Jump to content
SHUSHBOR

ограничение доступа к рабочей станции из локальной сети

Recommended Posts

KAV 6.0 for workstation, на 17 пользователей, лицензионный.

Устанавливаю в настройках антихакера правила для пакетов IP, TCP, UDP - запрещать, входящий доступ, из диапазона 192.168.1.10 - 192.168.1.255

Пытаюсь войти в сетевую папку с Раб. станции с ip допустим 192.168.1.11 или 192.168.1.78 - ПУСКАЕТ!

Почему? Что я делаю неправильно?

Share this post


Link to post

У вас на вкладке зоны подсеть 192.168.1.* наверняка указана как локальная сеть, поэтому DCOM, NetBIOS и SMB разрешены и выключить их нельзя. Чтобы ваши правила заработали, нужно изменить зону на интернет.

 

PS. Что изменится при смене статуса зоны в Анти-Хакере в Антивирусе Касперского версии 6.0.4.x?

 

 

Спасибо!

Но в описании статуса "Интернет" в настройках антихакера говориться: "запрещать доступ к файлам и принтерам (Netbios)"

Т.е. использовать такую раб. станцию для размещения сетевых ресурсов уже будет невозможно?

Share this post


Link to post

У вас на вкладке зоны подсеть 192.168.1.* наверняка указана как локальная сеть, поэтому DCOM, NetBIOS и SMB разрешены и выключить их нельзя. Чтобы ваши правила заработали, нужно изменить зону на интернет.

 

PS. Что изменится при смене статуса зоны в Анти-Хакере в Антивирусе Касперского версии 6.0.4.x?

 

 

Спасибо!

Но в описании статуса "Интернет" в настройках антихакера говориться: "запрещать доступ к файлам и принтерам (Netbios)"

Т.е. использовать раб. станцию где зона локальной сети выбрана в антихакере как интернет для размещения сетевых ресурсов уже будет невозможно?

 

Я хотел разбить сеть на два сегмента, первый из которых мог бы иметь доступ только в первый, а второй мог бы иметь доступ к первому и второму. Разграничить доступ на основе политик невозможно, т.к. сеть без домена, нет постоянно включенного компьютера, а люди выходят на работу хаотически (в выходные).

Возможно ли это сделать на основе правил пакетов для касперского. может быть есть другой вариант разграничения на основе диапазонов IP?

Share this post


Link to post

Да, не очень понятно...

Почему бы не использовать "бортовые" средства и ограничивать доступ на уровне пользователей, соответственно сконфигурировав ресурсы общего доступа?

Share this post


Link to post

SHUSHBOR

Я, как и пользователь, не уверен что правильно понял ваш вопрос.

Но антивирус и фаервол не подходят для решения тех задач, которые я могу предположить...

 

1) Если вам надо физически разделить сети - купите роутер.

2) Если нужно ограничить доступ к общим папкам - настройте права доступа в папках. Кстати в этом вопросе (и не только в этом) поднятие AD может сильно упростить вам жизнь.

 

Share this post


Link to post
SHUSHBOR

Я, как и пользователь, не уверен что правильно понял ваш вопрос.

Но антивирус и фаервол не подходят для решения тех задач, которые я могу предположить...

 

1) Если вам надо физически разделить сети - купите роутер.

2) Если нужно ограничить доступ к общим папкам - настройте права доступа в папках. Кстати в этом вопросе (и не только в этом) поднятие AD может сильно упростить вам жизнь.

 

 

Что тут непонятного? Разделение пользователей на группы по поддиапазонам IP - вряд ли это такая уж экзотика.

Роутер - вещь хорошая, но когда линии проложены, а пользователи сидят где угодно - его надо приобретать вместо коммутатора и настраивать и вряд ли эта настрой намного проще.

Поднять домен - выделенного сервера нет, все компы выключаютсяв конце дня, а если пара человек пришли на работу и хотят обменяться данными по сети?

А если фаервол предоставляет такой сервис - почему бы его не использовать?

Другое дело - может быть есть какой то софт, который специально для этого сделан, но я его не знаю, а касперский для этого слабо подходит. Начинаешь настраивать - то срабатывает настройка доступа, то нет. Тут вы правы.

Share this post


Link to post

Позвольте полюбопытствовать, сколько компьютеров в этих подсетях ?

Share this post


Link to post

Если Вам необходимо ограничить доступ к компам, то можно это сделать штатным брандмауэром, ограничив по IP адресам порты 137,138,139, только это немного геморойно. Например, добавляете 192.168.0.1/255.255.255.255,192.168.0.2/255.255.255.255 на компьютере с 192.168.10.3 и также проделываете на других только меняйте ip. Должно помочь.

Share this post


Link to post
Плохой совет.

Во-первых - встроенный брандмауэр отключается антивирусом. Во-вторых, он убог. В третьих - лучше разграничение доступа делать средствами винды, а не фаерволами. Как минимум потому, что я уже описал возможную проблему с обозревателем. А ведь есть шанс, что при эксплуатации такой "защиты" еще что-нибудь всплывет.

Ну его можно и включить... Ну, да убог, но для топикстартера - как раз то что нужно. А проблем не должно быть с обозревателем.

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.