+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Помогите…

Помогите…, RouterOS

maxpz

Guest

20.08.2004 14:16:00

Мне нужно объяснение! Я открываю диапазон в своём Mikrotik для каждого пользователя, как: 192.168.1.1/30, 192.168.2.1/30… 192.168.250.1/30… Я использую это, чтобы мои пользователи не могли видеть друг друга, по соображениям безопасности. Но я всё ещё хочу запускать некоторые серверы (сервер антивируса, файлообменщик и т.д.). Так, КАК я могу настроить свой Mikrotik, чтобы пользователи могли видеть диапазон, где находятся мои серверы (например, 192.168.0.1/28), и при этом не видеть друг друга?

signal

Guest

21.08.2004 03:49:00

Ты немного запутываешь тут. Ты говоришь, что "открываешь диапазон", а это, по моему мнению, означает, что позволяешь своим пользователям что-то делать. Но при этом говоришь, что делаешь это, чтобы "запретить" им видеть друг друга. Можешь объяснить, какие правила ты используешь и в каких цепочках?

maxpz

Guest

21.08.2004 23:02:00

Ну, давайте объясню: Вместо открытия одного диапазона в роутере для всех моих пользователей, например, 192.168.1.1/24, я открываю диапазон для каждого пользователя, как: 192.168.1.1/30 (mikrotik) и 192.168.1.2 (user1), 192.168.2.1/30 (mikrotik) и 192.168.2.2 (user2), 192.168.3.1/30 (mikrotik) и 192.168.3.2 (user3)… 192.168.100.1/30 (mikrotik) и 192.168.100.2 (user100). Если я создаю только один диапазон и помещаю туда всех пользователей, они смогут видеть друг друга. Так, используя мой способ, они могут только пинговать свой шлюз, который является IP-адресом, который я добавляю в роутере для каждого пользователя. Значит, они не могут пинговать никакие компьютеры в другом диапазоне (например, 192.168.1.2 не может пинговать 192.168.100.2), но мне все же нужно иметь какие-то серверы (файлообменник… и т.д.), и я хочу, чтобы все мои пользователи могли видеть эти серверы (например, все пользователи могут пинговать 192.168.0.2-5). Надеюсь, это поможет…

signal Guest	#4 0 22.08.2004 00:10:00 Ты просто устанавливаешь правила, чтобы разрешить связь нужным тебе сетям, а остальным отказываешь. Было бы очень полезно, если бы ты выложил/а существующие правила. Брайан.

GJS

Guest

22.08.2004 03:16:00

Я думаю, один из самых простых способов сделать это — добавить дополнительный диапазон (правильнее сказать, подсеть, полагаю) для ваших серверов, а затем добавить запись в статический маршрутный стол для каждой подсети пользователя в подсеть сервера. Это не очень практично, если у вас большое количество подсетей, конечно. Но это интересная задача, потому что, как мне кажется, вы пытаетесь заблокировать трафик между клиентами, когда они все подключены к одному интерфейсу маршрутизатора. Мои клиенты подключены через точку доступа 802.11b, которая имеет эту функцию встроенной. Может быть, лучше использовать коммутатор (если ваши клиенты подключены кабелем), который имеет эту функцию? Тогда все клиенты могли бы быть в одной подсети. Надеюсь, это поможет. Guy

signal Guest	#6 0 22.08.2004 14:49:00 Ну, если бы они все были в одной подсети, то MT мог бы просто отвечать на ARP-запросы. По моему мнению, серверы должны быть подключены к другому интерфейсу, чем клиенты.

maxpz Guest	#7 0 23.08.2004 09:20:00 Спасибо, ребята.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры