Ответить
  • Galaxy Senior MemberАвтор темы
    офлайн
    Galaxy Senior Member Автор темы

    578

    21 год на сайте
    пользователь #4552

    Профиль
    Написать сообщение

    578
    # 14 сентября 2009 11:19

    Задался вопросом.

    Если например модем (192.168.1.1)подключен к свичу, а pppoe поднимает например kerio winroute & win2003 (192.168.1.2) и раздает инет всем остальным (192.168.1.ххх).

    Может ли провайдер зная имена пользователей и пароли этого домена получать доступ к локальной сети своего клиента когда тот подключен по такой схеме.

    Спб.

    P.S. понимаю, что лучше бы разделить на два диапазона т.е. на 2 сетевухи но нету такой физической возможности.

  • adminius FBY Team
    офлайн
    adminius FBY Team

    19532

    17 лет на сайте
    пользователь #77998

    Профиль
    Написать сообщение

    19532
    # 14 сентября 2009 12:13

    Galaxy, сломал мозг.

    понимаю, что лучше бы разделить на два диапазона т.е. на 2 сетевухи но нету такой физической возможности.

    вторую сетевую религия не позволяет поставить? про ВЛАНы молчу, там наверняко говножелезо везде стоит...

    з.ы.: в этом конфиге не осилил роль винрута... абсолютно... что курил тот, кто это все собирал?

    з.ы.ы.: по сути сабжа. чтобы кто-то из вне мог получить доступ внутрь, должен быть статический ИР - раз, поднята трансляция адресов снаружи внутрь - два. Обычно на ентри левел железе вторая опция по умолчанию убита. А дальше смотреть - думать.

    Feci, quod potui, faciant meliora potentes...
  • Galaxy Senior MemberАвтор темы
    офлайн
    Galaxy Senior Member Автор темы

    578

    21 год на сайте
    пользователь #4552

    Профиль
    Написать сообщение

    578
    # 14 сентября 2009 13:07
    adminius:

    Galaxy, сломал мозг.

    понимаю, что лучше бы разделить на два диапазона т.е. на 2 сетевухи но нету такой физической возможности.

    вторую сетевую религия не позволяет поставить? про ВЛАНы молчу, там наверняко говножелезо везде стоит...

    з.ы.: в этом конфиге не осилил роль винрута... абсолютно... что курил тот, кто это все собирал?

    з.ы.ы.: по сути сабжа. чтобы кто-то из вне мог получить доступ внутрь, должен быть статический ИР - раз, поднята трансляция адресов снаружи внутрь - два. Обычно на ентри левел железе вторая опция по умолчанию убита. А дальше смотреть - думать.

    второю нельзя поставить не за религии, а потому что и первая там wifi есть на это причины суть вопроса была в другом не на установку второго девайса.

    суть винроута толька для подъема pppoe, раздачи инета по нату и другие правила.

    На раз )Про ip и каких проблем не вижу что бы провайдер не знал вашего ip хоть он будет динамический

    На два) Далее трансляция включена без ограничения потому что это все в одной сети 192.168.1.ХХХ

  • adminius FBY Team
    офлайн
    adminius FBY Team

    19532

    17 лет на сайте
    пользователь #77998

    Профиль
    Написать сообщение

    19532
    # 14 сентября 2009 13:37

    На раз )Про ip и каких проблем не вижу что бы провайдер не знал вашего ip хоть он будет динамический

    :D жжошь!!!

    На два) Далее трансляция включена без ограничения потому что это все в одной сети 192.168.1.ХХХ

    вижу глубокое непонимание сути проблемы

    а потому что и первая там wifi есть на это причины

    топологию сети в студию. кажеццо мне, что кто-то что-то недоговаривает

    Feci, quod potui, faciant meliora potentes...
  • Galaxy Senior MemberАвтор темы
    офлайн
    Galaxy Senior Member Автор темы

    578

    21 год на сайте
    пользователь #4552

    Профиль
    Написать сообщение

    578
    # 14 сентября 2009 14:01
    adminius:

    На раз )Про ip и каких проблем не вижу что бы провайдер не знал вашего ip хоть он будет динамический

    :D жжошь!!!

    Т.Е. Вы хотите сказать что провайдер не может знать или узнать Ваш IP, почему??? Расскажите если Вам не сложно я не понимаю почему он это не сможет сделать?

