Перейти к содержанию

Ограничение диапазона IP-адресов в локальной сети предприятия


Рекомендуемые сообщения

Опубликовано

Добрый день!

 

Подскажите, как ограничить диапазон IP-адресов в локальной сети предприятия, которому будет разрешён выход в интернет?

 

Сделать это собираюсь через маршрутизатор TP-Link TL-R480T+, установив в настройках маршрутизатора LAN параметр «Маска подсети» в значение 255.255.255.128, верно ли что при такой настройке я получу рабочее адресное пространство с диапазоном IP-адресов от 192.168.1.1 до 192.168.1.128, и только пользователи в этом диапазоне получат выход в интернет?

 

Или нужно будет ещё в каждом из компьютеров указать это в настройках сетевой карты? (сейчас в настройках сетевых карт на компьютерах указана маска подсети 255.255.255.0) 

post-860-0-78414100-1417333215_thumb.png

Опубликовано (изменено)

Если сомневаешься с маской подсети, используй ip калькулятор онлайн, например: http://ip-calculator.ru/

Address: 192.168.1.1
Bitmask: 25
Netmask: 255.255.255.128
Wildcard: 0.0.0.127
Network: 192.168.1.0
HostMin: 192.168.1.1
HostMax: 192.168.1.126
Broadcast: 192.168.1.127
Hosts: 128

Изменено пользователем SQ
  • Спасибо (+1) 1
Опубликовано

Hosts: 128

 

Т.е. 128 подключённых компьютеров?

Опубликовано

 

Hosts: 128

 

Т.е. 128 подключённых компьютеров?

 

да, только использовать сможешь диапазон 192.168.1.1 - 192.168.1.126

  • Согласен 1
Опубликовано

У меня в сети всего 75 компьютеров, мне даже 100 — это много.

 

Остался открытым вопрос — нужно ли менять маску подсети в настройках сетевых карт компьютеров? Или они и с маской 255.255.255.0 будут подключены к интернету на основании настроек маршрутизатора? 


Проверил методом тыка, дома у меня модем ADSL TP-Link 8840T, прописал в нём маску 255.255.255.128, забил в сетевую карточку адрес 192.168.1.133 — выхода в интернет нет, поставил адрес 192.168.1.125 — выход в интернет есть. Что и требовалось! @SQ, спасибо за содействие!

post-860-0-70368400-1417336148_thumb.png

post-860-0-24973400-1417336157_thumb.png

Опубликовано

Добрый день!

 

Подскажите, как ограничить диапазон IP-адресов в локальной сети предприятия, которому будет разрешён выход в интернет? 

Теоретически маска позволит сделать такое ограничение, но во первых не факт, а во вторых потом по закону Мерфи понадобится ПК X выпустить в Инет, а для ПК Y наоборот, Инет отключить. Это жизнь, и именно так и будет - и с масками такое делать крайне сложно будет. Имхо все куда проще, и ничего с масками не нужно мудрить ... у роутера туча удобных функций:

- п.п. 4.4 инструкции роутера, создание групп юзеров. Позволяет создавать именованные группы, типа "Юзеры с Интернет". Далее в группу добавляются юзеры, причем задается смысловое имя юзера и его IP

- п.п 4.5.2.2 - создание сложных правил ограничения трафика по группам. Для группы можно задать гибкий план ограничения, с указанием времени и дня недели (например, разрешить Инет в обеденное время с лимитом скорости  X)

- п.п .4.6.4 - контроль доступа. Позволяет создавать фильтры для групп (т.е. можно заданным группам блокировать доступ на любой URL кроме разрешенных, или например всем блокировать все, а избранным - разрешить)

- п.п. 4.6.4.3 Access Rules - позволяет разрешать и блокировать выход в Инет для заданных IP (причем правила могут быть сложнее лобовой блокировки, и вместо конкретного IP можно задать подсеть или, что самое удобное, группу из п.п. 4.4.)

Т.е. согласно п.п. 4.4 инструкции я бы создал группы "Пользователи с Инет" и "Пользователи без Инет", внес бы в них все ПК, и далее в Access Rules пара правил, что юзеров "Пользователи без Инет" не пускать никуда и никогда. И все, проблема решена ...

Опубликовано

Я это всё прочитал. Дело в том, что несмотря на гибкие правила, создатели девайса не позаботились о поддержке хотя-бы 255 пользователей на вкладке User, поэтому все остальные плюшки и пряники бессмысленны, можно ввести только 128 пользователей и их раскидать по группам.

Опубликовано (изменено)

А если так? 

d4548909b3c5.jpg

Изменено пользователем SLASH_id
Опубликовано

Наверное можно и там, но у меня в 6-ой версии настраивается иначе, видимо тут: 

post-860-0-17636700-1417344216_thumb.png

Опубликовано

Угу.

