לוגו אתר Fresh          
 
 
  אפשרות תפריט  ראשי     אפשרות תפריט  צ'אט     אפשרות תפריט  מבזקים     אפשרות תפריט  צור קשר     חץ שמאלה חץ ימינה  

לך אחורה   לובי הפורומים > מחשבים > חומרה ורשתות
שמור לעצמך קישור לדף זה באתרי שמירת קישורים חברתיים
תגובה
 
כלי אשכול חפש באשכול זה



  #1  
ישן 05-06-2017, 23:41
  amir1 amir1 אינו מחובר  
 
חבר מתאריך: 28.07.02
הודעות: 1,256
ראוטר אחרי ראוטר,כיצד ניתן למנוע גישה מיוזר לרשת א'

אם למשל יש לי משרד על ראוטר 192.168.3.1
וכדי לספק אינטרנט לכיתה משכתי מיציאת LAN שלו כבל ל WAN של ראוטר אחר שהוא מחלק כתובות 192.168.2.1 ומשתף להם אינטרנט ..
אז למרות שכעת יש לי שני רשתות שונות שהאחת לא רואה את השניה ,
אבל בפועל, הראוטר השני בעצם מנתב את הפניות של הכיתה החוצה לרשת 192.168.3.1
ובאותה מדה כל תלמיד יכול בעצם לגשת לכל מחשב ברשת א' של המשרד ע"י כתובת ה-IP שלו .


שאלה נוספת היא, האם המצב הזה לא יוצר בעיה למחשב השרת למשל, שיש לו שני כרטיסי רשת
האחד לרשת המשרד והשני לרשת הכיתה .
ובעצם יוצא מצב שכל פניה שלו לכתובת 192.168.3 יכולה להגיע לכתובת משני הכרטיסים .

עד כאן מצב א'
אחרי שאבין אותו אולי תפתר לי גם בעייה ב' בשני שרתים של שני כיתות
לכל שרת שני כרטיסים, האחד לכיוון הרשת המשרדית והשני לכיתה שלו .

שבסריקת הרשת מכיוון הכרטיס של הכיתה ע"י תוכנת SCAN אני מקבל מין לופ של כל הכתובות
כשהכתובת הפיזית שמופיע היא בעצם של ראוטר שנמצא על הרשת הראשונה .

(האמת שזה קורה דווקא בתוכנת סריקה הזו , ורק אם אני סורק קודם את הרשת הראשונה ואז את השניה
אבל אם אני סורק קודם את השניה הפלט יוצא נקי .
בתוכנה אחרת כמו netscan זה לא קורה )


תמונה שהועלתה על ידי גולש באתר ולכן אין אנו יכולים לדעת מה היא מכילה

תמונה שהועלתה על ידי גולש באתר ולכן אין אנו יכולים לדעת מה היא מכילה

ואילו סריקה מהכרטיס השני יוצאת תקינה .

תמונה שהועלתה על ידי גולש באתר ולכן אין אנו יכולים לדעת מה היא מכילה

נערך לאחרונה ע"י amir1 בתאריך 05-06-2017 בשעה 23:47.
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #2  
ישן 06-06-2017, 00:09
  שימיadmin שימי אינו מחובר  
מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"
 
חבר מתאריך: 25.10.01
הודעות: 42,776
בתגובה להודעה מספר 1 שנכתבה על ידי amir1 שמתחילה ב "ראוטר אחרי ראוטר,כיצד ניתן למנוע גישה מיוזר לרשת א'"

למנוע ממשתמש חכם או ממשתמש טיפש?

ממשתמש טיפש, אתה יכול להוסיף בכל המחשבים ברשת 192.168.2 ניתוב סטטי קבוע (בעולמה של מיקרוסופט: route -p) לכיוון 192.168.3.0/255.255.255.0 דרך IP שלא קיים באותה רשת, נניח 192.168.2.254 (בהנחה שזה אכן IP שלא קיים). זה יגרום לכל תעבורה שיעדה הוא הרשת השנייה - לא להגיע לשום מקום.

אבל משתמש חכם יעלה על זה ופשוט ימחק את הניתוב.