    На два) Далее трансляция включена без ограничения потому что это все в одной сети 192.168.1.ХХХ

    вижу глубокое непонимание сути проблемы

    Есть в керио там правило одно

    local-local все разрешить

    Если Вам это подкажит

    а потому что и первая там wifi есть на это причины

    топологию сети в студию. кажеццо мне, что кто-то что-то недоговаривает

    По поводу моих глубоких познаний, а Вы все знаете все умеете, вот родились и гений такой по сетям, век живи век учись. Если б я знал ответ на данный вопрос я бы его тут не задавал.

  • adminius FBY Team
    офлайн
    adminius FBY Team

    19532

    17 лет на сайте
    пользователь #77998

    Профиль
    Написать сообщение

    19532
    # 14 сентября 2009 14:38

    Т.Е. Вы хотите сказать что провайдер не может знать или узнать Ваш IP

    я хочу сказать, что пров по любому будет знать ваш ир.

    Есть в керио там правило одно

    local-local все разрешить

    ниочем....

    По поводу моих глубоких познаний, а Вы все знаете все умеете,

    вы на форум за помощью пришли? если да - обычно принято давать те данные, которые запрашивают.

    а по сути я уже ответил во втором посте сверху. если не хватает знаний это переварить, значит надо учиться :P

    Feci, quod potui, faciant meliora potentes...
  • Galaxy Senior MemberАвтор темы
    офлайн
    Galaxy Senior Member Автор темы

    578

    21 год на сайте
    пользователь #4552

    Профиль
    Написать сообщение

    578
    # 14 сентября 2009 15:07

    во втором сообщении флуд и только. :insane:

    Из первого сообщния видна топология сети

    вторую сетевую религия не позволяет поставить? про ВЛАНы молчу, там наверняко говножелезо везде стоит...

    до этого я уже написал

    P.S. понимаю, что лучше бы разделить на два диапазона т.е. на 2 сетевухи но нету такой физической возможности.

    з.ы.: в этом конфиге не осилил роль винрута... абсолютно... что курил тот, кто это все собирал?

    а pppoe поднимает например kerio winroute & win2003 (192.168.1.2) и раздает инет всем остальным (192.168.1.ххх).

    В котором все понятно без лишних слов все сказано, что инет идет через нат керио, в котором есть свои правили для ната, для локалькой сети и для входящих из вне.

    з.ы.ы.: по сути сабжа. чтобы кто-то из вне мог получить доступ внутрь, должен быть статический ИР - раз

    далее сам написал

    я хочу сказать, что пров по любому будет знать ваш ир.

    поднята трансляция адресов снаружи внутрь - два

    Вы имеете ввиду нат который на модеме?

  • Galaxy Senior MemberАвтор темы
    офлайн
    Galaxy Senior Member Автор темы

    578

    21 год на сайте
    пользователь #4552

    Профиль
    Написать сообщение

    578
    # 14 сентября 2009 16:03

    Спасибо http://ru.wikipedia.org разабрался, без лишнего флуда

  • adminius FBY Team
    офлайн
    adminius FBY Team

    19532

    17 лет на сайте
    пользователь #77998

    Профиль
    Написать сообщение

    19532
    # 14 сентября 2009 16:27

    В котором все понятно без лишних слов все сказано, что инет идет через нат керио, в котором есть свои правили для ната, для локалькой сети и для входящих из вне.

    вот объясните мне глупому, какое отношение имеет какой-то гепотетический траффик из-вне и РРРоЕ с егоным натом к доступу из подсети провайдера в вашу подсеть через модем в режиме бриджа?

    Уважаемый, я не знаю, в чем вы разобрались, но мне ОЧЕНЬ интересно, что курил автор сего творения... Удачи.

    з.ы.: а топологию описать не мешало бы для полноты картины. че-т я не врубаюсь, при чем тут РРРоЕ, ВайФай, одна сетевая (?) и модем, подрубленный к свичу...

    Feci, quod potui, faciant meliora potentes...
  • soncheg Senior Member
    офлайн
    soncheg Senior Member

    645

    15 лет на сайте
    пользователь #146266

    Профиль
    Написать сообщение

    645
    # 14 сентября 2009 18:08

    2Galaxy

    Похоже специалисты по сетевым технологиям заняты, а вопрос интересный.

