URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 66110
[ Назад ]

Исходное сообщение
"Пустить юзера в инет через шлюз но не пускать его в локальную сеть"
Отправлено pastorius , 05-Май-06 07:20

Собственно такая задача.
Подскажите каким образом можно такое реализовать?
Шлюз FreeBSD 4.11, сеть Win Active Directory

Содержание

Пустить юзера в инет через шлюз но не пускать его в локальну...,MoHaX, 08:03 , 05-Май-06
- Пустить юзера в инет через шлюз но не пускать его в локальну...,pastorius, 08:37 , 05-Май-06
  - Пустить юзера в инет через шлюз но не пускать его в локальну...,Gennadi, 09:17 , 05-Май-06
    - Пустить юзера в инет через шлюз но не пускать его в локальну...,Iv, 09:31 , 05-Май-06
      - Пустить юзера в инет через шлюз но не пускать его в локальну...,Iv, 09:37 , 05-Май-06
        
        Пустить юзера в инет через шлюз но не пускать его в локальну...,Gennadi, 10:11 , 05-Май-06
        
        Пустить юзера в инет через шлюз но не пускать его в локальну...,Iv, 10:30 , 05-Май-06
        
        Пустить юзера в инет через шлюз но не пускать его в локальну...,Gennadi, 10:37 , 05-Май-06
        
        Пустить юзера в инет через шлюз но не пускать его в локальну...,_KAV_, 10:47 , 05-Май-06
        
        Пустить юзера в инет через шлюз но не пускать его в локальну...,Gennadi, 12:13 , 05-Май-06
        
        Пустить юзера в инет через шлюз но не пускать его в локальну...,_KAV_, 12:53 , 05-Май-06
        
        Пустить юзера в инет через шлюз но не пускать его в локальну...,pastorius, 11:52 , 05-Май-06

Сообщения в этом обсуждении

"Пустить юзера в инет через шлюз но не пускать его в локальну..."
Отправлено MoHaX , 05-Май-06 08:03

>Собственно такая задача.
>Подскажите каким образом можно такое реализовать?
>Шлюз FreeBSD 4.11, сеть Win Active Directory
Фик чё поянл... Ну закрой файрволом локалку для это юзера. ВообЧем ничё не понятно. Говори конкретнее.

"Пустить юзера в инет через шлюз но не пускать его в локальну..."
Отправлено pastorius , 05-Май-06 08:37

>>Собственно такая задача.
>>Подскажите каким образом можно такое реализовать?
>>Шлюз FreeBSD 4.11, сеть Win Active Directory
>
>Фик чё поянл... Ну закрой файрволом локалку для это юзера. ВообЧем ничё
>не понятно. Говори конкретнее.

Мдя, прошу прощения, попробую описать подробнее.
На наше предприятие приходит чувак, так сказать из дружественной организации, ему даётся комп для работы, нужно чтобы он мог пользоваться нашим интернетом но чтоб у него не было доступа к нашей локальной сети и сетевым ресурсам.

"Пустить юзера в инет через шлюз но не пускать его в локальну..."
Отправлено Gennadi , 05-Май-06 09:17

>>>Собственно такая задача.
>>>Подскажите каким образом можно такое реализовать?
>>>Шлюз FreeBSD 4.11, сеть Win Active Directory
>>
>>Фик чё поянл... Ну закрой файрволом локалку для это юзера. ВообЧем ничё
>>не понятно. Говори конкретнее.
>
>
>Мдя, прошу прощения, попробую описать подробнее.
>На наше предприятие приходит чувак, так сказать из дружественной организации, ему даётся
>комп для работы, нужно чтобы он мог пользоваться нашим интернетом но
>чтоб у него не было доступа к нашей локальной сети и
>сетевым ресурсам.

Например:
Локаль 192.168.0.0/24 шлюз eth0:192.168.0.254
Делаешь гостям IP из сети 172.16.129.0/24, на шлюзе поднимаешь виртуальный девайс
eth0:0 172.16.129.254

"Пустить юзера в инет через шлюз но не пускать его в локальну..."
Отправлено Iv , 05-Май-06 09:31

>Например:
>
>Локаль 192.168.0.0/24 шлюз eth0:192.168.0.254
>
>Делаешь гостям IP из сети 172.16.129.0/24, на шлюзе поднимаешь виртуальный девайс
>
>eth0:0 172.16.129.254
Физический интерфейс понадежней

"Пустить юзера в инет через шлюз но не пускать его в локальну..."
Отправлено Iv , 05-Май-06 09:37

Что я на полуслове оборвался...
Машина приходящего товарищя явно неподконтрольна и он ведь может спокойно айпишник-то и поменять... лучше его в отдельный влан поселить, а если свич поддерживает контороль айпи адреса то закрепить на свиче за розеткой для приходящего товарища 1 айпишник, ну или еще одну сетевуху в роутер воткнуть.
Суть чтоб его трафик в любом случае шел через гоутер и его нельзя было бы обойти.

