Logo Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware
Архив форумов ЦИТФорума
Море(!) вопросов - Море(!) ответов
 
 FAQFAQ   ПоискПоиск   ПользователиПользователи   ГруппыГруппы   РегистрацияРегистрация 
 ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 
Как правильно задавать вопросы

Временная защита сети

 
Перейти:  
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов Архив форумов ЦИТФорума -> Сети
Предыдущая тема :: Следующая тема  
Автор Сообщение
VeL



Зарегистрирован: 18.01.2006
Сообщения: 521
Откуда: Харьков

СообщениеДобавлено: Ср Авг 15 2007 19:01    Заголовок сообщения: Временная защита сети Ответить с цитатой

Всем доброго!

Досталась мне от предыдущего админа компьютерная сеть примерно из 40 компов в убитом состоянии и кучей вирусов!

Есть также Win 2003 Server на котором крутится 1С бухгалтерия. Есть router ADSL D-Link 500T который работает в режиме роутера, на нем настроенно PPPoE соединение к провайдеру, который как обычный шлюз раздает инет в локалку. На нем настроен DHCP для этой же локалки, который раздает всем айпишники и себя как шлюз, через него и выходят все в инет. Сеть 192.168.1.х/24. На сервере есть 2 сетевые карты.

Недавно перешли с безлимитного (64кбит/сек) интернета так как скорость неустраивала на 2Мбит/сек но уже с лимитным предоплаченным трафиком услуг интернет. Но так как все компы зараженны и на устранение вирусов необходимо время, необходимо в данном случае устранить неконтролируемый трафик из локальной сети в инет.

Если я например на сервере Вин 2003 и 1-й сетевой карте подниму DHCP и диапазон для локалки сделаю например в сети 192.168.2.х/24 а вторую сетевуху и router ADSL D-Link 500T оставлю в сети 192.168.1.х/24 то у меня получатся компы лок сети отрезанные от инета и выход в инет можно будет сделать только через сервер, но вот вопрос не может ли получится ситуация, поскольку физически используется одни и те же провода и свичи локальной сети, что вирусы каким то образом будут качать трафик на router ADSL D-Link 500T в сети 192.168.1.х/24 из компов в сети 192.168.2.х/24 поскольку они соединены физически одними и теми же проводами?

Или как подругому устранить неконтролируемый трафик в данной ситуации? Использовать router ADSL D-Link 500T как езернет модем немогу, т.к. в этой локальной сети есть еще и D-Link VPN Router на который настроен форвардинг портов из инета в локальную сеть, у него получается в настройках один порт в сети 192.168.1.х/24 подключен к свичу лок сети и ADSL D-Link 500T для него настроен как ISP провайдер на этот порт и настроен проброс из ADSL D-Link 500T а второй в сети 192.168.0.х/24 он подключен ко 2-й сетевухе сервера 192.168.0.х/24 напрямую (не через свич), вот таким вот образом у нас настроено удаленное VPN подключение к данному серверу.

Можно былобы например не переводить компы лок сети в другую сеть поотношению к шлюзу ADSL D-Link 500T и на компах лок сети шлюзом прописать Комп Win2003 Server, это былобы хороше, но т.к. на каждом компе етсть локальная таблица маршрутизации, то вирус может и сам посылать пакеты на шлюз ADSL D-Link 500T отсюда и пришла мне в голову мысль спрятать компы от неконтролируемого шлюза в другую сеть и трафик пустить через сервер, на котором можно контролировать его.
Можно ли както гарантированно сделать так чтобы сервер и шлюз находились в одной сети но трафик в инет шел только через сервер? и гарантированно запретить возможность посылать вирусом пакеты с компа в лок сети на шлюз ADSL D-Link 500T минуя сервер?

И еще, мне нужно сделать так чтобы сервер ничего кроме http трафика не выпускал наружу в инет, немогла идти спамерская рассылка из компов лок сети и т.д., тоесть чтобы все эти вирусы варились в пределах лок сети, пока будет идти процесс постепенного искоренения вирусов, С помощью какой проги этого можно добиться? и желательно простой в настройке? чтобы она могла считать сколько там юзеры трафика накачали, логи необязательно, важен просто сумарный объем, чтобы не попадать на деньги у провайдера за переборы объемов используемого интернета?

Или может еще какое другое есть решение в данной проблеме?
_________________
Best regards
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
Dimasm



Зарегистрирован: 25.04.2005
Сообщения: 454

СообщениеДобавлено: Ср Авг 15 2007 19:24    Заголовок сообщения: Ответить с цитатой

я в подобных случаях поступаю так:
1. если не важно чтоб компы друг друга видели - тогда просто делаем разные подсети 192.168.1.1-254 и 192.168.2.1-254
физичеси сеть одна, но часть компов можно от инета отгородить

2. если важно чтоб все компы были в одной подсети
допустим диапазон 1...254
DHCP настраиваем так, чтоб выдавались адреса 192.168.1.1-50 и не передаём ни шлюз ни DNS (либо левый шлюз) ... без шлюза ПК не сможет выйти в интернет даже находясь в одной сети с интернет шлюзом
а компам, которым надо иметь доступ в интернет (их как правило немного) ручками прописываем IP+GATE+DNS в диапазоне, например 192.168.1.60-254 либо на такую работу можно DHCP настроить

конечно что сказанно выше - это временное решение
наиболее правильно, будет воткнуть в сервак вторую сетевуху и к ней ADSL
а ещё лучше, выделить отдельный комп как шлюз и через него распределять и подсчитывать интернет
_________________
С уважением Dimasm
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
je-die



Зарегистрирован: 10.08.2007
Сообщения: 39
Откуда: Россия, Ростовская область, г. Морозовск

СообщениеДобавлено: Ср Авг 15 2007 19:55    Заголовок сообщения: Ответить с цитатой

Если прописан шлюз для подключения к инету, инет будет, так что шаманство с IP-адресами никак не поможет. Реально что можно сделать - это поднять прокси-сервер, чтобы для начала можно было пользоваться хотябы вебом.
Можно также выделить отдельный компьютер под шлюз и запретить выход в инет на все порты, кроме нужных. Для виндов ничего нормального посоветовать не могу, а под линухом iptables+natmonitor отлично справятся с этой задачей. natmonitor нужен для учета трафика, учитывает суммарный трафик и по каждому компу в сети.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
San_dok



Зарегистрирован: 21.07.2006
Сообщения: 1649
Откуда: Rus\23

СообщениеДобавлено: Вт Авг 21 2007 06:43    Заголовок сообщения: Ответить с цитатой

В твоей схеме лучше всего поставить любую "дохлую" машину проксей. На проксю User Gate, или BWMeter, и всё. Больше её не трогать. Есессно модем во вторую сетевую.
Цитата:
И еще, мне нужно сделать так чтобы сервер ничего кроме http трафика не выпускал наружу в инет

Ну на это благополучно рулят политики того же самого оутпоста Wink
_________________
В тёмной комнате завсегда имеются тёмные грабли.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Показать сообщения:   
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов Архив форумов ЦИТФорума -> Сети Часовой пояс: GMT + 3
Страница 1 из 1

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах


Powered by phpBB © 2001, 2002 phpBB Group
Русская поддержка phpBB

 

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 495 6608306, ICQ 232284597
Пресс-релизы — pr@citforum.ru
Послать комментарий
Информация для авторов
This Web server launched on February 24, 1997
Copyright © 1997-2000 CIT, © 2001-2006 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...