Наверное как-то так:

 

ede283b19632.jpg

Опубликовано

Я это всё прочитал. Дело в том, что несмотря на гибкие правила, создатели девайса не позаботились о поддержке хотя-бы 255 пользователей на вкладке User, поэтому все остальные плюшки и пряники бессмысленны, можно ввести только 128 пользователей и их раскидать по группам.

Тогда диапазоны, как показал SLASH_id, но диапазоны плохо, так как сложно избирательно управлять пользователями внутри диапазона. Плюс есть смутные сомнения, что сотни юзеров данный роутер просто не потянет ... стоило бы подумать о его замене, например на Microtic (они мощные, возможностей туча, и при этом дешевые)

Опубликовано

@Zaitsev Oleg, Микротик мы не нашли в наличии когда выбирали роутер под лоад-баланс за вменяемые деньги.

 

В любом случае изначально задача не ставилась что роутером будет фильтроваться контент. Это уже попытки освоить возможные плюшки.

 

Контролем трафика должен заниматься софт на клиентских машинках или на прозрачном прокси.

Опубликовано

 

Я это всё прочитал. Дело в том, что несмотря на гибкие правила, создатели девайса не позаботились о поддержке хотя-бы 255 пользователей на вкладке User, поэтому все остальные плюшки и пряники бессмысленны, можно ввести только 128 пользователей и их раскидать по группам.

.....................  есть смутные сомнения, что сотни юзеров данный роутер просто не потянет ... стоило бы подумать о его замене, например на Microtic (они мощные, возможностей туча, и при этом дешевые)

 

 Пользователей в сети всего 75, а разбивка пользователей до 255 была предпринята на всякий пожарный случай, с учётом варианта, что кто-то из пользователей может принести из дома с собой ноутбук и вбив левый IP-адрес в сетевую карту из диапазона, не прописанного в группы, устроить себе развлекуху в интернете.

 

Вот тут то и выявилось, что маршрутизатор более 128 пользователей на вкладке User не поддерживает, причём выявилось опытным путём, в инструкциях это не прописано.

Опубликовано (изменено)

Ну так я и предлагаю выше для диапазона 128-255 запретить всё и всегда.

 

Остальное регулируется группами.

 

То есть если принусут бук, и вобьют адрес вне 1-128 то получат шиш с маслом, а если в диапазоне - получать ограничение группы.

Изменено пользователем SLASH_id
  • Согласен 2
Опубликовано

А не проще ли поставить второй маршрутизатор и с него распределять инет тем кому можно а тем кому нельзя - подключить к первому (ну или <->) ?

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Rezored
      Автор Rezored
      Здравствуйте. Сделал по инструкции изолированный сервер https://support.kaspersky.com/KSC/14.2/ru-ru/230777.htm , но список уязвимостей формирует .bin файлы 0 длины, подскажите как можно это исправить или где посмотреть логи ошибок?
    • Kavunchik
      Автор Kavunchik
      логи дрвеб.rar При попытке зайти в настройки сети меня просто выкидывает, значок сети отсутствует вовсе, хотя интернет есть и работает. Скан системы не показывает упущенных файлов. Восстановление компьютера к исходному не дает из за невозможности найти среду для восстановления. Чувствую что компьютер начал работать слабее, также есть впечатление, что проблемы могут быть и с сетью. Названия которые выдавал Др.Веб Trojan.Siggen 31.46344, но даже после нескольких удалений он находил его повторно там же. Также HOSTS:MALWARE.URL.
       
    • Bookman
      Автор Bookman
      Здравствуйте!
      Кто знает чем продиктованы ограничения на символы в паролях? Например на этом сайте запрещён символ "=". Этот символ есть в таблице ASCII-кодов, непонятно. При определённой организации информационной безопасности это создаёт небольшие проблемы.
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Технологии и техника."
    • Rex-fdf654
    • Artem1994
      Автор Artem1994
      Здравствуйте. Установил по глупости вирус-майнер с зараженной игрой, путем поиска информации по разным форумам, с помощью Rkill разблокировал компьютер, чтобы он не вылетал с браузера и папки Program data (к чему приводил майнер), потом запустил DrWeb Cureit, который удалил вирусы, потом еще запустил AV block remover на поиск проблем, проблемы не найдены, также почистил, получив в ручном режиме отобранные разрешения, папки, созданные майнером в Program data/Program Files, которые были скрыты как системные и назывались именами антивирусов и других популярных программ. Хотел узнать есть ли остатки вируса на компьютере? И самое главное, не блокируется ли больше Windows Defender, потому что майнер его блокировал, хотя он работал, но майнера не видел и так не увидел вирус, даже после разблокировки компьютера rKillом. Это интересует, так как использую Windows Defender как единственный антивирус на компьютере. Логи прикрепляю. 
      CollectionLog-2025.04.26-22.44.zip
×
×
  • Создать...