Ограничение диапазона IP-адресов в локальной сети предприятия

[Sandynist]

Добрый день!

 

Подскажите, как ограничить диапазон IP-адресов в локальной сети предприятия, которому будет разрешён выход в интернет?

 

Сделать это собираюсь через маршрутизатор TP-Link TL-R480T+, установив в настройках маршрутизатора LAN параметр «Маска подсети» в значение 255.255.255.128, верно ли что при такой настройке я получу рабочее адресное пространство с диапазоном IP-адресов от 192.168.1.1 до 192.168.1.128, и только пользователи в этом диапазоне получат выход в интернет?

 

Или нужно будет ещё в каждом из компьютеров указать это в настройках сетевой карты? (сейчас в настройках сетевых карт на компьютерах указана маска подсети 255.255.255.0) 

[SQ]

Если сомневаешься с маской подсети, используй ip калькулятор онлайн, например: http://ip-calculator.ru/

Address: 192.168.1.1
Bitmask: 25
Netmask: 255.255.255.128
Wildcard: 0.0.0.127
Network: 192.168.1.0
HostMin: 192.168.1.1
HostMax: 192.168.1.126
Broadcast: 192.168.1.127
Hosts: 128

Изменено 30 ноября, 2014 пользователем SQ

[Sandynist]

Hosts: 128

 

Т.е. 128 подключённых компьютеров?

[SQ]

 

Hosts: 128

 

Т.е. 128 подключённых компьютеров?

 

да, только использовать сможешь диапазон 192.168.1.1 - 192.168.1.126

[Sandynist]

У меня в сети всего 75 компьютеров, мне даже 100 — это много.

 

Остался открытым вопрос — нужно ли менять маску подсети в настройках сетевых карт компьютеров? Или они и с маской 255.255.255.0 будут подключены к интернету на основании настроек маршрутизатора? 

Проверил методом тыка, дома у меня модем ADSL TP-Link 8840T, прописал в нём маску 255.255.255.128, забил в сетевую карточку адрес 192.168.1.133 — выхода в интернет нет, поставил адрес 192.168.1.125 — выход в интернет есть. Что и требовалось! @SQ, спасибо за содействие!

[Zaitsev Oleg]

Добрый день!

 

Подскажите, как ограничить диапазон IP-адресов в локальной сети предприятия, которому будет разрешён выход в интернет? 

Теоретически маска позволит сделать такое ограничение, но во первых не факт, а во вторых потом по закону Мерфи понадобится ПК X выпустить в Инет, а для ПК Y наоборот, Инет отключить. Это жизнь, и именно так и будет - и с масками такое делать крайне сложно будет. Имхо все куда проще, и ничего с масками не нужно мудрить ... у роутера туча удобных функций:

- п.п. 4.4 инструкции роутера, создание групп юзеров. Позволяет создавать именованные группы, типа "Юзеры с Интернет". Далее в группу добавляются юзеры, причем задается смысловое имя юзера и его IP

- п.п 4.5.2.2 - создание сложных правил ограничения трафика по группам. Для группы можно задать гибкий план ограничения, с указанием времени и дня недели (например, разрешить Инет в обеденное время с лимитом скорости  X)

- п.п .4.6.4 - контроль доступа. Позволяет создавать фильтры для групп (т.е. можно заданным группам блокировать доступ на любой URL кроме разрешенных, или например всем блокировать все, а избранным - разрешить)

- п.п. 4.6.4.3 Access Rules - позволяет разрешать и блокировать выход в Инет для заданных IP (причем правила могут быть сложнее лобовой блокировки, и вместо конкретного IP можно задать подсеть или, что самое удобное, группу из п.п. 4.4.)

Т.е. согласно п.п. 4.4 инструкции я бы создал группы "Пользователи с Инет" и "Пользователи без Инет", внес бы в них все ПК, и далее в Access Rules пара правил, что юзеров "Пользователи без Инет" не пускать никуда и никогда. И все, проблема решена ...

[Sandynist]

Я это всё прочитал. Дело в том, что несмотря на гибкие правила, создатели девайса не позаботились о поддержке хотя-бы 255 пользователей на вкладке User, поэтому все остальные плюшки и пряники бессмысленны, можно ввести только 128 пользователей и их раскидать по группам.

[SLASH_id]

А если так? 

Изменено 30 ноября, 2014 пользователем SLASH_id

[Sandynist]

Наверное можно и там, но у меня в 6-ой версии настраивается иначе, видимо тут: 

[SLASH_id]

Угу.

Наверное как-то так:

 

[Zaitsev Oleg]

Я это всё прочитал. Дело в том, что несмотря на гибкие правила, создатели девайса не позаботились о поддержке хотя-бы 255 пользователей на вкладке User, поэтому все остальные плюшки и пряники бессмысленны, можно ввести только 128 пользователей и их раскидать по группам.

Тогда диапазоны, как показал SLASH_id, но диапазоны плохо, так как сложно избирательно управлять пользователями внутри диапазона. Плюс есть смутные сомнения, что сотни юзеров данный роутер просто не потянет ... стоило бы подумать о его замене, например на Microtic (они мощные, возможностей туча, и при этом дешевые)

[SLASH_id]

@Zaitsev Oleg, Микротик мы не нашли в наличии когда выбирали роутер под лоад-баланс за вменяемые деньги.

 

В любом случае изначально задача не ставилась что роутером будет фильтроваться контент. Это уже попытки освоить возможные плюшки.

 

Контролем трафика должен заниматься софт на клиентских машинках или на прозрачном прокси.

[Sandynist]

 

Я это всё прочитал. Дело в том, что несмотря на гибкие правила, создатели девайса не позаботились о поддержке хотя-бы 255 пользователей на вкладке User, поэтому все остальные плюшки и пряники бессмысленны, можно ввести только 128 пользователей и их раскидать по группам.

.....................  есть смутные сомнения, что сотни юзеров данный роутер просто не потянет ... стоило бы подумать о его замене, например на Microtic (они мощные, возможностей туча, и при этом дешевые)

 

 Пользователей в сети всего 75, а разбивка пользователей до 255 была предпринята на всякий пожарный случай, с учётом варианта, что кто-то из пользователей может принести из дома с собой ноутбук и вбив левый IP-адрес в сетевую карту из диапазона, не прописанного в группы, устроить себе развлекуху в интернете.

 

Вот тут то и выявилось, что маршрутизатор более 128 пользователей на вкладке User не поддерживает, причём выявилось опытным путём, в инструкциях это не прописано.

[SLASH_id]

Ну так я и предлагаю выше для диапазона 128-255 запретить всё и всегда.

 

Остальное регулируется группами.

 

То есть если принусут бук, и вобьют адрес вне 1-128 то получат шиш с маслом, а если в диапазоне - получать ограничение группы.

Изменено 1 декабря, 2014 пользователем SLASH_id

[Caxap]

А не проще ли поставить второй маршрутизатор и с него распределять инет тем кому можно а тем кому нельзя - подключить к первому (ну или <->) ?