Разделение на подсети

[Ognev]

Доброго времени суток, господа.
Хотелось бы услышать разные советы, про то, как лучше реализовать задачу по разделению двух сетей.
Что есть.
Есть две сетки, скажем А и Б, разнесенные территориально и соединенные модемами. Пока у всех фиксированные Ip из одного диапазона и все видят друг-друга в локальной сети. Сеть одноранговая. Хотя вроде бы в сети Б хотят поднять домен.
Что нужно.
В идеале хотелось бы, чтобы доступ по локалке из А в Б был свободным, а из Б в А могли ходить только разрешенные пользователи (или Ip или адреса сетевух). Очень желательна возможность легко и быстро менять права доступа, скажем дать кому-то доступ на пару часов или закрыть доступ для кого-то. Неплохо было-бы, чтобы доступ давался не на всю сеть А, а на определнные Ip.
Что можно.
Можно как угодно менять конфигурацию сети А. Есть комп с двумя сетевыми, который находится в сети А и который можно использовать для такого разделения. На него можно поставить любую операционку и любой софт.
Хотелось бы узнать несколько вариантов и возможные их плюсы и минусы.
Заранее спасибо всем, кто откликнется.

 

[Korovka]

Ставишь на тот комп 2k/2k3 сервер, ISA 2004 и настраиваешь там firewall policy.
Комп, естесственно, должен быть между сетями, и предварительно надо разделить сетки на подсети и настроить раутинг.
Доступ для IP в нем легко настроить, но, сам понимаешь, пользователь IP тоже легко меняет.
Видимости в "сетевом окружении" обеих подсетей добиться очень тяжело - надо иметь WINS сервер (один на обе сети или два с репликацией), иметь устойчивые master browser в обеих сетях, single-homed DC, которые будут domain master browser... короче, мало кто смог это сделать.

 

[Ognev]

Может в каких-то стенках есть возможность фильтровать локальный трафик по Ip, или может не в стенках, а в каком-то софте, который будет перекидывать трафик с одной сетевухи на другую. А то уж чем иметь такой геморой, пусть все будет как есть

 

[Korovka]

Ну еще можно сделать раутер м/у сетями на линухе и поставить на нём broadcast forwarder (Для просмотра ссылки Войди или Зарегистрируйся) на порт 139, тогда сетевое окружение должно работать как и раньше. Если линух не нравится, можешь откомпилировать этот forwarder под винды.
А вообще ограничение доступа по IP адресам обычно плохо кончается, в виндах рекомендованный путь - поднимать домен, создавать группы и раздавать права.

 

[Ognev]

Korovka,
Спасибо за ответы. Мне чего то вот не хотелось связываться с доменом, но видно от судьбы не уйдешь А может действительно все ни Линуксе попробовать замутить, хоть эту ОСь может освою.
P.S. Еще раз спасибо.

 

[MozgFx]

Korovka,
Спасибо за ответы. Мне чего то вот не хотелось связываться с доменом, но видно от судьбы не уйдешь А может действительно все ни Линуксе попробовать замутить, хоть эту ОСь может освою.
P.S. Еще раз спасибо.

Маска подсети задается для того чтобы установить ограничение возможного максимального количества IP.

Например!

192.168.10.10 тока нужно не забыть что еще несколько IP резервируются для localhost и их нельзя использовать не на локальной машине если я не ошибаюсь 127.0.0.0
255.255.255.0

Подробное руководство я видел тока в Руководстве Администратора SuSe Linux 9.2

 

[myafik]

MozgFx, поправочка localhost это всегда 127.0.0.1

 

[Ognev]

MozgFx,
и причем здесь маска??? И, вообще, ты о чем???
P.S. А про localhost есть хороший анекдот:
Компьютерный форум по хаку. Юное дарование пишет:
- Дайте мне адрес какого-нибудь лоха!!! Я с ним такое сделаю!!!
- Держи: 127.0.0.1

 

[MozgFx]

MozgFx,
и причем здесь маска??? И, вообще, ты о чем???
P.S. А про localhost есть хороший анекдот:
Компьютерный форум по хаку. Юное дарование пишет:
- Дайте мне адрес какого-нибудь лоха!!! Я с ним такое сделаю!!!
- Держи: 127.0.0.1

По порядку причем здесь маска! Маска подсети! Она так и называется!

А анекдот прикольный!

 

[Ognev]

Как маска подсети относится к тому, что я здесь спрашивал???

 

[MozgFx]

Как маска подсети относится к тому, что я здесь спрашивал???

Разделение на подсети - Так называется раздел

 

[Ognev]

Если ВНИМАТЕЛЬНО прочитать, что я спрашивал то окажется, что все разделение надо организовать на одном компе (с двумя сетевухами). А на счет стены, я уже спрашивал - кто знает, скажите, КАКАЯ ИМЕННО может фильтровать локальный трафик!
P.S. И вообще, очень полезно, прежде чем отвечать, почитать что уже есть в теме

 

[Ognev]

1) Не стои все, что говорят воспринимать на свой счет. И помните, как в рекламе - нежнее надо, нежнее
2) Ставить сетну на все клиентские машины - это не вариант. Поэтому я уже спрашивал - какая из них позволяет гибко филтровать локальный трафик.

 

[myafik]

Ognev, локальный трафик может фильтровать ISA 2004
Вообще можно создать несколько объектов типа локальная сеть (с разными диапазонами) и как хочешь регламентировать между ними отношения (например NAT или Route, какие порты или протоколы разрешены итд... очень гибко больше просто не бывает ИМХО)