Zdravím vás, chci se zeptat jak mám udělat jednu věc. Potřebuji oddělit jednu místnost s ostatními PC. Potřebuji prostě přímí přístup na internet bez toho abych spadal to té jejich lokální sítě viděl jejich PC a oni naše. Myslím si že na to asi bude potřeba nějaký firewall ale vůbec netuším jak ho udělat jestli koupit nějaký fyzický a nebo nainstalovat na server co bude v té místnosti? děkuji O
DMZ ? :notsure
Stacil by nejaky router ktery umi vytvorit VLANy, Mikrotiky by to snad mely umet, nebo jakekoliv trosku profi routery (Cisco, HP, Extreme)
Jde o to že v té místnosti bude něco jako počítačová učebna se serverem pouze pro tu "učebnu" a já potřebuji oddělit tu učebnu od ostatních PC v budově. De o to že třeba žáci můžou přinést omylem nějakou chybu (vir) a nebo najedou na nějaký zavirovaný stránky, antivir to nezjistí a dostane se to do ostatních PC v celé síti a ředitelka mě zabije. Proto potřebuji udělat přímí připojení na internet a aby to v nejhorším odnesla jen ta učebna a ne celá sít. Myslím si že router bude stačit. Ale nedokážu si představit jak to nakonfigurovat. (vím třeba že u nás ve škole je firewall a do toho sou strčený dva dráty jeden přívod internetu a druhý vývod. A je tam pak ještě volný výstup a ten je přímo na internet. Na ten se nestahují žádná pravidla omezení je to jak kdyby spojil přívod internetu rovnou s PC) ale jelikož už máme v té místnosti zásuvku a nevím kam je připojená tak to asi bude chtít levnější a řešení a jednoduší. Takže tedy přes ten router to hnát a jak to nakonfigurovat?
děkuji
děkuji
Jo server v učebně potřebuji také oddělit. V podstatě jestli to chápu bude to zapojené takto:
ETHERNET ZÁSUVKA-ROUTER (ten bude oddělovat sít)-SWITCH do něj bude zapojeno všechno četně serveru a všech PC.
ETHERNET ZÁSUVKA-ROUTER (ten bude oddělovat sít)-SWITCH do něj bude zapojeno všechno četně serveru a všech PC.
Ano, tak jak pisete. Jen je mozne pouzit i ten server jako router, ale jednodussi asi bude mit samostatny router s aktivnim NAT, pripadne ve firewallu zakazat komunikaci jinam nez na vychozi branu internetu...
napr vsechny pc budou v siti 192.168.1.0 255.255.255.0 s vychozi branou 192.168.1.1
a v ucebne bude router, na WAN rozhrani bude mit ip 192.168.1.5 a na LAN pro ucebnu bude sit 192.168.2.0 255.255.255.0, LAN rozhrani routeru 192.168.2.1
na routeru aktivovat NAT a idealne ve firewallu nastavit pravidla allow 192.168.2.0 -> 192.168.1.1 a deny 192.168.2.0 -> 192.168.1.0 (ve spravnem poradi aby FW napred povolil komunikaci ven na branu do internetu a pak teprve zakazal zbytek site)
Pokud jde ciste o bezpecnost, bylo by lepsi mit i samostatny router pro "ostatni pc v budove" a druhy router vedle pro ucebnu. router s NAT totiz ani tak moc nechrani venkovni pc jako pc v ucebne pred ostatnimi PC v budove.
Takze idealne:
Krabice od poskytovatele netu __ router pro celou budovu - switch na vsechna ostatni pc
[INDENT][INDENT][INDENT][INDENT][INDENT]\_ router pro ucebnu - switch pro ucebnu[/INDENT][/INDENT][/INDENT][/INDENT][/INDENT]
Pokud ma krabice od poskytovatele netu primo dva porty tak dat routery do nich, pokud jenom jednu, tak dalsi switch, a do toho switche jen krabici od poskytovatele a dva routery. Pak nebude potreba nastavovat FW.
Salam - VLAN musi tusim podporovat i switche
napr vsechny pc budou v siti 192.168.1.0 255.255.255.0 s vychozi branou 192.168.1.1
a v ucebne bude router, na WAN rozhrani bude mit ip 192.168.1.5 a na LAN pro ucebnu bude sit 192.168.2.0 255.255.255.0, LAN rozhrani routeru 192.168.2.1
na routeru aktivovat NAT a idealne ve firewallu nastavit pravidla allow 192.168.2.0 -> 192.168.1.1 a deny 192.168.2.0 -> 192.168.1.0 (ve spravnem poradi aby FW napred povolil komunikaci ven na branu do internetu a pak teprve zakazal zbytek site)
Pokud jde ciste o bezpecnost, bylo by lepsi mit i samostatny router pro "ostatni pc v budove" a druhy router vedle pro ucebnu. router s NAT totiz ani tak moc nechrani venkovni pc jako pc v ucebne pred ostatnimi PC v budove.
Takze idealne:
Krabice od poskytovatele netu __ router pro celou budovu - switch na vsechna ostatni pc
[INDENT][INDENT][INDENT][INDENT][INDENT]\_ router pro ucebnu - switch pro ucebnu[/INDENT][/INDENT][/INDENT][/INDENT][/INDENT]
Pokud ma krabice od poskytovatele netu primo dva porty tak dat routery do nich, pokud jenom jednu, tak dalsi switch, a do toho switche jen krabici od poskytovatele a dva routery. Pak nebude potreba nastavovat FW.
