Старый 31.08.2011, 15:23   #11
kfor
 
Аватар для kfor
 
Регистрация: 27.01.2011
Сообщений: 120
Репутация: 39
По умолчанию

а если так на комп зайти к примеру \\192.168.1.5 (ну или любой другой)
kfor вне форума   Ответить с цитированием
Старый 31.08.2011, 17:52   #12
Fepsis
 
Аватар для Fepsis
 
Регистрация: 05.07.2010
Сообщений: 55
Репутация: 9
По умолчанию

Цитата:
Сообщение от kfor Посмотреть сообщение
а если так на комп зайти к примеру \\192.168.1.5 (ну или любой другой)
Помему всё-таки нет, завтра точно напришу... По крайней мере если на компьютере, настроенном под "GOOD", зайти в сетевой ресурс, а потом перенастроить на "BAD" и попвтаться обновить содержимое ресурса, то выдаёт ошибку доступа...
__________________
Новый покер-клуб RDot.org

Номер клуба: 619854
Код приглашения: q1w2e3r4t5y
Скачать клиент: клац
Fepsis вне форума   Ответить с цитированием
Старый 05.09.2011, 15:43   #13
Demon1X
 
Аватар для Demon1X
 
Регистрация: 10.07.2010
Сообщений: 56
Репутация: 5
По умолчанию

Цитата:
Сообщение от Fepsis Посмотреть сообщение
В общем проблему решил, получилось всё красиво...


Я хоть и предполагал, что с помощью настройки маски можно проблему решить, но как точно не знал (нужно будет почитать про это дело)... Спасибо destiny за маску "255.255.252.0"

Собственно сначала попробовал перенастроить компы группы "BAD" так:
Код:
IP-адрес: 192.168.2.xxx
Маска подсети: 255.255.252.0
Основной шлюз: 192.168.1.1
DNS-сервер: 192.168.1.1
хз почему, но не прокатило... Интернета не было... Потом подумал, раз "255.255.252.0" охватывает и 192.168.1.xxx и 192.168.2.xxx, попробую вбить эту маску на роутере... И О ЧУДО!!!!!!

В данный момент компьютеры группы "BAD":
Код:
IP-адрес: 192.168.2.xxx
Маска подсети: 255.255.255.0
Основной шлюз: 192.168.1.1
DNS-сервер: 192.168.1.1
группы "GOOD":
Код:
IP-адрес: 192.168.1.xxx
Маска подсети: 255.255.255.0
Основной шлюз: 192.168.1.1
DNS-сервер: 192.168.1.1
роутер:
Код:
IP-адрес: 192.168.1.1
Маска подсети: 255.255.252.0
Причём пинговать они друг друга пингуют, но в сетевом окружении доступа друг к другу у них нет, что мне, собственно и было нужно... Надеюсь такая настройка не повлечёт за собой каких либо глюков...


Всем спасибо за помошь!!!
Не совсем понял как это работает. ПК из подсетки BAD не смогут достучаться до инета т.к. дефолтный шлюз должен ВСЕГДА быть в той же подсетки что и ПК.

Как я понимаю сетка на хабах. Можно 2 портам маршрутизатора назначить разные айпи
192.168.1.1\24 на одном порту, этот ип будет для подсетки 192.168.1.0\24 GOOD дефолтным шлюзом
192.168.2.1\24 на другом порту, этот ип будет для подсетки 192.168.2.0\24 BAD дефолтным шлюзом

Из роутера будет выходить 2 нитки, с этих 2 портов. Их засовываем в хаб (который будет центральным объеденяющим), в остальные порты которого будут приходить нитки со всех др. концентраторов
На самом маршрутизаторе создать маршруты на инет для каждой подсетки.

Это с условием, что юзеры из BAD и GOOD вперемешку. И нет возможности менять физ. структуру сетки. В этом случае юзер может поменять себе ип в ручную и получить доступ к др. группе.

Иначе можно было бы сделать, чтоб из каждого порта роутера выходящая нитка приходила в свой хаб т.е. в голове будет 2 хаба один BAD другой GOOD хаб. Юзеров из группы BAD подключать к хабу BAD, а
юзеров группы GOOD к хабу GOOD. Тогда даже при смени ипа юзером, он не сможет получить доступ к др. группе (т.к. на роутере ты будешь фильтровать все пакеты с неверным исходящим ипом).
Demon1X вне форума   Ответить с цитированием
Старый 05.09.2011, 17:33   #14
destiny
 
Аватар для destiny
 
Регистрация: 11.08.2010
Сообщений: 243
Репутация: 79
По умолчанию

Цитата:
Сообщение от Demon1X Посмотреть сообщение
Не совсем понял как это работает. ПК из подсетки BAD не смогут достучаться до инета т.к. дефолтный шлюз должен ВСЕГДА быть в той же подсетки что и ПК.
даже если это и так (может и так, не знаю, не могу представить, как реализовать по-другому), то подсетка у них одна и та же. RTFM по слову маска.
__________________
тьеу-тьеу-тьеу-ти-ть-ть-тьеу
destiny вне форума   Ответить с цитированием
Старый 05.09.2011, 17:50   #15
kavabango
 
