Перейти к содержанию

Ограничение диапазона IP-адресов в локальной сети предприятия

Sandynist

Автор Sandynist
в Компьютерная помощь

 Поделиться

Рекомендуемые сообщения

Sandynist

Sandynist

Опубликовано
Опубликовано

Добрый день!

 

Подскажите, как ограничить диапазон IP-адресов в локальной сети предприятия, которому будет разрешён выход в интернет?

 

Сделать это собираюсь через маршрутизатор TP-Link TL-R480T+, установив в настройках маршрутизатора LAN параметр «Маска подсети» в значение 255.255.255.128, верно ли что при такой настройке я получу рабочее адресное пространство с диапазоном IP-адресов от 192.168.1.1 до 192.168.1.128, и только пользователи в этом диапазоне получат выход в интернет?

 

Или нужно будет ещё в каждом из компьютеров указать это в настройках сетевой карты? (сейчас в настройках сетевых карт на компьютерах указана маска подсети 255.255.255.0) 

post-860-0-78414100-1417333215_thumb.png

SQ

SQ

Опубликовано
Опубликовано (изменено)

Если сомневаешься с маской подсети, используй ip калькулятор онлайн, например: http://ip-calculator.ru/

Address: 192.168.1.1
Bitmask: 25
Netmask: 255.255.255.128
Wildcard: 0.0.0.127
Network: 192.168.1.0
HostMin: 192.168.1.1
HostMax: 192.168.1.126
Broadcast: 192.168.1.127
Hosts: 128

Изменено пользователем SQ
  • Спасибо (+1) 1
Sandynist

Sandynist

Опубликовано
  • Автор
Опубликовано

Hosts: 128

 

Т.е. 128 подключённых компьютеров?

SQ

SQ

Опубликовано
Опубликовано

 

Hosts: 128

 

Т.е. 128 подключённых компьютеров?

 

да, только использовать сможешь диапазон 192.168.1.1 - 192.168.1.126

  • Согласен 1
Sandynist

Sandynist

Опубликовано
  • Автор
Опубликовано

У меня в сети всего 75 компьютеров, мне даже 100 — это много.

 

Остался открытым вопрос — нужно ли менять маску подсети в настройках сетевых карт компьютеров? Или они и с маской 255.255.255.0 будут подключены к интернету на основании настроек маршрутизатора? 


Проверил методом тыка, дома у меня модем ADSL TP-Link 8840T, прописал в нём маску 255.255.255.128, забил в сетевую карточку адрес 192.168.1.133 — выхода в интернет нет, поставил адрес 192.168.1.125 — выход в интернет есть. Что и требовалось! @SQ, спасибо за содействие!

post-860-0-70368400-1417336148_thumb.png

post-860-0-24973400-1417336157_thumb.png

Zaitsev Oleg

Zaitsev Oleg

Опубликовано
Опубликовано

Добрый день!

 

Подскажите, как ограничить диапазон IP-адресов в локальной сети предприятия, которому будет разрешён выход в интернет? 

Теоретически маска позволит сделать такое ограничение, но во первых не факт, а во вторых потом по закону Мерфи понадобится ПК X выпустить в Инет, а для ПК Y наоборот, Инет отключить. Это жизнь, и именно так и будет - и с масками такое делать крайне сложно будет. Имхо все куда проще, и ничего с масками не нужно мудрить ... у роутера туча удобных функций:

- п.п. 4.4 инструкции роутера, создание групп юзеров. Позволяет создавать именованные группы, типа "Юзеры с Интернет". Далее в группу добавляются юзеры, причем задается смысловое имя юзера и его IP

- п.п 4.5.2.2 - создание сложных правил ограничения трафика по группам. Для группы можно задать гибкий план ограничения, с указанием времени и дня недели (например, разрешить Инет в обеденное время с лимитом скорости  X)

- п.п .4.6.4 - контроль доступа. Позволяет создавать фильтры для групп (т.е. можно заданным группам блокировать доступ на любой URL кроме разрешенных, или например всем блокировать все, а избранным - разрешить)

- п.п. 4.6.4.3 Access Rules - позволяет разрешать и блокировать выход в Инет для заданных IP (причем правила могут быть сложнее лобовой блокировки, и вместо конкретного IP можно задать подсеть или, что самое удобное, группу из п.п. 4.4.)

Т.е. согласно п.п. 4.4 инструкции я бы создал группы "Пользователи с Инет" и "Пользователи без Инет", внес бы в них все ПК, и далее в Access Rules пара правил, что юзеров "Пользователи без Инет" не пускать никуда и никогда. И все, проблема решена ...

Sandynist

Sandynist

Опубликовано
  • Автор
Опубликовано

Я это всё прочитал. Дело в том, что несмотря на гибкие правила, создатели девайса не позаботились о поддержке хотя-бы 255 пользователей на вкладке User, поэтому все остальные плюшки и пряники бессмысленны, можно ввести только 128 пользователей и их раскидать по группам.

SLASH_id

SLASH_id

Опубликовано
Опубликовано (изменено)

А если так? 

d4548909b3c5.jpg

Изменено пользователем SLASH_id
Sandynist

Sandynist

Опубликовано
  • Автор
Опубликовано

Наверное можно и там, но у меня в 6-ой версии настраивается иначе, видимо тут: 

post-860-0-17636700-1417344216_thumb.png

SLASH_id

SLASH_id

Опубликовано
Опубликовано

Угу.

