PDA

Просмотр полной версии : Запрет доступа к ADSL модему



meir
20.04.2009, 06:24
Здравствуйте! Есть сеть 30 ПК, есть модем(интер кросс, режим Bridge),- подключенный к хабу этой сети. Настроили интернет на сервере(протокол PPPoe), подняли прокси сервер, задали доступ к интернету на 4 ПК. Через некоторое время выясняется, что умные пользователи(которых не подключали), принесли свои домашние карточки и через (PPPoe) подключились к интернету. Когда об этом узнал директор, я получил по шапке, и задание,- запретить доступ с рабочих ПК к интернету. Можно ли где-то в настройках модема запретить подключения к нему со всех ПК, кроме сервера. В сети ip назначаются автоматически, сервер имеет постоянный ip. Пожалуйста :(жду советов.:)

Damien
20.04.2009, 08:02
подняли прокси сервер
какой прокси и модем - такие и возможности.
Некоторые и по MAC могут фильтровать.

meir
20.04.2009, 08:21
какой прокси и модем - такие и возможности.
Некоторые и по MAC могут фильтровать.

Прокси User gate, установлен на сервере. А пользователи выходят не через прокси, а создают свое соединение и подключаются. Мне нужно узнать как называется настройка в модеме, которая фильтрует подключения к нему. Модем "Интер кросс", но настройки у всех модемов называются одинаково, только графически расположены по разному.

RiC
20.04.2009, 08:38
Ваша схема подключения небезопасна.

Лучший вариант - включить модем в сервер напрямую, если свич управляемый и поддерживает виртуальные сети (VLAN) можно сделать VLAN с порта модема на порт сервера, это чтобы не мучатся с проводами.
Самый постой вариант - прописать авторизацию на модеме, сеть для пользователей использовать отличную от сети в конторе (к примеру сеть в конторе 192.168.0.ХХХ то на модеме прописать что-нибудь типа 10.20.30.ХХХ или 172.16.10.ХХХ) и на сервере дополнительно использовать IP из этой сети, но с точки зрения безопасности этот вариант тоже не подарок...


Некоторые и по MAC могут фильтровать.
А зачем ? если можно и проще и стандартнее.

meir
20.04.2009, 09:12
Ваша схема подключения небезопасна.

Лучший вариант - включить модем в сервер напрямую, если свич управляемый и поддерживает виртуальные сети (VLAN) можно сделать VLAN с порта модема на порт сервера, это чтобы не мучатся с проводами.
Самый постой вариант - прописать авторизацию на модеме, сеть для пользователей использовать отличную от сети в конторе (к примеру сеть в конторе 192.168.0.ХХХ то на модеме прописать что-нибудь типа 10.20.30.ХХХ или 172.16.10.ХХХ) и на сервере дополнительно использовать IP из этой сети, но с точки зрения безопасности этот вариант тоже не подарок...


А зачем ? если можно и проще и стандартнее.
Напрямую - самый отличный вариант, но надо протащить 60м кабеля, поэтому я оставил его на последок.
С адресами тоже не подойдет,- подключение идет через протокол "PPPoe", а он не использует "tcp/ip". А что за авторизация, и может ли она как-то повлиять в режиме "bridge". Если авторизация, это имя и пароль для входа в интернет оболочку модема, то это тоже не поможет.

RiC
20.04.2009, 09:28
С адресами тоже не подойдет,- подключение идет через протокол "PPPoe", а он не использует "tcp/ip".
Он использует подключение по MAC адресам.


А что за авторизация, и может ли она как-то повлиять в режиме "bridge".
Любой модем , покрайней мере из того ассорти, которое я держал в руках, умеет в режиме Router авторизоваться по pppoe сам, и сервер для этого ему не нужен. В настройках модема есть протокол, для протокола PPPOE там есть логин и пароль.


Напрямую - самый отличный вариант, но надо протащить 60м кабеля
60 метров это ерунда, если это не наружная стена выше 3-го этажа ... конечно ;)