Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
VeL
Зарегистрирован: 18.01.2006 Сообщения: 521 Откуда: Харьков
|
Добавлено: Ср Авг 15 2007 19:01 Заголовок сообщения: Временная защита сети |
|
|
Всем доброго!
Досталась мне от предыдущего админа компьютерная сеть примерно из 40 компов в убитом состоянии и кучей вирусов!
Есть также Win 2003 Server на котором крутится 1С бухгалтерия. Есть router ADSL D-Link 500T который работает в режиме роутера, на нем настроенно PPPoE соединение к провайдеру, который как обычный шлюз раздает инет в локалку. На нем настроен DHCP для этой же локалки, который раздает всем айпишники и себя как шлюз, через него и выходят все в инет. Сеть 192.168.1.х/24. На сервере есть 2 сетевые карты.
Недавно перешли с безлимитного (64кбит/сек) интернета так как скорость неустраивала на 2Мбит/сек но уже с лимитным предоплаченным трафиком услуг интернет. Но так как все компы зараженны и на устранение вирусов необходимо время, необходимо в данном случае устранить неконтролируемый трафик из локальной сети в инет.
Если я например на сервере Вин 2003 и 1-й сетевой карте подниму DHCP и диапазон для локалки сделаю например в сети 192.168.2.х/24 а вторую сетевуху и router ADSL D-Link 500T оставлю в сети 192.168.1.х/24 то у меня получатся компы лок сети отрезанные от инета и выход в инет можно будет сделать только через сервер, но вот вопрос не может ли получится ситуация, поскольку физически используется одни и те же провода и свичи локальной сети, что вирусы каким то образом будут качать трафик на router ADSL D-Link 500T в сети 192.168.1.х/24 из компов в сети 192.168.2.х/24 поскольку они соединены физически одними и теми же проводами?
Или как подругому устранить неконтролируемый трафик в данной ситуации? Использовать router ADSL D-Link 500T как езернет модем немогу, т.к. в этой локальной сети есть еще и D-Link VPN Router на который настроен форвардинг портов из инета в локальную сеть, у него получается в настройках один порт в сети 192.168.1.х/24 подключен к свичу лок сети и ADSL D-Link 500T для него настроен как ISP провайдер на этот порт и настроен проброс из ADSL D-Link 500T а второй в сети 192.168.0.х/24 он подключен ко 2-й сетевухе сервера 192.168.0.х/24 напрямую (не через свич), вот таким вот образом у нас настроено удаленное VPN подключение к данному серверу.
Можно былобы например не переводить компы лок сети в другую сеть поотношению к шлюзу ADSL D-Link 500T и на компах лок сети шлюзом прописать Комп Win2003 Server, это былобы хороше, но т.к. на каждом компе етсть локальная таблица маршрутизации, то вирус может и сам посылать пакеты на шлюз ADSL D-Link 500T отсюда и пришла мне в голову мысль спрятать компы от неконтролируемого шлюза в другую сеть и трафик пустить через сервер, на котором можно контролировать его.
Можно ли както гарантированно сделать так чтобы сервер и шлюз находились в одной сети но трафик в инет шел только через сервер? и гарантированно запретить возможность посылать вирусом пакеты с компа в лок сети на шлюз ADSL D-Link 500T минуя сервер?
И еще, мне нужно сделать так чтобы сервер ничего кроме http трафика не выпускал наружу в инет, немогла идти спамерская рассылка из компов лок сети и т.д., тоесть чтобы все эти вирусы варились в пределах лок сети, пока будет идти процесс постепенного искоренения вирусов, С помощью какой проги этого можно добиться? и желательно простой в настройке? чтобы она могла считать сколько там юзеры трафика накачали, логи необязательно, важен просто сумарный объем, чтобы не попадать на деньги у провайдера за переборы объемов используемого интернета?
Или может еще какое другое есть решение в данной проблеме? _________________ Best regards |
|
Вернуться к началу |
|
|
Dimasm
Зарегистрирован: 25.04.2005 Сообщения: 454
|
Добавлено: Ср Авг 15 2007 19:24 Заголовок сообщения: |
|
|
я в подобных случаях поступаю так:
1. если не важно чтоб компы друг друга видели - тогда просто делаем разные подсети 192.168.1.1-254 и 192.168.2.1-254
физичеси сеть одна, но часть компов можно от инета отгородить
2. если важно чтоб все компы были в одной подсети
допустим диапазон 1...254
DHCP настраиваем так, чтоб выдавались адреса 192.168.1.1-50 и не передаём ни шлюз ни DNS (либо левый шлюз) ... без шлюза ПК не сможет выйти в интернет даже находясь в одной сети с интернет шлюзом
а компам, которым надо иметь доступ в интернет (их как правило немного) ручками прописываем IP+GATE+DNS в диапазоне, например 192.168.1.60-254 либо на такую работу можно DHCP настроить
конечно что сказанно выше - это временное решение
наиболее правильно, будет воткнуть в сервак вторую сетевуху и к ней ADSL
а ещё лучше, выделить отдельный комп как шлюз и через него распределять и подсчитывать интернет _________________ С уважением Dimasm |
|
Вернуться к началу |
|
|
je-die
Зарегистрирован: 10.08.2007 Сообщения: 39 Откуда: Россия, Ростовская область, г. Морозовск
|
Добавлено: Ср Авг 15 2007 19:55 Заголовок сообщения: |
|
|
Если прописан шлюз для подключения к инету, инет будет, так что шаманство с IP-адресами никак не поможет. Реально что можно сделать - это поднять прокси-сервер, чтобы для начала можно было пользоваться хотябы вебом.
Можно также выделить отдельный компьютер под шлюз и запретить выход в инет на все порты, кроме нужных. Для виндов ничего нормального посоветовать не могу, а под линухом iptables+natmonitor отлично справятся с этой задачей. natmonitor нужен для учета трафика, учитывает суммарный трафик и по каждому компу в сети. |
|
Вернуться к началу |
|
|
San_dok
Зарегистрирован: 21.07.2006 Сообщения: 1649 Откуда: Rus\23
|
Добавлено: Вт Авг 21 2007 06:43 Заголовок сообщения: |
|
|
В твоей схеме лучше всего поставить любую "дохлую" машину проксей. На проксю User Gate, или BWMeter, и всё. Больше её не трогать. Есессно модем во вторую сетевую.
Цитата: | И еще, мне нужно сделать так чтобы сервер ничего кроме http трафика не выпускал наружу в инет |
Ну на это благополучно рулят политики того же самого оутпоста _________________ В тёмной комнате завсегда имеются тёмные грабли. |
|
Вернуться к началу |
|
|
|