο πριν από 1 χρόνο περίπου.

Μπορούσαν τα PC μέσω του Router να βλέπουν internet αλλά όχι μεταξύ τους.

Πρέπει κάποια στιγμή που θα πάω εκεί να δω τι είχα κάνει.

Ευχαριστώ πάντως.