Перейти к содержанию

Ограничение диапазона IP-адресов в локальной сети предприятия

Sandynist

Автор Sandynist
в Компьютерная помощь

 Поделиться

Рекомендуемые сообщения

Sandynist

Sandynist

Опубликовано
Опубликовано

Добрый день!

 

Подскажите, как ограничить диапазон IP-адресов в локальной сети предприятия, которому будет разрешён выход в интернет?

 

Сделать это собираюсь через маршрутизатор TP-Link TL-R480T+, установив в настройках маршрутизатора LAN параметр «Маска подсети» в значение 255.255.255.128, верно ли что при такой настройке я получу рабочее адресное пространство с диапазоном IP-адресов от 192.168.1.1 до 192.168.1.128, и только пользователи в этом диапазоне получат выход в интернет?

 

Или нужно будет ещё в каждом из компьютеров указать это в настройках сетевой карты? (сейчас в настройках сетевых карт на компьютерах указана маска подсети 255.255.255.0) 

post-860-0-78414100-1417333215_thumb.png

SQ

SQ

Опубликовано
Опубликовано (изменено)

Если сомневаешься с маской подсети, используй ip калькулятор онлайн, например: http://ip-calculator.ru/

Address: 192.168.1.1
Bitmask: 25
Netmask: 255.255.255.128
Wildcard: 0.0.0.127
Network: 192.168.1.0
HostMin: 192.168.1.1
HostMax: 192.168.1.126
Broadcast: 192.168.1.127
Hosts: 128

Изменено пользователем SQ
  • Спасибо (+1) 1
Sandynist

Sandynist

Опубликовано
  • Автор
Опубликовано

Hosts: 128

 

Т.е. 128 подключённых компьютеров?

SQ

SQ

Опубликовано
Опубликовано

 

Hosts: 128

 

Т.е. 128 подключённых компьютеров?

 

да, только использовать сможешь диапазон 192.168.1.1 - 192.168.1.126

  • Согласен 1
Sandynist

Sandynist

Опубликовано
  • Автор
Опубликовано

У меня в сети всего 75 компьютеров, мне даже 100 — это много.

 

Остался открытым вопрос — нужно ли менять маску подсети в настройках сетевых карт компьютеров? Или они и с маской 255.255.255.0 будут подключены к интернету на основании настроек маршрутизатора? 


Проверил методом тыка, дома у меня модем ADSL TP-Link 8840T, прописал в нём маску 255.255.255.128, забил в сетевую карточку адрес 192.168.1.133 — выхода в интернет нет, поставил адрес 192.168.1.125 — выход в интернет есть. Что и требовалось! @SQ, спасибо за содействие!

post-860-0-70368400-1417336148_thumb.png

post-860-0-24973400-1417336157_thumb.png

Zaitsev Oleg

Zaitsev Oleg

Опубликовано
Опубликовано

Добрый день!

 

Подскажите, как ограничить диапазон IP-адресов в локальной сети предприятия, которому будет разрешён выход в интернет? 

Теоретически маска позволит сделать такое ограничение, но во первых не факт, а во вторых потом по закону Мерфи понадобится ПК X выпустить в Инет, а для ПК Y наоборот, Инет отключить. Это жизнь, и именно так и будет - и с масками такое делать крайне сложно будет. Имхо все куда проще, и ничего с масками не нужно мудрить ... у роутера туча удобных функций:

- п.п. 4.4 инструкции роутера, создание групп юзеров. Позволяет создавать именованные группы, типа "Юзеры с Интернет". Далее в группу добавляются юзеры, причем задается смысловое имя юзера и его IP

- п.п 4.5.2.2 - создание сложных правил ограничения трафика по группам. Для группы можно задать гибкий план ограничения, с указанием времени и дня недели (например, разрешить Инет в обеденное время с лимитом скорости  X)

- п.п .4.6.4 - контроль доступа. Позволяет создавать фильтры для групп (т.е. можно заданным группам блокировать доступ на любой URL кроме разрешенных, или например всем блокировать все, а избранным - разрешить)

- п.п. 4.6.4.3 Access Rules - позволяет разрешать и блокировать выход в Инет для заданных IP (причем правила могут быть сложнее лобовой блокировки, и вместо конкретного IP можно задать подсеть или, что самое удобное, группу из п.п. 4.4.)

