• Как ограничить доступ в интернет на удаленном хосте?

    HemulGM
    @HemulGM
    Delphi Developer, сис. админ
    Управлять машиной не через RDP, а через средства виртуализации.

    RDP - сетевой протокол. Нет сети - нет протокола.

    Вариант ответа на скорректированный вопрос:
    Можно указать фейковые DNS, что не позволит получить адрес нужного хоста любому софту. А ты подключаться сможешь как и раньше.
    P.S. Не забыть выполнить flushdns после установки DNS.
    Ответ написан
    3 комментария
  • За что отвечают адреса 192.168.0.1 и 128.0.0.1 и почему именно эти адреса?

    Jump
    @Jump
    Системный администратор со стажем.
    Давно слышал, что адрес 128.0.0.1 идентичен адресу "localhost" и используются,
    Неправильно
    Адрес 127.0.0.1 как и вся /8 сеть это loopback обратная петля, адрес того компьютера с которого отправлен запрос.
    Имя localhost как правило присвоено именно этому адресу.

    и используются, если на компьютере "делают сервер".
    Не понятно при чем тут сервер, и что значит "делают сервер" но это вообще никакого отношения не имеет.

    Потом узнал, что есть адреса 192.168.x.x, которые тоже ведут на локальные данные
    Есть специальные диапазоны адресов которые можно свободно использовать в своих сетях-
    10.0.0.0 — 10.255.255.255
    100.64.0.0 — 100.127.255.255
    172.16.0.0 — 172.31.255.255
    192.168.0.0 — 192.168.255.255
    Это так называемые серые или частные IP адреса. Эти адреса не маршрутизируются в глобальной сети!
    Т.е у вас может быть адрес 192.168.0.1, у вашего соседа такой же адрес, и вообще миллионы устройств с таким адресом.
    Но попасть на такой адрес можно только из локальной сети, из интернета он недоступен.

    А все остальные кроме loopback, частных и еще некоторых специальных маршрутизируются в глобальной сети.

    Почему именно эти значения IP выделили под нужды локального сервера и попадания в настройки роутера?
    Потому что именно эти адреса вы можете использовать сами, никого не спрашивая.
    А вот чтобы присвоить себе адрес например 195.168.0.1 нужно его для начала арендовать, оформить на него документы и он будет доступен в глобальной сети.
    Ответ написан
    8 комментариев
  • А какие инструменты backup файлового хранилища у вас?

    Есть отличное встроенное средство - Windows Backup. Или wbadmin.exe
    Ответ написан
    Комментировать
  • Зачем нужно знать о сетевой модели OSI?

    vvpoloskin
    @vvpoloskin Куратор тега Компьютерные сети
    Инженер связи
    Существует большое количество сетей и технологий их организации помимо TCP/IP. Грамотный сетевой инженер должен понимать, с какого момента у них начинаются отличия. Чем отличаются v4 от v6, как работает ISDN, где заканчивается SDH и какую роль играет DWDM, где надо использовать VSAT и где SCPC, как понять SS7 и на каком уровне включить для него SIGTRAN на определенном участке сети...
    Ответ написан
    Комментировать
  • Как выдать удостоверяющие сертификаты в локальной сети для внутренних сервисов в IIS (не self-signed)?

    CityCat4
    @CityCat4
    //COPY01 EXEC PGM=IEBGENER
    Нет понятия "IIS сертификат". Есть SSL-сертификат, который некто создает. Цепочка всегда одна и та же - есть или создается CA, сертификат которого копируется на все машины в хранилище доверенных корневых сертификатов - Вам придется это делать вручную, если бы был домен, это делается политиками.
    После этого создаются запросы на сертификаты и выпускаются сами сертификаты. Вам - только колхозить на OpenSSL для Windows, если бы был домен, можно было бы службу поднять. Это не исключило бы необходимость колхоза, но значительно бы снизило его сложность.
    - должен ли этот сервер иметь свой собственный сертификат для подписи тех, что он выдает другим серверам?

    Да, конечно. Вам - колхозить его руками, при наличии домена он генерится автоматом
    - если его надо сначала будет скопировать на все клиентские машины,

    Надо. Причем не просто так скопировать, а установить в хранилище доверенных корневых сертификатов
    Или я могу использовать любой свой с Let's Encrypt и от него далее по цепочке генерить дочерние?

    Нет. Ни один мировой CA не даст Вам сертификата subCA
    - должен ли PKI сервис быть все время запущен, чтоб с других машин браузеры могли бы запрашивать его на валидность внутренних сертификатов?

    Вообще такая штука есть, OCSP называется, но это не про Вас. Если Вам край как нужна валидность - вставляйте CDP и выкладывайте CRL
    - будет ли выданный PKI сертификат выдан на имя сервера в интранет (например: SERVER001 или SERVER001.local)?

    Как напишете, так и будет.
    Ответ написан
    4 комментария
  • Как ограничить доступ в подсети?

    mindtester
    @mindtester
    http://iczin.su/hexagram_48
    Есть только ПК, являющийся шлюзом 192.168.0.1
    он не при делах внутри сети
    Как одному из компьютеров дать доступ ТОЛЬКО к одному ip из этой подсети?

