Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | | |
Но, ведь, ты же провода для видеонаблюдеия как-то прокладывал. 16.12.03 14:30 Число просмотров: 2238
Автор: fly4life <Александр Кузнецов> Статус: Elderman
|
Не заподозрили ведь ;).
ИМХО, отдельная сеть - это самый верный способ, чтоб не обнаружили твой сервак. Правда, если клиентские машины обязательно должны быть в общей сети, то возникнут некоторые проблемы.
|
<sysadmin>
|
Господа мемберы и др. Выручайте железячника (сети w2k) 16.12.03 13:18
Автор: Wud <Леха> Статус: Member
|
Приходится тут ставить сервак с видеозахватом и подключенными к нему камерами скрытого наблюдения. Здание огромное, сеть тоже (много более 100 машин).
Как я сказал есть сервак(комп+ПО охранного видео в качестве сервера), на который зацеплены камеры. Есть два клиента ПО охр.видео. Мы их ставим на 2 любые машины в сети.
-
Как сделать, чтоб сервер по сети никто не нашел(а 2 клиента видели) - особенное желание местный сисадмин тоже. В принципе никто сейчас об этом не знает, хотелось, чтоб и не узнали.
|
|
Выручаем... 16.12.03 13:49
Автор: HandleX <Александр М.> Статус: The Elderman
|
> Приходится тут ставить сервак с видеозахватом и > подключенными к нему камерами скрытого наблюдения. Здание > огромное, сеть тоже (много более 100 машин). > Как я сказал есть сервак(комп+ПО охранного видео в качестве > сервера), на который зацеплены камеры. Есть два клиента ПО > охр.видео. Мы их ставим на 2 любые машины в сети.
> Как сделать, чтоб сервер по сети никто не нашел(а 2 клиента > видели) - особенное желание местный сисадмин тоже. В > принципе никто сейчас об этом не знает, хотелось, чтоб и не > узнали. 1) Установи протокол TCP/IP таким образом, чтобы использовалась подсеть, которая навряд-ли будет заюзана в вашей организации. К примеру, если в конторе используете 192.168.0.x mask 255.255.255.0 ты сделай 192.168.5.1 mask 255.255.255.0
2) Клиентское ПО требует файл-доступ на сервер или ещё чего, связанное с RPC и проч.? Если нужно чистое IP, выруби службу сервера ;-)
3) Поставить на сервере Firewall, которому разрешить пропускать IP только с тех адресов, которые у клиентских машин. Запретить ICMP!
Потом на клиентских машинах на существующие сет. интерфейсы назначь доп. адреса из "нашей" подсети.
В принципе после таких шаманских танцев смогут «увидеть» только некий «странный» MAC-адрес. Но это мало что даст... ;-)
Можно ещё включить IP Security, это спасёт от IP-спуффинга, если кто захочет... Но это маловероятно.
|
| |
Да здорово кончено, выставить другой ip. но как я узнаю про все компы (их там около 100шт в сетке)) 16.12.03 15:53
Автор: Wud <Леха> Статус: Member Отредактировано 16.12.03 15:53 Количество правок: 1
|
Мне же надо знать какие есть ip на компах, чтоб выставить другой.
Есть какая-нить прога несложная, или может это делается средствами w2k?
|
| | |
Мне тут сказали, что на одной машинке(с одной сетевухой) с Win нельзя сделать несколько ip. нужно столько сетевых карт, сколько ip. имхо бред? 16.12.03 23:16
Автор: Wud <Леха> Статус: Member
|
|
| | | |
На win9x нельзя назначить несколько ip на один интерфейс. На WinNT и выше можно... 17.12.03 08:15
Автор: HandleX <Александр М.> Статус: The Elderman
|
|
| | | | |
почему же? Я это как раз и делал на вин98. 17.12.03 11:33
Автор: fly4life <Александр Кузнецов> Статус: Elderman
|
|
| | | | | |
А, понял ;-) Надо просто в свойствах сети добавить ещё протокол и карту к нему привязать. Сорри ;-) 17.12.03 14:28
Автор: HandleX <Александр М.> Статус: The Elderman
|
|
| | | | | | |
У меня с ключиком реестра EnableRouting=1 даже маршрутизация между ними работала 17.12.03 14:43
Автор: :-) <:-)> Статус: Elderman
|
|
| | | |
Бред... 16.12.03 23:39
Автор: fly4life <Александр Кузнецов> Статус: Elderman Отредактировано 16.12.03 23:47 Количество правок: 1
|
Чтобы в этом убедиться попробуй сам в свойствах своей сетевой карты установить второй протокол TCP/IP и назначить ему ещё один IP из диапазона другой подсети.