"Пустить юзера в инет через шлюз но не пускать его в локальну..."
Отправлено Gennadi , 05-Май-06 10:11

>Что я на полуслове оборвался...
>
>Машина приходящего товарищя явно неподконтрольна и он ведь может спокойно айпишник-то и
>поменять... лучше его в отдельный влан поселить, а если свич поддерживает
>контороль айпи адреса то закрепить на свиче за розеткой для приходящего
>товарища 1 айпишник, ну или еще одну сетевуху в роутер воткнуть.
>
>
>Суть чтоб его трафик в любом случае шел через гоутер и его
>нельзя было бы обойти.

А чё... гостям дают комр и права администратора на него, чтобы он мог айпи адрес менять?...
Ах какое это сладкое чувство - забирать права у юзера. :))))
Лучший юзер - это (мёртвый) юзер у которого вообще нет никаких прав. :))))

"Пустить юзера в инет через шлюз но не пускать его в локальну..."
Отправлено Iv , 05-Май-06 10:30

>>Что я на полуслове оборвался...
>>
>>Машина приходящего товарищя явно неподконтрольна и он ведь может спокойно айпишник-то и
>>поменять... лучше его в отдельный влан поселить, а если свич поддерживает
>>контороль айпи адреса то закрепить на свиче за розеткой для приходящего
>>товарища 1 айпишник, ну или еще одну сетевуху в роутер воткнуть.
>>
>>
>>Суть чтоб его трафик в любом случае шел через гоутер и его
>>нельзя было бы обойти.
>
>
>А чё... гостям дают комр и права администратора на него, чтобы он
>мог айпи адрес менять?...
>
>Ах какое это сладкое чувство - забирать права у юзера. :))))
>Лучший юзер - это (мёртвый) юзер у которого вообще нет никаких прав.
>:))))
Я почему-то подумал, что чел со СВОИМ ноутом приходит... отобрать у чувака права на его ЛИЧНЫЙ ноут, боюсь не получится никак :)

"Пустить юзера в инет через шлюз но не пускать его в локальну..."
Отправлено Gennadi , 05-Май-06 10:37

>Я почему-то подумал, что чел со СВОИМ ноутом приходит... отобрать у чувака
>права на его ЛИЧНЫЙ ноут, боюсь не получится никак :)

Для таких случаев нужно организоиать что-то типа DMZ.

"Пустить юзера в инет через шлюз но не пускать его в локальну..."
Отправлено _KAV_ , 05-Май-06 10:47

>Для таких случаев нужно организоиать что-то типа DMZ.
Ну, эт самое надежное... Но возможен и другой путь - есть же Win Active Directory
Нормально настроить виндовый домен и не включать в службу пришельческую машину. Все.

"Пустить юзера в инет через шлюз но не пускать его в локальну..."
Отправлено Gennadi , 05-Май-06 12:13

>>Для таких случаев нужно организоиать что-то типа DMZ.
>Ну, эт самое надежное... Но возможен и другой путь - есть же
>Win Active Directory
>Нормально настроить виндовый домен и не включать в службу пришельческую машину. Все.
>

Да... Но...
Если гость затащит из интернета какой-нибудь вирус... А вирусу глубоко наплевать на виндовый домен.. :(((((

"Пустить юзера в инет через шлюз но не пускать его в локальну..."
Отправлено _KAV_ , 05-Май-06 12:53

>>Нормально настроить виндовый домен и не включать в службу пришельческую машину. Все.
>Да... Но...
>Если гость затащит из интернета какой-нибудь вирус... А вирусу глубоко наплевать на
>виндовый домен.. :(((((
Ну, _нормально_ настроеный виндовый домен не такая уж слабая штука, как принято считать.
И - антивирусы и контроль сети уже отменены?

"Пустить юзера в инет через шлюз но не пускать его в локальну..."
Отправлено pastorius , 05-Май-06 11:52

>
>Я почему-то подумал, что чел со СВОИМ ноутом приходит... отобрать у чувака
>права на его ЛИЧНЫЙ ноут, боюсь не получится никак :)

Компьютер наш будет, так что айпишник он поменять не сможет