Salam - VLAN musi tusim podporovat i switche
[QUOTE=mech13;526315]
Salam - VLAN musi tusim podporovat i switche[/QUOTE]
Jo jo, necekal jsem ze to bude takovahle sit :D
To co navrhujes je asi idealni reseni :)
Salam - VLAN musi tusim podporovat i switche[/QUOTE]
Jo jo, necekal jsem ze to bude takovahle sit :D
To co navrhujes je asi idealni reseni :)
Takže tomu rozumím tak že ve FW serveru nastavím aby PC nekomunikovali s ničím kromě internetové brány a v routeru to nastavím také. Pak to v učebně upravím tak že všechny PC budou mít IP v rozsahu OD DO to zadám do routeru a v routeru ještě nastavím tam IP ethernetové brány se kterou to má pouze komunikovat.
děkuji O.
děkuji O.
v serveru nebudes muset nastavovat nic, ten bude proste jen jeden dalsi pocitac v ucebne... hlavni bude nastaveni routeru.
WAN rozhrani routeru zapojis do aktualniho switche mezi ostatni PC a nastavis mu IP jako kterymukoliv jinymu PC (radsi nenechavat na DHCP ale dat natvrdo IP mimo rozsah pridelovany DHCP serverem).
LAN rozhrani routeru zapojis do swirche v "nebezpecne" ucebne, do dalsiho portu switche bude zapojeny server, stejne jako vsechny ostatni PC v ucebne. Proste vse bude ve switchi, jen z WAN routeru povede kabel "do sveta" do soucasne site.
na routeru nastavis pro LAN rozhrani jinou sit, nez jaka je ve zbytku budovy - tj pokud ted pouzivate napr 192.168.1.0 tak na LAN routeru dat 192.168.2.0 (0 je adresa site, rozsah pro jednotlive zarizeni/pc je 1-254).
Dal je potreba na routeru zapnout NAT a pravdepodobne budes chtit i DHCP (pokud nebudou mit PC natvrdo IP adresy).
Po tomto budou PC v ucebne z ostatnich nedostupne, ale ostatni pc budou pravdepodobne dostupne po zadani jejich IP adresy - jen nebude fungovat preklad jmen. Takze naslepo se nikdo nikam nedostane, ale kdyz bude zkouset, nebo znat IP PC nekde v budove, muze ho pingat nebo pristupovat na verejne sdileni apod...
Tady prave musi prijit na radu firewall routeru, ktery zarazi veskerou komunikaci jinam nez na internet.
Pokud by se poridily routery dva, tak se za jeden skovaji stavajici PC, za druhy ucebna a nemusi se nastavovat firewall, protoze NAT nepustni nic pres router dovnitr do jeho LAN site (pokud se zamerne nepresmeruji porty).
WAN rozhrani routeru zapojis do aktualniho switche mezi ostatni PC a nastavis mu IP jako kterymukoliv jinymu PC (radsi nenechavat na DHCP ale dat natvrdo IP mimo rozsah pridelovany DHCP serverem).
LAN rozhrani routeru zapojis do swirche v "nebezpecne" ucebne, do dalsiho portu switche bude zapojeny server, stejne jako vsechny ostatni PC v ucebne. Proste vse bude ve switchi, jen z WAN routeru povede kabel "do sveta" do soucasne site.
na routeru nastavis pro LAN rozhrani jinou sit, nez jaka je ve zbytku budovy - tj pokud ted pouzivate napr 192.168.1.0 tak na LAN routeru dat 192.168.2.0 (0 je adresa site, rozsah pro jednotlive zarizeni/pc je 1-254).
Dal je potreba na routeru zapnout NAT a pravdepodobne budes chtit i DHCP (pokud nebudou mit PC natvrdo IP adresy).
Po tomto budou PC v ucebne z ostatnich nedostupne, ale ostatni pc budou pravdepodobne dostupne po zadani jejich IP adresy - jen nebude fungovat preklad jmen. Takze naslepo se nikdo nikam nedostane, ale kdyz bude zkouset, nebo znat IP PC nekde v budove, muze ho pingat nebo pristupovat na verejne sdileni apod...
Tady prave musi prijit na radu firewall routeru, ktery zarazi veskerou komunikaci jinam nez na internet.
Pokud by se poridily routery dva, tak se za jeden skovaji stavajici PC, za druhy ucebna a nemusi se nastavovat firewall, protoze NAT nepustni nic pres router dovnitr do jeho LAN site (pokud se zamerne nepresmeruji porty).
Alebo sa moze pouzit switch, ktory vie port based VLANy. Potom sa nastavi komunikacia iba medzi router, server, skupina1 portov, dalej zase router, server, skupina2 portov, atd... Pripadne, ak by bolo obmedzenie, ze server bude niekde pred routerom, tak by sa dala pouzit funcksia lepsich switchov - PORT ISOLATION, kedy vytvara akoby VLANU medzi jednym hlavnym portom /typicky router, alebo server/ a kazdym dalsim portom. Cize kazdy port vidi hlavny port, ale navzajom sa medzi sebou nevidia. Netreba vytvarat skupiny, kazdy, kto si zaviruje svoje PC bude ohrozovat maximalne router, ci server a nie dalsie PC v inych castiach budovy, ani v ramci ucebne. Takuto funkciu vedia vyuzit napr. internetovi provideri, kde kazdy zakaznik nevidi toho druheho.