  • Galaxy Senior MemberАвтор темы
    офлайн
    Galaxy Senior Member Автор темы

    578

    21 год на сайте
    пользователь #4552

    Профиль
    Написать сообщение

    578
    # 14 сентября 2009 20:58

    -del-

  • adminius FBY Team
    офлайн
    adminius FBY Team

    19532

    17 лет на сайте
    пользователь #77998

    Профиль
    Написать сообщение

    19532
    # 15 сентября 2009 08:31

    Похоже специалисты по сетевым технологиям заняты, а вопрос интересный.

    ничего интересного в этом вопросе нет. а сеть построена глупо изначально. вот и все по сути. если на модеме поднят полноценный нат в обе стороны и прописаны руты нормально - никаких проблем достучаться до локальной сети не будет потому что керио используется не по назначению. вот и все.

    Feci, quod potui, faciant meliora potentes...
  • Galaxy Senior MemberАвтор темы
    офлайн
    Galaxy Senior Member Автор темы

    578

    21 год на сайте
    пользователь #4552

    Профиль
    Написать сообщение

    578
    # 15 сентября 2009 09:37
    adminius:

    Похоже специалисты по сетевым технологиям заняты, а вопрос интересный.

    ничего интересного в этом вопросе нет. а сеть построена глупо изначально. вот и все по сути. если на модеме поднят полноценный нат в обе стороны и прописаны руты нормально - никаких проблем достучаться до локальной сети не будет потому что керио используется не по назначению. вот и все.

    Уважаемый супер админ раскажите как же можно нf модеме включить нат :znaika: если он работает в режиме бриджа :insane: Вам же была сказано что pppoe поднимает керио, и керио используется как очень та и по назначению.

    Спецом для Вас переделаю вопрос по другому без керио.

    имеем

    1) комп, без файрвола и т.д. ip 192.168.2.2

    2) модем который настроен в режиме бридж 192.168.2.1

    3) pppoe поднимается на компьютере, статический ip xxx.xxx.xxx.xxx

    Даже без подния pppoe, модем работает в режиме прозрачного моста только между провайдером и локальной машиной, вот про этот канал связи я имел ввиду.

  • Galaxy Senior MemberАвтор темы
    офлайн
    Galaxy Senior Member Автор темы

    578

    21 год на сайте
    пользователь #4552

    Профиль
    Написать сообщение

    578
    # 15 сентября 2009 09:40
    adminius:

    а сеть построена глупо изначально. вот и все по сути. если на модеме поднят полноценный нат в обе стороны и прописаны руты нормально - никаких проблем достучаться до локальной сети не будет потому что керио используется не по назначению. вот и все.

    И расскажите чайнику как нужно построение сеть что была не глупо?

  • Galaxy Senior MemberАвтор темы
    офлайн
    Galaxy Senior Member Автор темы

    578

    21 год на сайте
    пользователь #4552

    Профиль
    Написать сообщение

    578
    # 15 сентября 2009 09:53

    мне нужен был просто такой ответ.

    Что модем работающий в режиме бриджа (прозрачного моста), несет от провайдера до компа пользователя только adsl, и пользоваться tcp ip, udp он не может, соответственно получить доступ в локальную сеть не может.

    P.S. И я для себя сделал вывод, что по такой технологии подключения вторая сетевая карта не нужа вообще.

  • lvmax Senior Member
    офлайн
    lvmax Senior Member

    957

    14 лет на сайте
    пользователь #179387

    Профиль
    Написать сообщение

    957
    # 15 сентября 2009 10:13
    Galaxy:

    мне нужен был просто такой ответ.

    Что модем работающий в режиме бриджа (прозрачного моста), несет от провайдера до компа пользователя только adsl, и пользоваться tcp ip, udp он не может, соответственно получить доступ в локальную сеть не может.

    P.S. И я для себя сделал вывод, что по такой технологии подключения вторая сетевая карта не нужа вообще.

    Садитесь, вам 2! Вывод сделан не верный. Модем "работающий в режиме бриджа (прозрачного моста), несет от провайдера до компа пользователя" любые протоколы (которые можно передать по Ethernet). Можете рассматривать его как обычный свитч (коммутатор) воткнутый в сеть провайдера.