אם אתה רוצה למנוע תעבורה דרך התקן רשת - הפתרון היחיד הוא פיירוול (בציוד תקשורת כגון נתבים או מתגים שכבה 3 זה נקרא לרוב ACL)

לגבי מחשב שיש לו שני כרטיסי רשת: אם שניהם מוגדרים כל אחד ברשת אחרת (IP/Mask), הוא יוציא את התקשורת אל הרשת הרלוונטית מהכרטיס שחבר בתוכה (אם כי, ברשתות עם ציוד מתחכם, בעיקר סיסקו, עלול להיות מופעל בברירת מחדל משהו שנקרא proxy-arp שעלול לגרום לכל מיני תקלות מוזרות. אני ממליץ לכבות.). הוא לא ינסה לנתב דרך ה default gateway משום שה default gateway הוא בעצם מה שנקרא gateway of last resort - אם לא נמצא אף נתיב אחר - לך לשם. אבל ברגע שאתה מתחבר לרשת, מוגדר לך אוטומטית "ניתוב" לכל טווח הרשת (בהתאם ל netmask שלך) שהוא "מקומי" (ב scope של ה link) - ולפיכך - כיוון שהוא ניתוב ספציפי יותר מהניתוב הכללי של ה DGW שהוא 0.0.0.0/0 (הכי כללי שיש) - זה יצא דרך שם, אלא אם כן תעשה משהו מכוון כדי שזה לא.

לגבי הסריקות - אני לא כל כך מבין מה המטרה שלך ומה אתה בודק (או חושב שאתה בודק ) אז אני לא יכול להגיב לגביהן
_____________________________________
תמונה שהועלתה על ידי גולש באתר ולכן אין אנו יכולים לדעת מה היא מכילה
נמאס לכם לזכור סיסמאות? לחצו כאן!

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #4  
ישן 06-06-2017, 08:11
  שימיadmin שימי אינו מחובר  
מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"
 
חבר מתאריך: 25.10.01
הודעות: 42,776
בתגובה להודעה מספר 3 שנכתבה על ידי amir1 שמתחילה ב "א' תודה על התשובה, אנסה ללמוד..."

אני מן הסתם הבנתי שכלי הסריקה "סורק", אבל מה מהות הבדיקה? מה אתה מגלה / יודע / מצפה להשיג בסריקה הזו? (לא מה אתה עושה ואיך, אלא מה המטרה שלך?) מהי מבחינתך "תקלה"? מה זה מבחינתך "תקין"? כשיהיו תשובות על השאלות האלה, אפשר לנסות להסביר את מה שאתה רואה או להמליץ על שיטה אחרת להשיג מה שאתה רוצה, או פשוט להגיד לך שמה שאתה מצפה לו לא באמת אפשרי. וכו'...

יש לפעמים ACL/Firewall גם בראוטרים פשוטים. אז סיכוי יש... כמו כן, ישנם ראוטרים שהתאימו להם firmware קוד פתוח, שאפשר להחליף את מערכת ההפעלה המקורית של הראוטר במשהו יותר טוב (מבוסס לינוקס בדרך כלל, ואז אתה יכול לעשות כמעט הכל כי יש לך גישה...). למשל: https://en.wikibooks.org/wiki/Tomat...pported_Devices - רשימת פיצ'רים: https://en.wikipedia.org/wiki/Tomato_(firmware)#Features
_____________________________________
תמונה שהועלתה על ידי גולש באתר ולכן אין אנו יכולים לדעת מה היא מכילה
נמאס לכם לזכור סיסמאות? לחצו כאן!

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #5  
ישן 06-06-2017, 10:48
  amir1 amir1 אינו מחובר  
 
חבר מתאריך: 28.07.02
הודעות: 1,256
OK
בתגובה להודעה מספר 4 שנכתבה על ידי שימי שמתחילה ב "אני מן הסתם הבנתי שכלי הסריקה..."

אז מסתבר שהפלט הזה תקין ומראה לי רשימת כתובות שנובעת מה-ARP ולא מתקלה כל שהיא ,
אני משתמש בכלי הזה כבר המון זמן ומעולם לא פגשתי ב"תופעה" הזו אז חשבתי שהיא מראה על תקלה ברשת .
וכנראה שכל אחת מהתוכניות האלו משתמשת בשיטת סריקה שונה ולכן השוני בתוצאות .
אבל זה לא אמור להפריע לתיפקוד הרשת .

