Ochrana v jednej sieti.

Miroslav Petricek mpe na stavos.cz
Sobota Srpen 19 14:29:38 CEST 2000


Ivan Suchy wrote:
> Majme 5 skupin Windowze na piatich 8 portovych aktivnych prvkoch
> ktore spolocne zdielaju jedno pripojenie do internetu povedzme cez
> linuxovu branu.
> Je nejakym aspon teoretickym sposobom mozne aby sa tieto pocitace
> navzajom nevideli, a to ani tie, ktore su na jednom switchi? Resp.

Pokud dotyčné switche nejsou přimo  propojeny jinak než přes  linuxový 
router do Internetu,  tak je  samozřejmě možné  zkonfigurovat na tomto 
routeru firewall, který zabrání komunikaci mezi jednotlivými segmenty.

Pokud se  týká  zamezení  komunikace v rámci jednoho segmentu,  tak mě 
napadá řešení, při kterém by každá stanice měla přidělenou, např. přes 
DHCP, IP adresu z jiné sítě a Linuxový  router by neforwardoval provoz 
mezi  jednotlivými sítěmi.  Klienti samozřejmě  nesmějí používat  jiné 
protokoly než TCP/IP.

Jiné řešení může spočívat v tom, že zakážete windoze klientům používat 
broadcasty při hledání stanic a  zkonfigurujete je tak, aby  používali 
pouze WINS (opět lze provést přes DHCP). Potom spustíte na Linuxu WINS 
server (Samba), který bude poskytovat informace z dostatečně prázdného 
souboru /etc/lmhosts.

-- 
/*     _____________________________________________________
       |   Miroslav Petricek              mpe na stavos.cz    |
       |   Brno, Czech Rep.               ICQ: 56183467    |
       |-- http://www.stavos.cz/mpe/ ----------------------|
       | The instructions said: "Windows 2000 or better,"  |
       |     so I installed Linux.                         |
       |___________________________________________________|      */


Další informace o konferenci Linux