П.С. таким образом не получится настроить маршрутизацию. Может твои советчики это имели виду?
|
| | | | |
я понимаю, что это тянет на beginners, но раз уж я затеял этот тред, то поподробнее о маршрутизации... 17.12.03 00:15
Автор: Wud <Леха> Статус: Member
|
|
| | | | | |
Изложу свою мысль чуть подробнее 17.12.03 00:41
Автор: fly4life <Александр Кузнецов> Статус: Elderman
|
Дело в том, что если сеть строится из нескольких подсетей и при этом компы этих подсетей должны видеть дург друга, то необходимо настроить маршрутизацию. Для этого необходимо иметь две сетвые карточки в одном компе (он и будет в роли маршрутизатора) между которыми и будет настроен форвардинг пакетов, благодаря которому будет возможно соединение компов из разных подсетей.
Но в твоём случае в компе будет всего одна сетевая карточка. Если ты на ней поставишь два IP'шника из разных подсетей (например 192.168.1.1 и 192.168.2.1), то компьютеры из подсети 192.168.1.0 будут видеть на компе с двумя IP адресами только ИП 192.168.1.1, а компы из подсети 192.168.2.0 будут видеть только 192.168.2.1. А маршрутизацию между сетками 192.168.1.0 и 192.168.2.0 (т.е. заставить видеть дург друга компы с разными диапазонами IP адресов) ты настроить не сможешь.
Теперь как видится мне решение твоей проблемы (та часть с разведением IP адресов по разным подсетям).
Пусть твоя основная сеть - 192.168.1.0/255.255.255.0. Тогда своему серверу (который никто не должен видеть) присваивай IP адрес 192.168.2.1 и маску 255.255.255.0. На каждой из клиентских машин (которые должны видеть твой сервак) ставь два IP'шника. Один из основной сети (например, 192.168.1.100), а другой из подсети сервера (192.168.2.2). Только этих клиентов оставь членами рабочей группы основной сети. Таким образом, клиентские машины будут видны в общей сети и в тоже время будут видеть сервер (обращаясь по IP'шнику), но основная сеть его видеть не будет.
Только остаётся одна проблема - если кто-то из пользователей поставит у себя второй ИП из подсети сервера, то тоже сможет его видеть. Но тут уже сыграет роль файерволл.
Примерно так =).
|
| | | | | | |
Не надо ему маршрутизировать ничего! Идея как раз в том, чтобы другие не имели доступ в «его» подсеть... Клиентские компы имеют доступ, и хорошо ;-) И то, что сервер никого не видит, кроме клиентов вроде как тоже хорошо ;-) 17.12.03 07:22
Автор: HandleX <Александр М.> Статус: The Elderman
|
|
| | | | | | | |
дык, и я о том же. Просто Wud'у сказали, что нельзя поднять два ИПа на одной карте. 17.12.03 11:35
Автор: fly4life <Александр Кузнецов> Статус: Elderman
|
Вот я и высказал предположение, что те, кто это сказал, наверное имели ввиду, что таким образом нельзя настроить маршрутизацию. Потом Wud попросил объяснить подробнее о маршрутизации...
Вобщем, всё верно. Wud'у маршрутизация не нужна, поэтому и предлагается поставить всего одну сетевуху и на ней два IP адреса.
|
| | |
а у вас разные подсети? 16.12.03 16:11
Автор: fly4life <Александр Кузнецов> Статус: Elderman
|
> Мне же надо знать какие есть ip на компах, чтоб выставить > другой. > Есть какая-нить прога несложная, или может это делается > средствами w2k?
Если нет, то всё просто. Диапазон IP один ;). Смотришь ИП на любом компе (так и узнаешь какая подсеть занята).
Если всё-таки разные, то можно попробовать следующий способ. Есть программка TCPNetView. Запускаешь её на любом компе. Тебе выведется список всех IP подсети, которой принадлежит тот комп, на котором запускал TCPNV. Затем ищешь комп, которого нету в этом списке (следовательно, он принадлежит другой подсети). Запускаешь с него эту программку и получишь список IP компов из другой подсети. Затем, ищешь комп, который не попал ни в один из этих списков и пускаешь TCPNV на нём. И т.д. Таким образом получишь IP всех компов всех подсетей.
Сорри, если сумбурно написал =).
|
| | |
Несколько вариантов... 16.12.03 16:11
Автор: HandleX <Александр М.> Статус: The Elderman Отредактировано 16.12.03 16:16 Количество правок: 2
|
> Мне же надо знать какие есть ip на компах, чтоб выставить > другой. > Есть какая-нить прога несложная, или может это делается > средствами w2k? 1) Если есть в сети DNS или WINS сервер, то можно просмотреть записи, которые они хранят
2) Поговорить с админом, какая политика IP-адресов работает. Может, там DHCP раздаёт адреса автоматически.