בנוגע לבעיה השניה אבדוק אם בראוטר השני שמשתמשים שם יש את האפשרות הזו ,

ומדבריך שכתבת שגם ROUTE בתחנות יכול לעזור , אז למה שלא נבצע את זה בראוטר עצמו ,
אני חושב שאת האופציה הזו יש יותר סיכוי למצא בראוטרים שבשוק .

השאל האם אחרי שנחסום להם את הפניה לסידרה של 192.168.3.0 הם יוכלו עדיין לצאת לאינטרנט .
אני עדיין לא מבין למה זה עובד בצורה כזו שהמשתמש חייב "לראות" את הראוטר הראשון
ואי אפשר לעבוד בצורה שהראוטר המגשר ינהל את התקשורת מול הראוטר הראשון ,
האם לא כך עובד NAT ?
למה למשל בשרתים שבהם הגדרתי ROUTE זה עובד כך והם משתפים את האינטרנט לכיתה מבלי שהתחנות יוכלו לגשת לרשת שממנה מגיע הגישה לאינטרנט .

תודה .
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #6  
ישן 07-06-2017, 08:29
  שימיadmin שימי אינו מחובר  
מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"
 
חבר מתאריך: 25.10.01
הודעות: 42,776
בתגובה להודעה מספר 5 שנכתבה על ידי amir1 שמתחילה ב "OK"

אתה לא יכול לעשות את ה route הזה בראוטר משום שברגע שהתעבורה כבר הגיעה אל הראוטר, רשת היעד (192.168.3.0/0) היא כבר directly connected עליו, וכבר יהיה בו ניתוב מקומי אליה עבור תקשורת עם מי שמחובר איתו ברשת ההיא. גם אם נניח שאפשר לעשות קומבינות בכיוון הזה (מה שמכונה PBR בסיסקו), הסיכוי שהן יהיו אפשריות אבל ACL/Firewall לא - מאוד נמוך. ACL/Firewall נחשבות פונקציות הרבה יותר "פשוטות".

כן, אם תחסום את הגישה ל 192.168.3.0/24 האינטרנט עדיין יעבוד, וזאת משום שטווח הרשת המדובר לא מכסה אף מחשב באינטרנט אלא רק את הרשת המקומית השניה שלך.

המשתמש לא "רואה" שום דבר. כל התעבורה שנשלחת אל הראוטר עוברת NAT (מסוג SNAT) על ידי הראוטר. הראוטר עצמו הוא כמו כל מחשב אחר ברשת 192.168.3.0/24 - יש לו IP כלשהו ברשת הזו. וכל התעבורה שיוצאת מ 192.168.2.0/0, אחרי שעברה NAT, בעצם יוצאת מה IP-כלשהו הזה ב 192.168.3.0/24 - למשל מ 192.168.3.5. לפיכך, כמו שכל המחשבים ברשת 192.168.3.0/24 יכולים להתחבר לכל המחשבים האחרים ב 192.168.3.0/24 (אא"כ יש פיירוול שחוסם תעבורה כנ"ל, כאמור), אז גם המחשבים של 192.168.2.0/0 שיוצאים מ 192.168.3.5, יכולים.

אני לא יודע מה עשית בשרתים (למה בדיוק היית צריך להגדיר ROUTE בשביל לשתף אינטרנט? ROUTE לאן בדיוק? לא ברור.) ואיך נראית הטופולוגיה שם - אבל גם אם היא זהה לטופולוגיית הראוטרים שלך - בכל מערכת הפעלה מודרנית יש פיירוול, ואולי פשוט שם הוא פועל וקיימים עליו חוקים בסגנון שאמרתי שצריך...
_____________________________________
תמונה שהועלתה על ידי גולש באתר ולכן אין אנו יכולים לדעת מה היא מכילה
נמאס לכם לזכור סיסמאות? לחצו כאן!

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #12  
ישן 08-06-2017, 09:48
  שימיadmin שימי אינו מחובר  
מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"
 
חבר מתאריך: 25.10.01
הודעות: 42,776
בתגובה להודעה מספר 11 שנכתבה על ידי amir1 שמתחילה ב "אני לא חושב שאין ניתוב כזה,..."

