Ответить
  • lvmax Senior Member
    офлайн
    lvmax Senior Member

    957

    14 лет на сайте
    пользователь #179387

    Профиль
    Написать сообщение

    957
    # 15 сентября 2009 11:47
    Galaxy:


    Что все это означает для внутриофисной сети? Если внутриофисная сеть подключена в интернет через модем работающий в режиме моста, то компьютер(ы) внутриофисной сети становятся видны за пределами офиса. На практике это выглядит так. В сетевом окружении можно видеть совсем незнакомые компьютеры и даже зайти на них и скачать файлы. Вот оно, блюдечко с голубой каемочкой. Злоумышленнику и делать ничего не надо - сама компания выставила информацию на всеобщий доступ, остается только скачать ее.

    Не совсем так. Провайдер может блокировать Ethernet трафик между абонентскими портами своих коммутаторов с помощью VLAN-ов. Тут уже зависит от того, как настроен отдельно взятый коммутатор у конкретного провайдера.

  • Galaxy Senior MemberАвтор темы
    офлайн
    Galaxy Senior Member Автор темы

    578

    21 год на сайте
    пользователь #4552

    Профиль
    Написать сообщение

    578
    # 15 сентября 2009 12:34
    adminius:

    И расскажите чайнику как нужно построение сеть что была не глупо?

    в комп в керио 2 сетевые и заюзать возможности керио на полную, с поднятием полноценного ната и написания правил. ессно разнесение воткнутых сетевых по разным подсетям. но не обязательно юзать керио - можно юзать в железе. можно юзать ИСА/Микротик/Чекпоинт... на что бабла хватит...

    Уважаемый супер админ раскажите как же можно нf модеме включить нат znaika.gif если он работает в режиме бриджа

    а режим бриджа был совсем не очевиден из вводных данных...

    Ну что Вы, я же писал, что нету физической возможности и есть на это причины!!! Они сделали ремонт , туда даже телефон не проведен не говоря о сетке, а еще на точку доступа wifi и карточку wifi народ не хочет тратиться, а в короба ложить не хотят вид портится, мало того второй их офис находится около 80 метров по коридору слава богу хоть на этом этаже.

    даже и по такой схеме подключения получаются два интерфеса

    1) wifi (локальная сеть и свзязь с модемом)

    2) pppoe (выход в инет)

    Что и позволяет полноценно настроить керио и использовать его на полную, совсеми учетам трафиком пользователей а так же указывать статические маршруты, ограничевать, да все что угодна. За исключением интересующего меня вопроса о этой бреши.

    Ну как же не был, по логике можно была же понять если pppoe поднимается на машине а не модеме, значит в режиме бриджа, или можно на машине поднять Pppoe когда модем в режиме роута?

    Если да, тогда отличное решения данной проблемы ограничения доступа возможной атаки от провайдера.

  • lvmax Senior Member
    офлайн
    lvmax Senior Member

    957

    14 лет на сайте
    пользователь #179387

    Профиль
    Написать сообщение

    957
    # 15 сентября 2009 13:18

    Galaxy,

    1) wifi (локальная сеть и свзязь с модемом)

    2) pppoe (выход в инет)

    Вы путаетесь в уровнях. Не WiFi и PPPoE, а WiFi и Ethernet.

    или можно на машине поднять Pppoe когда модем в режиме роута?

    Если да, тогда отличное решения данной проблемы ограничения доступа возможной атаки от провайдера.

    Да, обычно можно. Ищите опцию PPPoE Pass Through или Bridge PPPoE frames.

  • adminius FBY Team
    офлайн
    adminius FBY Team

    19532

    17 лет на сайте
    пользователь #77998

    Профиль
    Написать сообщение

    19532
    # 15 сентября 2009 13:48

    даже и по такой схеме подключения получаются два интерфеса

    1) wifi (локальная сеть и свзязь с модемом)

    2) pppoe (выход в инет)

    два логических интерфейса. не физически. от описанной в первом посте уязвимости они не спасут. и вряд ли провайдер будет заморачиваться с ВПН... был случай в практике, когда файрволл был атакован вирусом из сети провайдера... так что...