    1 - можно настроить в ручную адреса на целевом компе:
    - для его собственной работы, в ручную прописать правильные ip, шлюз и днс (проследить что бы ip, был вне диапазона DHCP, а то рано или поздно произойдет конфликт адресов и сбой сети)
    - прописать на нем же второй адрес из другой подсети, допустим 192.168.10.1/24
    - на компе подвергаемом ограничениям, только один адрес, допустим 192.168.10.2/24, шлюз и днс не обязательны, ибо их в этой подсети нет
    .. возможно придется повозиться с настройками сетей - вторичная сеть должна быть частной у обоих компов, иначе ни чего не заработает. может потребоваться использование фала hosts. в общем место для творчества наверняка найдется

    2 - если сетевые карты всех компов поддерживают vlan - изучить что это такое и развести по vlan

    в любом случае самообразованием заниматься придется. но все решаемо

    ps - но если пользователь грамотный - это все будет в пустую (... или права урезать? смотреть надо)

    upd исправлена копипаста! (доп.сеть - 192.168.10.*)

    pps - а вообще - какая цель? может все гораздо проще?
    - доступ к файловым ресурсам и принтерам, можно развести по юзернеймам/паролям. свободные шары запретить
    - выход в интернет забанить персонально на шлюзе. гугл в помощ по ПО шлюза, но если там просто винда - своего фаервола за уши хватит для бана конкретного ip. просто на арестанте придется ставить фиксированный ip что бы все работало
    ... ну или смотрите сами что проще
    Ответ написан
    Комментировать
  • Почему частные IP адреса именно такие?

    vvpoloskin
    @vvpoloskin Куратор тега Компьютерные сети
    Инженер связи
    Ответ от создателей RFC1918.
    Ответ написан
    1 комментарий
  • Как автоматизировать установку компонентов windows и деплой приложения IIS?

    @LiS-31
    Как раз для этих целей MS создали PowerShell Desaired State Configuration (DSC), это такой аналог Puppet или Ansible от MS.
    Принцип его работы в следующем:
    Вы на PowerShell, используя ресурсы DSC, описываете что хотите получить в итоге и формируете файл конфигурации в формате MOF. Затем на нужных машинах выполняете команду применения конфигурации:
    start-dscconfigeration -path ./config.mof
    Ресурс DSC это такая макро команда, которая имеет 2 основных функции Test и Config (названия условны). Сперва функция Test определяет текущее состояние системы и формирует список отличий, от требуемого. Затем команда Config приводит к описанному в конфигурации состоянию.
    В конфигурации есть много возможностей описать порядок применения ресурсов, если необходимо их выполнение в определенной последовательности. Можно запускать часть команд параллельно, но следующий этап выполнять только после их завершения.
    Есть достаточно сырая, и заточенная под облако Azure, система централизованного управления конфигурациями.
    Ответ написан
    Комментировать
  • Чем развернуть образы windows по лок. сети?

    Francyz
    @Francyz
    Photographer & SysAdmin
    Гуглите PXE, Windows ADK, Windows Deployment Services (WDS), Microsoft Deployment Toolkit (MDT).
    Ответ написан
    3 комментария
  • Есть ли полноценные cmd для windows?

    fox_12
    @fox_12
    Расставляю биты, управляю заряженными частицами
    2 комментария
  • Группируете ли вы серверы в VLAN?

    Jump
    @Jump
    Системный администратор со стажем.
    Как правильно?
    Правильно так, как удобно для решения ваших задач.
    Поскольку неизвестно какие именно задачи вы пытаетесь решить с помощью VLAN, невозможно сказать какое решение правильно.
    Ответ написан
    4 комментария
  • Как добавить расширение к имени файла (автоматизировать)?

    tsklab
    @tsklab
    Здесь отвечаю на вопросы.
    Можно добавить ко всем: file.jpg.jpg всё равно останется jpg.
    forfiles /?
    Ответ написан
    Комментировать
  • Практика в компьютерных сетях?

    vvpoloskin
    @vvpoloskin Куратор тега Компьютерные сети
    Инженер связи
    Лучше взять цикл СДСМ и проделать лабы как там написано по ходу прочтения глав.
    Ответ написан
    Комментировать
  • Как ограничить пользователей удаленного рабочего стола?

    Jump
    @Jump
    Системный администратор со стажем.
    Так же они могут выключать сервер, ставить ПО и так далее. Почему так происходит? Я же не давал им администраторов.
    Значит ваши пользователи имеют права администратора.

    как огранить пользователей до уровня "Пользуйся чем дают", по убирать из меню ПУСК все программы которые их не касаются и вообще запретить трогать сервер?
    gpedit.msc - Политики ограниченного использования программ
    Ответ написан
    Комментировать
  • Как узнать, какое правило брандмауэра блокирует доступ в другие подсети?

    Diman89
    @Diman89
    Если определить так не можете - отключите файрволл полностью и включайте правила по-одному - простым перебором найдете виновника
    Ответ написан
    Комментировать
  • Как в брандмауэре Windows разрешить весь локальный трафик?

    chupasaurus
    @chupasaurus
    Сею рефлекторное, злое, временное
    Вводить в cmd/powershell, синтаксис по документации и не проверялся, потому что у меня пингвин.
    Два путя:
    1. Для настроенных на сетевом интерфейсе подсетей:
      netsh advfirewall firewall add rule action=allow protocol=any remoteip=localsubnet profile=any

    2. Разрешить любой трафик для подсетей, зарезервированных для локалок (3 правила, т.к. можно указать только одну подсеть):
      netsh advfirewall firewall add rule action=allow protocol=any profile=any remoteip=10.0.0.0/8

      netsh advfirewall firewall add rule action=allow protocol=any profile=any remoteip=172.16.0.0/12
      netsh advfirewall firewall add rule action=allow protocol=any profile=any remoteip=192.168.0.0/16


    Напоминаю, что у запрещающих правил есть приоритет.
    Ответ написан
    1 комментарий