Нужно разделить компы на 2 группы: 1) доступна только локалка 2) есть и интернет и локалка. Как?

Question

[student_it]

Какой способ оптимален? Компы все с виндой (XP или 7).
Сейчас сделано так - на компах, где нужен доступ и в локалку, и в интернет стоит ДВЕ сетевые карты.
Для локалки адреса 192.168.0.*, для интернета - 192.168.1.*. Хотелось бы обойтись одной.

Answer 1

[Андрей Ермаченок]

Присоединяюсь к Алексей POS_troi - проще всего фильтровать на выходе в Инет.
Дальше зависит от реализации выхода в Инет - или белые (черные) списки MAC адресов на роутере, или авторизация на прокси по пользователям.
Чтобы еще что-то сказать - нужны подробности.

Comments

[ТыжСисАдмин]

Просто я не вижу смысла делить на вланы и т.п.
Темболее что это потребует некоторой беготни (если ip статикой на клиентах), а в этом случае лучше начать с пересмотрения топологии сети в общем и довести её до ума.

Как вариант - отдавать инет только по VPN, такое практикуется, но как по мне это бред :)

[student_it]

Да с сетью и так что-то придётся делать, по 2 сетевых карты на каждый комп с локалкой И интернетом - как-то многовато.

[Андрей Ермаченок]

student_it: То есть - вопрос решен, хоть и через жопу? И у всех всё работает?
Тогда зачем трогать? Кого не устраивает эта ситуация? Руководство готово финансировать "наведение красоты"?

Answer 2

[Saboteur]

Во-первых я не понял чем у вас две сетевые карты занимаются, если адреса одинаковые.
Во-вторых поставьте DHCP и прокси, на прокси настройте диапазон IP адресов с доступом в интернет, и на DHCP сервере делайте резервацию для тех, у кого должен быть доступ в соответствующем диапазоне, а остальным раздавайте адреса у которых доступа нет.

Comments

[Saboteur]

AllKnowerHou: Снова не понял.
"Для локалки адреса 192.168.1.*, для интернета - 192.168.1.*."

Для начала, на одной сетевой карточке можно сделать два IP адреса.
Можно еще грубее настроить - тупо сделать локалку без default gateway, а кому нужен инет, вручную добавить еще один IP адрес с подсетью, в которой доступен сервер-гейтвей в инет, и указать гейтвей.

Тогда по локалке они будут ходить по 192.168.1.x, без гейтвея, по инету - другую локалку сделать, ту же 196.168.2.x

Но проще firewall, IP резервация на DHCP и всех в одну сеть, без извратов.

[Saboteur]

AllKnowerHou:
1. Не груби старшим
2. Если в компе две сетевые карты и адреса обеих карт из одной и той же подсети, то какой в этом смысл?
Смысл, если делать две РАЗНЫЕ подсети с разным доступом.

[student_it]

Сергей: "Для локалки адреса 192.168.1.*, для интернета - 192.168.1.*." - там ошибка была. Для локалки - 192.168.0.*, для интернета - 192.168.1.*.

[Saboteur]

student_it: ну тогда все просто. Но два IP можно было настроить и на одной сетевушке.

Answer 3

[ТыжСисАдмин]

Простейший способ (без внесения изменений в логическую схему сети) - firewall на выходе с фильтрацией трафика неугодных.

Answer 4

[Макс]

доступ в интернет ограничиваем по компьютерам или по пользователям?
хотя в любом случае я бы посоветовал обратить пристальное внимание на новейшее изобретение - прокси сервер.
теперь отринув сарказм. Прокся - умеет пускать/не пускать в инет как на основании ip компьютера, так и на основании имени пользователя. плюс - всякие плюшки типа статистики использования, антивирусного контроля трафика, блокировки всяких банеров/соцсетей/видео и т.д

Answer 5

[seekinganswers]

Да все верно написали уже выше, фаервол разграничить по ip доступ к интернет порту и верно все предлагали способ через DHCP.
Я Вам подскажу по оборудованию, самый просто и дешевый способ купить роултер(хотя мне страшно его так называть) MICROTIC и в настройках там уже все прописать.
https://market.yandex.ru/product/12358922?hid=723087 - это моделька подойдет до 20 пользователей(у кого есть выход интернет)
https://market.yandex.ru/product/9263634?hid=723087 А это если свыше 30.
Будут вопросы задавайте.

Answer 6

[efkot]

Быстро и просто ставим всем одну сетевуху и на ней сеть 192.168.1.*/24 всем кому нужен инет прописываем шлюз и dns, остальным нет, профит! Если народ в компах не шарит то все норм пользуемся, а если шарит то тогда шлюз не ставим а прописываем руками "route add 0.0.0.0 mask 0.0.0.0 ....."

Answer 7

[sharkirill]

Создать 2 vlanа, соответственно 2 подсети, например 192.168.1.0/25 и 192.168.1.128/25. На сетку кому доступна только локалка повесить ACL permit ip 192.168.1.0 0.0.0.127 192.168.1.128 0.0.0.127.

Comments

[student_it]

Это всё в роутере делается?

[sharkirill]

Да.

[sharkirill]

Можете еще прокси поднять, заруливать весь внешний трафик туда, а на прокси давать интернет по группам.

[Макс]

student_it: VLAN - нет, это параметр порта на коммутаторе. Если они у Вас неуправляемые - ничего не получится.

[sharkirill]

Вообще-то маршрутизаторы тоже понимают инкапсуляцию dot1q.

[student_it]

Насчёт ACL - я так понял, это блокировка доступа в интернет по диапазону IP (локальных)?

Answer 8

[Евгений]

quick and dirty :
Первая группа имеет маршруты только на локальные сети, вторая группа - на всё.
При отсутствии админских прав самостоятельно поправить таблицу маршрутизации не смогут.
Реализовать можно как руками (если компьютера 2-3) так и через DHCP (потребуются резервирование адресов и прописывание в резервации соответствующих настроек).
P.S. у меня таких компьютеров(первая группа) два - мне проще было сделать так =)

Альтернативно (и более верно) - настроить сетевое оборудование.

Comments

[student_it]

Первый вариант не подходит. Компов много и почти везде админские права.