Ochrana v jednej sieti.
Miroslav Petricek
mpe na stavos.cz
Sobota Srpen 19 14:29:38 CEST 2000
Ivan Suchy wrote:
> Majme 5 skupin Windowze na piatich 8 portovych aktivnych prvkoch
> ktore spolocne zdielaju jedno pripojenie do internetu povedzme cez
> linuxovu branu.
> Je nejakym aspon teoretickym sposobom mozne aby sa tieto pocitace
> navzajom nevideli, a to ani tie, ktore su na jednom switchi? Resp.
Pokud dotyčné switche nejsou přimo propojeny jinak než přes linuxový
router do Internetu, tak je samozřejmě možné zkonfigurovat na tomto
routeru firewall, který zabrání komunikaci mezi jednotlivými segmenty.
Pokud se týká zamezení komunikace v rámci jednoho segmentu, tak mě
napadá řešení, při kterém by každá stanice měla přidělenou, např. přes
DHCP, IP adresu z jiné sítě a Linuxový router by neforwardoval provoz
mezi jednotlivými sítěmi. Klienti samozřejmě nesmějí používat jiné
protokoly než TCP/IP.
Jiné řešení může spočívat v tom, že zakážete windoze klientům používat
broadcasty při hledání stanic a zkonfigurujete je tak, aby používali
pouze WINS (opět lze provést přes DHCP). Potom spustíte na Linuxu WINS
server (Samba), který bude poskytovat informace z dostatečně prázdného
souboru /etc/lmhosts.
--
/* _____________________________________________________
| Miroslav Petricek mpe na stavos.cz |
| Brno, Czech Rep. ICQ: 56183467 |
|-- http://www.stavos.cz/mpe/ ----------------------|
| The instructions said: "Windows 2000 or better," |
| so I installed Linux. |
|___________________________________________________| */
Další informace o konferenci Linux