Но в любом случае, посмотри на какой-нибудь машине что там за адреса. Вот у меня, к примеру, 192.168.0.251 маска 255.255.255.0 И во всей сети так... меняется только последний триплет... Стандартное средство посмотреть адрес на какой-нибудь машине под NT и выше — ipconfig, winipcfg — для win9x, me.
Т.е. можешь пробовать что-то типа 192.168.111.1 mask 255.255.255.0 для сервера, 192.168.111.2 и 192.168.111.3 для клиентов.
Да, когда в сети будет самый напряг (большинство машин включены), попробуй посканить выбранный диапазон адресов каким-нибудь ip-сканером. Тогда увидишь, если в "твоей" подсети кто-нибудь.
|
| |
Клиентское ПО требует файл-доступ на сервер или ещё... 16.12.03 14:08
Автор: Wud <Леха> Статус: Member
|
> 2) Клиентское ПО требует файл-доступ на сервер или ещё > чего, связанное с RPC и проч.? Если нужно чистое IP, выруби > службу сервера ;-) ---
ПО Сервака пишет видео в своем формате данных. Чтоб проигрыватель клиента мог это посмотреть в любой момент, в клиенте подключается шара сервака с папкой, в которой лежит архив.
-
Если я делаю другой ip как ты сказал, шара на других компах(не 2 клиентах) будет видна?
-
а так вроде все ясно. доступно объяснил.
|
| | |
Если грамотно настроишь firewall (доступ только с нужных ip), то не будет. 16.12.03 14:24
Автор: HandleX <Александр М.> Статус: The Elderman
|
> ПО Сервака пишет видео в своем формате данных. Чтоб > проигрыватель клиента мог это посмотреть в любой момент, в > клиенте подключается шара сервака с папкой, в которой лежит > архив. > - > Если я делаю другой ip как ты сказал, шара на других > компах(не 2 клиентах) будет видна? > - > а так вроде все ясно. доступно объяснил. Не, не будет... Поскольку netbios идёт поверх ip. Ну и «другая» подсеть тоже как-бы неплохо. ICMP отключить тоже (в опциях firewall), дабы он не пинговался, даже если Ethernet поснифают. Но вот если поснифают, то увидят, что есть «загадочный» MAC-адрес... По нему через RARP можно узнать ip. Но толку от этого мало. Если заспуфят ip, то я говорил, что можно заюзать ipsecurity. Но это не для слабонервных ;-))
|
| | | |
Все ясно, всем спасибо, если че еще, лучше пишите сейчас. А так завтра вечером поеду колдовать...:) 16.12.03 14:31
Автор: Wud <Леха> Статус: Member
|
|
| | | | |
И ещё... Если неохота возиться с ipsecurity, то... 16.12.03 14:37
Автор: HandleX <Александр М.> Статус: The Elderman
|
...imho некоторые firewall поддерживают проверку MAC-адреса, т.е. будет ограничен доступ только с «нужных» сетевых карт. Но MAC-адреса тоже подделываются легко на современных картах, которые имеют такую возможность.
Поэтому против ip- или MAC-спуффинга железно работает только ip-security.
Однако в этой области я профан, никогда ipsecurity нигде не юзал, не было необходимости...
Так что можно на первых порах сделать как говорилось, а потом поэкспериментировать с kerberos, сертификатами и кучей гемора ;-)
|
| | | | | |
Ipsec 16.12.03 15:20
Автор: nemo Статус: Незарегистрированный пользователь
|
Конечно HandleX прав... Изложу лаконично и в кратце:
1) Нужно сделать непересекающуюся IP сеть.
2) Фаервол конечно можно - но толку мало. Очень легко заспуфить IP и MAC.
3) Для реальной защиты IP трафика единственым корректным способом является IPSEC. Но гимора в нём нет. Можно использовать так называемые Preshared Key. А Kerberos и CA использовать без домена Active Directory это и есть геморрой. Kerberos V5 вообще не пойдёт без AD а IPSEC на Stand Alone CA можно но немного заморочено. Единственный удобный способ это Preshared Key - это общий ключ на основании которого производится симметричное шифрование сеанса. Фактически IPSEC организует тебе VPN только без RRAS сервиса.
4) По поводу портов: IPSEC замечательный фильтр и можно указывать какие вообще протоколы будут работать. Тем более что у винды есть предустановленные три фильтра IPSEC. Ставь везде Secure Server. Эту политику надо немного подправить и всё будет замечательно.
Остаётся одна проблема - местный админ может весь трафик этот слушать (сниферить). Закрыть его и бороться со спуфингом поможет IPSEC но слышать его он всё равно сможет.
Тут может помочь только создание VLAN на свичах, но они как я понял для тебя не доступны.
|
|
|