Ahojte,
mám dotazoproblém: řeším problém několika klinentů, kteří (mají Windows) jsou moc zvídaví a přes okolní počítače procházejí sít a skupiny.
Potřeboval bych poradit jak a kde zakážu procházení počítačů např jen pro určitý rozsah sítě. Prostě aby některé počítače (resp. všechny v daném rozsahu) nebyli vidět ostatními v okolních počítačích - taková nějaké "chráněná" nebo "neviditelná" sít.
Nevíte? ..
Někde na serveru nějakém nebo jak? ...
Díky za každou rady a doufám, že se nedozvím že to nejde ... pokud někdo říká že to nejde, znamená to že to neumí ...
Já to neumí ... to říkám rovnou .. poradíte? Díky! :(
Vzhledem k tomu, že odpověď Firewall tě asi moc neuspokojí, nabízím tři možnosti. Jedna možnost je blokovat porty, na kterých tato komunikace probíhá (myslím, že jde o port 135, ale jistý si nejsem). Druhá možnost je použít Windows 2000 nebo XP Professional, které procházení sdílených položek neumožňují bez platného uživatelského jmená a hesla na cílovém počítači). Třetí možnost je z vlastností bezdratového připojení odškrtnou sdílení souborů, což na počítači, kde to uděláš, zakáže používat sdílení souborů a tiskáren přes daný sí?ový adaptér. Ve Windows ME, XP a 2000 to najdeš ve vlastnostech Bezdrátového připojení (viz Ovládací Panely/sí?), ve Win9x přimo v appletu sí? v ovladacích panelech. Toto je nutné aplikovat všude, kde chceš použití sdílení znemožnit (a to jak příchozí, tak odchozí)
doplním to co bych chtěl (objasním):
příklad: 100PC jede po obyč.drátěné LAN a sdílení souborů potřebují, dalších asi 10-20 je přez bezdrátovou WLAN a do konfigurace těchto stejně nezasáhnu, ale to nevadí.
Já potřebuju, aby těch 100PC v LAN vůbec!! nevidělo v okolních počítačích těch 10-20 ne WLAN!! Ted to jede vše s podporou VLANů (virtuálních tagovaných sítí), takže se tech 100PC z LAN do WLAN a naopak prakticky nedostane!!, ale já nechci, aby stroje z WLAN byly vidět v obyčejné drátové LAN!
Firewall je na nic, za NAT to všechno neschovám, navíc je to nepraktické pro naše použití. Napadám mě prostě jen někde na MasterBrowseru zakázat při požadavku na seznam okolních počítačů zasílání seznamu jen a právě té WLAN bezdrátové sítě (např. konktrékních IP, MAC adres, celé podsítě nebo rozsahu sítě).
Děkuji .. napište mi pls jestli aspon chápete problém
je to vůbec možné vyřešit?? ... já říkám ano, protože nic není nepožné... jen to neumíme (já neumím )
Mě napadají jediná dvě řešení. Buď ve všech WLAN počítačích zakázat sdílení (tím, že se odškrtne z vlastností bezdrátového připojení). A nebo se na počítač, který spojuje LAN a WLAN sí?, instaluje firewall a zablokují se příslušné porty (je to tuším 135, což vás mimochodem do jisté míry ochrání i před virem Blaster, který se po tomto portu šíří celou sítí, možná i těch 137-139). Je prostě nutné potlačit tuto komunikaci mezi oběma segmenty sítě, což spolehlivě může řešit právě firewall.
jo ale firewall máme už jeden centrální do internetu. Navíc by to znamenalo více firewalů, protože APéčka jsou umístěny tak různě v rámci páteřní infrastruktury... To by asi znamenalo před každý AP (nebo skupinu AP) firewall ... tzn.i routování asi apod... že? ...
Tomu jsem se chtěl vyhnout - bude to mnohem náročnější na správu sítě mít tam např. 6 fireweallů, ne?.. ... nějaké řešení na bází konfigurace MasterBrowsera není? ...
nebo nějaké řešení na bází PDC (Windows Server nebo Linux a Samba) - to by nešlo?
StoupaLutin: asi nejlepsie riesenie su tie firewally,
to riesenie na zaklade konfigurovania MasterBrowser si myslel nejak cez Sambu ? Totiz nevidel som nikde moznost nastavovania
niecoho takeho na ziadnych Windows...
A este k firewallu - Windows XP maju okrem stareho NetBiosu aj Directory Services, port 445 myslim, takze aby sa nevideli na sieti (aj bez mena, len cez IP adresy) asi bude treba zakazat aj to...
Ty VLany musí přeci někde "končit". Nejspíš v tom firewallu. Musí přeci jít filtrovat provoz DO VLAN. No a pak jenom zrušit provoz na portech 137-139 (udp i tcp).
135 je RPC, což se sdílením nemá co do činění. Ale zakázal bych ho taky, už jenom kvůli blasterovi ...
Jak myslíš že VLANy musí někde končit ... Ve VLANě jsou různá zařízení (VLANy máme nakonfigurované na switchích) a pokud patří PC do konkrétní VLANy a intenetová Gateway taky (a to musí aby se ty PC dostali na internet), tak na sebe vidí ... jo a navíc MasterBrowsera u nás nedělá internetová brána.
Ještě mě napadá: MasterBrowsera nám dělá jeden stroj s Win2000, tak bych na něm mohl rozjet firewall, kterých bych zakázal jen porty 137-139 do i z rozsahu sítě, o který jde.. nešlo by to takto? ...
jo a port 135 je blokovanej do a z internetové gatewaje standartně, protože defaultně je všechno zakázané a povoluje se co je potřeba, nebo ne? ...
Jo vím a chápu, ale zatím je potřeba hold aby některé stroje měli plný přistup do PC v LAN (včetně sdílení souborů a tiskáren) a jiné (bohužel na tom samám AP třeba) zas ne... Jak to teda vyrobit? ...
Jo a domény chci dlouho ... ale na tu není patřičné SW vybavení ... vím vím ...
ad ty domeny: docela obstojne se to rozjet i na sambe, ta domena se chova vicemene jako domena bez active directory. Ale je to naprosto funkcni a docela v pohode.
Podle me, pokud uz pouzivate VLANy, by bylo rozumne oba VLANy zakoncit na dvou rozhranich nejakeho routeru/firewallu a tam jednoduse povolovat, ktera IP adresa ma mit do LAN pristup a kam a zbytek proste zakazat.
__________________
vlasaty spravce AP Gwartass, Ostrava - Svinov
********
NH! ..a ve slove "krava" se nad prvnim "a" pise carka!!!
Me napr. sdileni souboru ve woknech nechodilo kdyz byly ty kompy v jiny subsiti (192.168.0.0 a 192.168.1.0). Winroute to tak nejak spojil, ale bez nej ani tuk. Nevim jak na linu. Tohle byla ciste wokenni sit.
Zneviditelnění okolních skupin a počítačů
08.01.2004 v 16:40
)
VLANy končit? ...