  • Galaxy Senior MemberАвтор темы
    офлайн
    Galaxy Senior Member Автор темы

    578

    21 год на сайте
    пользователь #4552

    Профиль
    Написать сообщение

    578
    # 15 сентября 2009 10:23
    lvmax:

    Galaxy:

    мне нужен был просто такой ответ.

    Что модем работающий в режиме бриджа (прозрачного моста), несет от провайдера до компа пользователя только adsl, и пользоваться tcp ip, udp он не может, соответственно получить доступ в локальную сеть не может.

    P.S. И я для себя сделал вывод, что по такой технологии подключения вторая сетевая карта не нужа вообще.

    Садитесь, вам 2! Вывод сделан не верный. Модем "работающий в режиме бриджа (прозрачного моста), несет от провайдера до компа пользователя" любые протоколы (которые можно передать по Ethernet). Можете рассматривать его как обычный свитч (коммутатор) воткнутый в сеть провайдера.

    Спб, что заметили ;)

    Ну хоть кто то нашелся, а я то думал на этом сайте и спецов то нету.

    Т.Е. при использовании модема в бридже, провайдер может к пример взять из моего диапазона локальной сети любой свободный ip и зная имя пользователя и пароль получить полный доступ так или все же модем фильтрует на уровне железа пакеты для пропуская только для подключения pppoe?

  • lvmax Senior Member
    офлайн
    lvmax Senior Member

    957

    14 лет на сайте
    пользователь #179387

    Профиль
    Написать сообщение

    957
    # 15 сентября 2009 10:53

    Galaxy, Да, может. Модем ничего не фильтрует. И разный широковещательный флуд с ваших машин также уходит в сеть провайдера. Я же сказал, что можете рассматривать модем как обычный коммутатор Ethernet (в данном случае).

  • Galaxy Senior MemberАвтор темы
    офлайн
    Galaxy Senior Member Автор темы

    578

    21 год на сайте
    пользователь #4552

    Профиль
    Написать сообщение

    578
    # 15 сентября 2009 10:56
    lvmax:

    Galaxy, Да, может. Модем ничего не фильтрует. И разный широковещательный флуд с ваших машин также уходит в сеть провайдера. Я же сказал, что можете рассматривать модем как обычный коммутатор (в данном случае).

    Ок, спасибо Вам огромное :beer: я так и думал просто хотел убедится и вы подтвердили мои опасения.

    Да еще и пару человек

    вот нашел

    ADSL-модем в режиме моста - это по сути просто конвертер интерфейсов Ethernet - ADSL. Т.е. он как бы удлинняет вашу обычную Ethernet-сеть и для конечного пользователя не видно разницы между тем как если бы он работал просто по локальной сети и тем когда он работает через телефонную линию с подключением ADSL. Т.е. Ethernet-пакеты выходящие с сетевой карты компьютера практически в неизменном виде транслируются в телефонную линию. Для пользователя разница заметна лишь в скорости обмена информацией.

    Что все это означает для внутриофисной сети? Если внутриофисная сеть подключена в интернет через модем работающий в режиме моста, то компьютер(ы) внутриофисной сети становятся видны за пределами офиса. На практике это выглядит так. В сетевом окружении можно видеть совсем незнакомые компьютеры и даже зайти на них и скачать файлы. Вот оно, блюдечко с голубой каемочкой. Злоумышленнику и делать ничего не надо - сама компания выставила информацию на всеобщий доступ, остается только скачать ее.

  • adminius FBY Team
    офлайн
    adminius FBY Team

    19532

    17 лет на сайте
    пользователь #77998

    Профиль
    Написать сообщение

    19532
    # 15 сентября 2009 11:41

    И расскажите чайнику как нужно построение сеть что была не глупо?

    в комп в керио 2 сетевые и заюзать возможности керио на полную, с поднятием полноценного ната и написания правил. ессно разнесение воткнутых сетевых по разным подсетям. но не обязательно юзать керио - можно юзать в железе. можно юзать ИСА/Микротик/Чекпоинт... на что бабла хватит...

    Уважаемый супер админ раскажите как же можно нf модеме включить нат znaika.gif если он работает в режиме бриджа

    а режим бриджа был совсем не очевиден из вводных данных...

    Feci, quod potui, faciant meliora potentes...