Т.е. согласно п.п. 4.4 инструкции я бы создал группы "Пользователи с Инет" и "Пользователи без Инет", внес бы в них все ПК, и далее в Access Rules пара правил, что юзеров "Пользователи без Инет" не пускать никуда и никогда. И все, проблема решена ...

Sandynist

Sandynist

Опубликовано
  • Автор
Опубликовано

Я это всё прочитал. Дело в том, что несмотря на гибкие правила, создатели девайса не позаботились о поддержке хотя-бы 255 пользователей на вкладке User, поэтому все остальные плюшки и пряники бессмысленны, можно ввести только 128 пользователей и их раскидать по группам.

SLASH_id

SLASH_id

Опубликовано
Опубликовано (изменено)

А если так? 

d4548909b3c5.jpg

Изменено пользователем SLASH_id
Sandynist

Sandynist

Опубликовано
  • Автор
Опубликовано

Наверное можно и там, но у меня в 6-ой версии настраивается иначе, видимо тут: 

post-860-0-17636700-1417344216_thumb.png

SLASH_id

SLASH_id

Опубликовано
Опубликовано

Угу.

Наверное как-то так:

 

ede283b19632.jpg

Zaitsev Oleg

Zaitsev Oleg

Опубликовано
Опубликовано

Я это всё прочитал. Дело в том, что несмотря на гибкие правила, создатели девайса не позаботились о поддержке хотя-бы 255 пользователей на вкладке User, поэтому все остальные плюшки и пряники бессмысленны, можно ввести только 128 пользователей и их раскидать по группам.

Тогда диапазоны, как показал SLASH_id, но диапазоны плохо, так как сложно избирательно управлять пользователями внутри диапазона. Плюс есть смутные сомнения, что сотни юзеров данный роутер просто не потянет ... стоило бы подумать о его замене, например на Microtic (они мощные, возможностей туча, и при этом дешевые)

SLASH_id

SLASH_id

Опубликовано
Опубликовано

@Zaitsev Oleg, Микротик мы не нашли в наличии когда выбирали роутер под лоад-баланс за вменяемые деньги.

 

В любом случае изначально задача не ставилась что роутером будет фильтроваться контент. Это уже попытки освоить возможные плюшки.

 

Контролем трафика должен заниматься софт на клиентских машинках или на прозрачном прокси.

Sandynist

Sandynist

Опубликовано
  • Автор
Опубликовано

 

Я это всё прочитал. Дело в том, что несмотря на гибкие правила, создатели девайса не позаботились о поддержке хотя-бы 255 пользователей на вкладке User, поэтому все остальные плюшки и пряники бессмысленны, можно ввести только 128 пользователей и их раскидать по группам.

.....................  есть смутные сомнения, что сотни юзеров данный роутер просто не потянет ... стоило бы подумать о его замене, например на Microtic (они мощные, возможностей туча, и при этом дешевые)

 

 Пользователей в сети всего 75, а разбивка пользователей до 255 была предпринята на всякий пожарный случай, с учётом варианта, что кто-то из пользователей может принести из дома с собой ноутбук и вбив левый IP-адрес в сетевую карту из диапазона, не прописанного в группы, устроить себе развлекуху в интернете.

 

Вот тут то и выявилось, что маршрутизатор более 128 пользователей на вкладке User не поддерживает, причём выявилось опытным путём, в инструкциях это не прописано.

SLASH_id

SLASH_id

Опубликовано
Опубликовано (изменено)

Ну так я и предлагаю выше для диапазона 128-255 запретить всё и всегда.

 

Остальное регулируется группами.

 

То есть если принусут бук, и вобьют адрес вне 1-128 то получат шиш с маслом, а если в диапазоне - получать ограничение группы.

Изменено пользователем SLASH_id
  • Согласен 2
Caxap

Caxap

Опубликовано
Опубликовано

А не проще ли поставить второй маршрутизатор и с него распределять инет тем кому можно а тем кому нельзя - подключить к первому (ну или <->) ?

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем
×
×
  • Создать...