Наверное как-то так:

 

ede283b19632.jpg

Zaitsev Oleg

Zaitsev Oleg

Опубликовано
Опубликовано

Я это всё прочитал. Дело в том, что несмотря на гибкие правила, создатели девайса не позаботились о поддержке хотя-бы 255 пользователей на вкладке User, поэтому все остальные плюшки и пряники бессмысленны, можно ввести только 128 пользователей и их раскидать по группам.

Тогда диапазоны, как показал SLASH_id, но диапазоны плохо, так как сложно избирательно управлять пользователями внутри диапазона. Плюс есть смутные сомнения, что сотни юзеров данный роутер просто не потянет ... стоило бы подумать о его замене, например на Microtic (они мощные, возможностей туча, и при этом дешевые)

SLASH_id

SLASH_id

Опубликовано
Опубликовано

@Zaitsev Oleg, Микротик мы не нашли в наличии когда выбирали роутер под лоад-баланс за вменяемые деньги.

 

В любом случае изначально задача не ставилась что роутером будет фильтроваться контент. Это уже попытки освоить возможные плюшки.

 

Контролем трафика должен заниматься софт на клиентских машинках или на прозрачном прокси.

Sandynist

Sandynist

Опубликовано
  • Автор
Опубликовано

 

Я это всё прочитал. Дело в том, что несмотря на гибкие правила, создатели девайса не позаботились о поддержке хотя-бы 255 пользователей на вкладке User, поэтому все остальные плюшки и пряники бессмысленны, можно ввести только 128 пользователей и их раскидать по группам.

.....................  есть смутные сомнения, что сотни юзеров данный роутер просто не потянет ... стоило бы подумать о его замене, например на Microtic (они мощные, возможностей туча, и при этом дешевые)

 

 Пользователей в сети всего 75, а разбивка пользователей до 255 была предпринята на всякий пожарный случай, с учётом варианта, что кто-то из пользователей может принести из дома с собой ноутбук и вбив левый IP-адрес в сетевую карту из диапазона, не прописанного в группы, устроить себе развлекуху в интернете.

 

Вот тут то и выявилось, что маршрутизатор более 128 пользователей на вкладке User не поддерживает, причём выявилось опытным путём, в инструкциях это не прописано.

SLASH_id

SLASH_id

Опубликовано
Опубликовано (изменено)

Ну так я и предлагаю выше для диапазона 128-255 запретить всё и всегда.

 

Остальное регулируется группами.

 

То есть если принусут бук, и вобьют адрес вне 1-128 то получат шиш с маслом, а если в диапазоне - получать ограничение группы.

Изменено пользователем SLASH_id
  • Согласен 2
Caxap

Caxap

Опубликовано
Опубликовано

А не проще ли поставить второй маршрутизатор и с него распределять инет тем кому можно а тем кому нельзя - подключить к первому (ну или <->) ?

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Rezored
      Закрытие уязвимостей в изолированной сети
      Автор Rezored
      Здравствуйте. Сделал по инструкции изолированный сервер https://support.kaspersky.com/KSC/14.2/ru-ru/230777.htm , но список уязвимостей формирует .bin файлы 0 длины, подскажите как можно это исправить или где посмотреть логи ошибок?
    • Kavunchik
      Вирус выключает все брендмауэры и не дает доступа к настрйокам сети, значок сети также отсутствует
      Автор Kavunchik
      логи дрвеб.rar При попытке зайти в настройки сети меня просто выкидывает, значок сети отсутствует вовсе, хотя интернет есть и работает. Скан системы не показывает упущенных файлов. Восстановление компьютера к исходному не дает из за невозможности найти среду для восстановления. Чувствую что компьютер начал работать слабее, также есть впечатление, что проблемы могут быть и с сетью. Названия которые выдавал Др.Веб Trojan.Siggen 31.46344, но даже после нескольких удалений он находил его повторно там же. Также HOSTS:MALWARE.URL.
       
    • Bookman
      Чем продиктованы ограничения на символы в паролях?
      Автор Bookman
      Здравствуйте!
      Кто знает чем продиктованы ограничения на символы в паролях? Например на этом сайте запрещён символ "=". Этот символ есть в таблице ASCII-кодов, непонятно. При определённой организации информационной безопасности это создаёт небольшие проблемы.
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Технологии и техника."
    • Rex-fdf654
      "regedit" при запуске выдает ошибку "0xc0000017" также и при "Сброс сети"
      Автор Rex-fdf654
    • Artem1994
      Остатки вируса майнера и ограничения защитника Windows
      Автор Artem1994
      Здравствуйте. Установил по глупости вирус-майнер с зараженной игрой, путем поиска информации по разным форумам, с помощью Rkill разблокировал компьютер, чтобы он не вылетал с браузера и папки Program data (к чему приводил майнер), потом запустил DrWeb Cureit, который удалил вирусы, потом еще запустил AV block remover на поиск проблем, проблемы не найдены, также почистил, получив в ручном режиме отобранные разрешения, папки, созданные майнером в Program data/Program Files, которые были скрыты как системные и назывались именами антивирусов и других популярных программ. Хотел узнать есть ли остатки вируса на компьютере? И самое главное, не блокируется ли больше Windows Defender, потому что майнер его блокировал, хотя он работал, но майнера не видел и так не увидел вирус, даже после разблокировки компьютера rKillом. Это интересует, так как использую Windows Defender как единственный антивирус на компьютере. Логи прикрепляю. 
      CollectionLog-2025.04.26-22.44.zip
×
×
  • Создать...