Разделить сеть (помогите грамотно разделить сеть)

[watcher]

Помогите решить задачу.

Дано: На ADSL модем в режиме bridge приходит интернет. Модем тыкнут в Ciscу которая поднимает vpn сессию. Cisco втыкнута в свитч который раздаёт всё это дело в сеть. Адресс Cisco 192.168.1.250. К свичу подключены ПК под управлением XP один из которых так называемый сервер (192.168.1.2) на котором крутится бд Oracle. Все компьютеры в сети естественно имеют адреса вида 192.168.1.**. И ходят к 192.168.1.2 на бд Oracle по стандартному порту 1521. К 192.168.1.2 есть удалённый доступ через интернет (на cisco к нему проброшен порт) так что тот кто заходит удалённо видит всё сеть и все её шары. Доступа к ciscе как и к 192.168.1.2 нет.

Получить: Сделать так разделить сеть чтоб внутреннюю сеть через удалённый доступ к 192.168.1.2 (пк 192.168.1.** не было видно извне) и все пк имели доступ к 192.168.1.2.
Для решения задачи имеем в распоряжении cel 1300 и 128 RAM.

Я думаю поставить на cel 1300 какой-то linux скорее всего debian и как-то сделать так чтоб все пк шли в инет и на бд через него имея адреса вида 172.16.*.*, а он как-то это всё дело разруливал далее.

Подскажите будь ласка возможно ли это и как. Если сумбурно написал и нужны детали уточню.

[danger08]

Помогите решить задачу.

Дано: На ADSL модем в режиме bridge приходит интернет. Модем тыкнут в Ciscу которая поднимает vpn сессию. Cisco втыкнута в свитч который раздаёт всё это дело в сеть. Адресс Cisco 192.168.1.250. К свичу подключены ПК под управлением XP один из которых так называемый сервер (192.168.1.2) на котором крутится бд Oracle. Все компьютеры в сети естественно имеют адреса вида 192.168.1.**. И ходят к 192.168.1.2 на бд Oracle по стандартному порту 1521. К 192.168.1.2 есть удалённый доступ через интернет (на cisco к нему проброшен порт) так что тот кто заходит удалённо видит всё сеть и все её шары. Доступа к ciscе как и к 192.168.1.2 нет.

Получить: Сделать так разделить сеть чтоб внутреннюю сеть через удалённый доступ к 192.168.1.2 (пк 192.168.1.** не было видно извне) и все пк имели доступ к 192.168.1.2.
Для решения задачи имеем в распоряжении cel 1300 и 128 RAM.

Я думаю поставить на cel 1300 какой-то linux скорее всего debian и как-то сделать так чтоб все пк шли в инет и на бд через него имея адреса вида 172.16.*.*, а он как-то это всё дело разруливал далее.

Подскажите будь ласка возможно ли это и как. Если сумбурно написал и нужны детали уточню.

Назначить циску (192.168.1.1 ?) маршрутом по умолчанию и настроить на ней SNAT от локальной сети.

[watcher]

danger08

Доступа к ciscе как и к 192.168.1.2 нет.

может ещё есть варианты? или я что-то не понял?

[danger08]

danger08

Доступа к ciscе как и к 192.168.1.2 нет.

может ещё есть варианты? или я что-то не понял?

Как я понял, все завязано на циске (интернет+впн приходят на нее). Поэтому, не имея доступа к циске (как к маршрутизатору, который раздает что-то извне в сеть) и вашему серверу 192.168.1.2 (единственной машине, которой хоть как-то разрешено ходить через циску) - не настроите.

Сторонняя машина просто не при делах, для циски это будет рядовая машина внутренней сети. Просто перенастройте циску так, как вам нужно (выборочно пускать машины из сети и SNAT для них; оставить DNAT для вашего сервера), и не надо машину ставить дополнительно.

[watcher]

danger08 А можно сделать так не имея доступа к циске чтоб все машины в сети имели адреса типа 10.10.1.** соотеветсвенно их шары не будут видны с машины 192.168.1.2, но все они могли ходить на машину 192.168.1.2 и имели доступ в инет?

P.S. Может я не дописал, ВСЕ машины ходят в инет через циску т.е шлюз у всех 192.168.1.250.

[danger08]

danger08 А можно сделать так не имея доступа к циске чтоб все машины в сети имели адреса типа 10.10.1.**

Тогда они не смогут ходить через циску (роутер ничего не знает о сети 10.*).

P.S. Может я не дописал, ВСЕ машины ходят в инет через циску т.е шлюз у всех 192.168.1.250.

Если все машины могут ходить через циску - тогда вы можете поставить дополнительную машину, поставив ее шлюзом между машинами локалки и сетью с сервером 192.168.1.2 и циской. Ставите две сетевухи на шлюз, и настраиваете SNAT из одной сети в другую (чтобы машины локалки, за шлюзом, ходили в инет через циску).

Но проще вам настроить файерволы на машинах в вашей локалке, чтоб разграничить - кому разрешено заходить на шары, а кому нет.

[watcher]

danger08 Спасибо. Есть над чем подумать.
Ещё такой вопрос. Если я ставлю две сетевые в шлюз, и втыкаю их в один свич - это нормально?

[danger08]

danger08 Спасибо. Есть над чем подумать.
Ещё такой вопрос. Если я ставлю две сетевые в шлюз, и втыкаю их в один свич - это нормально?

Чисто теоретически - ничего плохого в этом нет.
Но практически - это сводит на нет все ваши усилия по разделению сетей (ведь вы их хотите именно физически разделить).

[watcher]

danger08 Моя цель сделать так чтоб тот кто имеет удалённый доступ на 192.168.1.2 не мог ходить по остальным windows шарам находящихся в сети 192.168.1.**, но все машины в сети могли ходить на 192.168.1.2 Ну и попутно настроить один файрволл для всех widows машин. Как бы это сделать с меньшими затратами и времени (сил) и материалов?

[danger08]

Как бы это сделать с меньшими затратами и времени (сил) и материалов?

Самое грамотное, что можно сделать - это перенастроить циску так, как вам надо (настроить там файервол и прочее, чтобы пропускать удаленные соединения только туда, куда надо). Всё, предложенное ниже - велосипеды из серии "не хочу трогать циску"

1) Из вашего компьютера сделать шлюз. Вставить туда две сетевые карты и разделить сеть (в одной сети будет циска, сервер и сам шлюз; в другой шлюз и остальные машины локальной сети). На шлюзе настроить SNAT для доступа машин локалки к серверу, циске и в инет. Там же написать правила файервола - насчет того, кому куда из локалки можно ходить. Втыкать машины из обоих сетей в один хаб - здесь нельзя, иначе само такое разделение теряет смысл.

2) Не ставить дополнительную машину вообще, а на каждом компьютере локалки настроить файерволы, чтоб пропускали SMB-соединения (к шарам) только с определенных адресов. К коим адрес сервера не относится.

[watcher]

"не хочу трогать циску"

не имею таких полномочий. Вообщем примерно я определился. Спасибо, ещё раз.

[44616e]

Что-то мне подсказывает, что проще будет прикрутить к "серверу" firewall и с его помощью запретить порты 137-139, 445 и, по-моему, 135 (не уверен). SMB работает именно по этим портам, соответственно с "сервера" виндовые шары в сети будут не видны.