ודאי שיש לטבלת הניתוב השפעה - זה גם מה שכתבתי - כבר יש ניתוב בטבלה עבור הרשת הזאת. תעשה בחלונות שלך "ROUTE PRINT" ותיווכח שאתה רואה שם שורה עבור הרשת המקומית שלך. אתה בעצם רוצה ליצור "עוד אחד", שהולך לאותו יעד, אבל שישפיע רק על כתובות מקור מסויימות.

ניתוב, הוא, באופן כללי, לפי יעד הפאקט, ולא לפי שום דבר אחר.

יש נתבים מתקדמים יותר שבהם יש מעבר לבסיס הנ"ל - כמו ניתוב לפי מדיניות שהזכרתי קודם (PBR), ניתוב לפי "עלות" הנתיב במובנים של תשלום עבור רוחב פס (LCR) או הבטחת איכות שירות מסויימת (QoS), וכיוצ"ב. אבל אלה המיוחדים יותר, ולא יימצאו בד"כ בראוטר בסיסי.

כאמור, יש סיכוי גבוה בהרבה למצוא אפשרות להגדיר חוקי פיירוול מאשר את התכונות הנ"ל. למה? זה די פשוט - משום ש 99.999999% מהמשתמשים של ציוד מהסוג הזה לא מנסים לעשות מה שאתה עושה.
_____________________________________
תמונה שהועלתה על ידי גולש באתר ולכן אין אנו יכולים לדעת מה היא מכילה
נמאס לכם לזכור סיסמאות? לחצו כאן!

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #14  
ישן 08-06-2017, 10:31
  שימיadmin שימי אינו מחובר  
מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"
 
חבר מתאריך: 25.10.01
הודעות: 42,776
בתגובה להודעה מספר 13 שנכתבה על ידי amir1 שמתחילה ב "תודה ( נערך )"

אם הראוטר שלך תומך במספר VLAN-ים - כלומר - הפרדת רשתות מוחלטת בין הפורטים שלו, כשהוא "חבר" בכל אחד מהם (VLAN Interface בלשונה של סיסקו) - והוא דואג שכל אחד מה VLAN-ים יוכל לצאת לאינטרנט, אבל הוא דואג לא להעביר תעבורה בין 2 ה VLAN-ים למרות שהוא חבר בשניהם וזה מה שקורה בראוטר באופן טבעי - זה יפתור לך את הבעייה.

האם זה אפשרי בדגם שאמרת? אני לא יודע, אבל זו הפונקציונליות שאתה מחפש.

אגב, הרבה נתבים עושים את זה דווקא ב Wi-Fi. הקונספט של "Guest Network" הוא בד"כ של שידור של SSID נוסף שבעצם מתאפשר לו לשלוח תעבורה רק לכיוון הממשק של האינטרנט, ולא למחשבים ב LAN. אבל לרוב מממשים את הפיצ'ר הזה דווקא על האלחוט - מסיבות מובנות (אורחים באים עם התקנים אלחוטיים ולא רוצים להתחיל לחבר כבלים...)
_____________________________________
תמונה שהועלתה על ידי גולש באתר ולכן אין אנו יכולים לדעת מה היא מכילה
נמאס לכם לזכור סיסמאות? לחצו כאן!

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
תגובה

כלי אשכול חפש באשכול זה
חפש באשכול זה:

חיפוש מתקדם
מצבי תצוגה דרג אשכול זה
דרג אשכול זה:

מזער את תיבת המידע אפשרויות משלוח הודעות
אתה לא יכול לפתוח אשכולות חדשים
אתה לא יכול להגיב לאשכולות
אתה לא יכול לצרף קבצים
אתה לא יכול לערוך את ההודעות שלך

קוד vB פעיל
קוד [IMG] פעיל
קוד HTML כבוי
מעבר לפורום



כל הזמנים המוצגים בדף זה הם לפי איזור זמן GMT +2. השעה כעת היא 18:58

הדף נוצר ב 0.06 שניות עם 11 שאילתות

הפורום מבוסס על vBulletin, גירסא 3.0.6
כל הזכויות לתוכנת הפורומים שמורות © 2024 - 2000 לחברת Jelsoft Enterprises.
כל הזכויות שמורות ל Fresh.co.il ©

צור קשר | תקנון האתר