    а логическое разделение по интерфейсам без разнесения по ВЛАН/разным сетевым - это все филькина грамота, пока не появиться продвинутый юзер и не пропишет у себя нужный шлюз и не подсмотрит параметры РРРоЕ... а потом начнеться :D

    Feci, quod potui, faciant meliora potentes...
  • Galaxy Senior MemberАвтор темы
    офлайн
    Galaxy Senior Member Автор темы

    578

    21 год на сайте
    пользователь #4552

    Профиль
    Написать сообщение

    578
    # 15 сентября 2009 14:22
    lvmax:

    Вы путаетесь в уровнях. Не WiFi и PPPoE, а WiFi и Ethernet.

    Может и путаю вот схема подключения

    модем zyxel 660 hwt ( wifi & 4port lan) 192.168.1.1

    Cервер w2003 & kerio подключен к модему при помощи wifi, через dlink 2100 который подключен на сетеву карточку сервера 192.168.1.2

    Керио DHCP 192.168.1.100-120 шлюз 192.168.1.2 dns 192.168.1.2, включен нат.

    Все клиентские машины подключаются через wifi получаю адреса от dhcp (kerio)

    вот итерфейсы от сервера

    Подключение по локальной сети - Ethernet адаптер: (от точки приема сигнала по wifi

    DNS-суффикс этого подключения . . :

    Описание . . . . . . . . . . . . : NVIDIA nForce Networking Controller

    Физический адрес. . . . . . . . . : 00-E0-4D-хххххххххх

    DHCP включен. . . . . . . . . . . : нет

    IP-адрес . . . . . . . . . . . . : 192.168.1.2

    Маска подсети . . . . . . . . . . : 255.255.255.0

    Основной шлюз . . . . . . . . . . :

    Atlant - PPP адаптер:

    DNS-суффикс этого подключения . . :

    Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface

    Физический адрес. . . . . . . . . : 00-53-хххххххххххх

    DHCP включен. . . . . . . . . . . : нет

    IP-адрес . . . . . . . . . . . . : 91.149.ххх.ххх

    Маска подсети . . . . . . . . . . : 255.255.255.255

    Основной шлюз . . . . . . . . . . : 91.149.ххх.ххх

    DNS-серверы . . . . . . . . . . . : 213.184.225.37

    213.184.224.254

    NetBIOS через TCP/IP. . . . . . . : отключен

    Да, обычно можно. Ищите опцию PPPoE Pass Through или Bridge PPPoE frames.

    Значит переведу модем в роут если получится а pppoe оставлю на сервере.

    Ух лучше бы конечно 2 сетевухи, но кто патит тот и заказывает музыку ;)

  • Galaxy Senior MemberАвтор темы
    офлайн
    Galaxy Senior Member Автор темы

    578

    21 год на сайте
    пользователь #4552

    Профиль
    Написать сообщение

    578
    # 15 сентября 2009 14:25
    adminius:

    даже и по такой схеме подключения получаются два интерфеса

    1) wifi (локальная сеть и свзязь с модемом)

    2) pppoe (выход в инет)

    два логических интерфейса. не физически. от описанной в первом посте уязвимости они не спасут. и вряд ли провайдер будет заморачиваться с ВПН... был случай в практике, когда файрволл был атакован вирусом из сети провайдера... так что...

    а логическое разделение по интерфейсам без разнесения по ВЛАН/разным сетевым - это все филькина грамота, пока не появиться продвинутый юзер и не пропишет у себя нужный шлюз и не подсмотрит параметры РРРоЕ... а потом начнеться :D

    ок, спб :beer:

  • adminius FBY Team
    офлайн
    adminius FBY Team

    19532

    17 лет на сайте
    пользователь #77998

    Профиль
    Написать сообщение

    19532
    # 15 сентября 2009 14:29

    Galaxy, поставить в сервак вторую ВайФай карту. Цена вопроса на сегодня просто копейки.

    Feci, quod potui, faciant meliora potentes...