Аватар для kavabango
 
Регистрация: 08.08.2011
Сообщений: 11
Репутация: 0
По умолчанию

Цитата:
Сообщение от Demon1X Посмотреть сообщение
Не совсем понял как это работает. ПК из подсетки BAD не смогут достучаться до инета т.к. дефолтный шлюз должен ВСЕГДА быть в той же подсетки что и ПК.
Теоретически группа гуд и шлюз могут обмениваться пакетами. У шлюза маска подсети "шире" и поэтому он может маршрутизировать пакеты. Хотя это не правильно. У них как минимум разные широковещательные адреса. Кстати думаю из-за разных broadcast ресурсы одной группы не видит другая. Стоит вам поставить маску 255.255.252.0 на всех компьютерах и ресурсы снова будут открыты.
А вот группа bad
Код:
IP-адрес: 192.168.2.xxx
Маска подсети: 255.255.255.0
Основной шлюз: 192.168.1.1
вообще не понятно как в интернет выходит. Шлюз сам находится за пределами этой подсети
Цитата:
Сообщение от Demon1X Посмотреть сообщение
Это с условием, что юзеры из BAD и GOOD вперемешку. И нет возможности менять физ. структуру сетки. В этом случае юзер может поменять себе ип в ручную и получить доступ к др. группе.
Я думаю тут такой вариант не рассматривается по начальным условиям.
kavabango вне форума   Ответить с цитированием
Старый 06.09.2011, 09:24   #16
Fepsis
 
Аватар для Fepsis
 
Регистрация: 05.07.2010
Сообщений: 55
Репутация: 9
По умолчанию

Пользователи группы BAD имеют ограниченные учётки, поэтому не поменяют настройки сетевух...

А по поводу того, что это не должно работать, ничего не могу сказать.. У меня всё работает, и глюков никаких не наблюдается..
__________________
Новый покер-клуб RDot.org

Номер клуба: 619854
Код приглашения: q1w2e3r4t5y
Скачать клиент: клац
Fepsis вне форума   Ответить с цитированием
Старый 06.09.2011, 09:54   #17
Demon1X
 
Аватар для Demon1X
 
Регистрация: 10.07.2010
Сообщений: 56
Репутация: 5
По умолчанию

Цитата:
В данный момент компьютеры группы "BAD":
Код:
IP-адрес: 192.168.2.xxx
Маска подсети: 255.255.255.0
Основной шлюз: 192.168.1.1
DNS-сервер: 192.168.1.1
группы "GOOD":
Код:
IP-адрес: 192.168.1.xxx
Маска подсети: 255.255.255.0
Основной шлюз: 192.168.1.1
DNS-сервер: 192.168.1.1
роутер:
Код:
IP-адрес: 192.168.1.1
Маска подсети: 255.255.252.0
Исходя из этих параметров у ПК группы BAD и роутера разные подсетки. Роутер видет всех, его только группа GOOD.

Логика работы ip модуля следующая.
При необходимости отправки ip пакета, ip модуль накладывает маску своей подсети на ip адрес назначения. Если адрес находится в его же подсетке, направляет ARP запрос для установления его mac-адреса. Далее уже пакует его ethernet кадр и отправляет непосредственно нужному ПК. Если ip адрес находится не в его подсетке, то смотрит по табице маршрутизации через какой хост отправлять пакет (в данном случае у нас только один дефолтный шлюз), этот шлюз должен ВСЕГДА находится в той же подсетки, потому что этому шлюзу будет отправлен arp запрос на установление его мака и отправка ему этого пакета для последующего транзита.

Если ip адрес шлюза не будет принадлежать подсеткt самого узла отправителя, то весь вопрос в том как себя поведет в этом случае ip модуль отправителя.
Если решит все же отправить пакет, не смотря на то, что шлюз, не в его подсетки. То пошлет арп запрос и он дойдет до роутер (т.к. если я правильно понял все ПК сети ТС находятся в одном широковещательном домене) и тот ответит. Затем ip пакет упакуется в ethernet фрейм и будет отправлен как обычно. Но это нарушение самой логики работы. По правильному он НЕ должен отправлять arp запрос на установление mac-адреса шлюза, так как тот находится не в его подсетке.

Цитата:
Я думаю тут такой вариант не рассматривается по начальным условиям.
ТС ничего не сказал про структуру сетке и возможность ее изменения.
Demon1X вне форума   Ответить с цитированием
Старый 06.09.2011, 09:55   #18
Demon1X
 
Аватар для Demon1X
 
Регистрация: 10.07.2010
Сообщений: 56
Репутация: 5
По умолчанию

Цитата:
Сообщение от Fepsis Посмотреть сообщение
А по поводу того, что это не должно работать, ничего не могу сказать.. У меня всё работает, и глюков никаких не наблюдается..
Значит в Windows ip модуль отправляет арп запрос не смотря на то, что шлюз находится не в его подсетке.
Demon1X вне форума   Ответить с цитированием
Старый 12.09.2011, 08:14   #19
Karantin
 
Регистрация: 27.09.2010
Сообщений: 10
Репутация: 1
По умолчанию

А может BAD сеть вообще стоит загнать в DMZ?
Karantin вне форума   Ответить с цитированием
Старый 29.09.2011, 11:36   #20
aLEEXanDR
 
Регистрация: 29.09.2011
Сообщений: 1
Репутация: 0
По умолчанию

Цитата:
Сообщение от Demon1X Посмотреть сообщение
Значит в Windows ip модуль отправляет арп запрос не смотря на то, что шлюз находится не в его подсетке.
Настроенные адреса для Good и Bad находятся в одной подсети. Это достигнуто благодаря изменению маски подсети. Теперь адреса 192.168.0.0 - 192.168.3.255 будут в одной подсети. Мне непонятно лишь одно, почему тогда группа Good не может зайти на ресурсы Bad?!
aLEEXanDR вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot