Форум 3DNews
Вернуться   Форум 3DNews > Железо > Сети и средства коммуникации

Ответ Создать новую тему
Опции темы Опции просмотра
Непрочитано 15.03.2006, 00:23   [включить плавающее окно]   #1
BlooDilo
Мужской Интересующийся
Автор темы
 
Аватар для BlooDilo
 
Регистрация: 15.03.2006
Wlan, VPN, Server и Софт. Помогите пожалуйста начинающему администратору :)

В общем угораздило меня согласиться помогать одной маленкой фирме с ее сетевыми проблемами. Я раньше им только железо ставил, какое админ просил, а теперь он с начальником посрался и ушел (и чего ему не хватало?) Ну меня спросили, а я с дуру согласился.
Ситуация следущая:

1.
К 1 апреля контора переежает в новый оффис. Там надо объеденить около 10 компов в сеть без проводов, что б они видели друг друга и получали инет.
Это легко - ставим вилан-рутер, в него втыкаю адсл-модем и готово, правильно?
Или лутше адсл-модем->комп->влан-рутер? Если да, то чем?
Нужно ли мне ставить какой нибуть особый брэндмауер и антивирус?

2.
Один из компов должен будет выполнять роль сетевого диска. Т.е. там работники будут сохранять разную общую дребедень. Это тоже легко. Создаю отдельно раздел и полностью его расшариваю.
А как создать на этом компе такой раздел, что б к нему можно было получить доступ только с пароликом?

3.
К расшаренному диску (см. п.2) нужен доступ из другого оффиса, который находится черте где. Т.е. нужен VPN. Правильно? Я ничего не путаю? Будет ли это вообще работать с моей сетью (см. п.1) и какой мне для этого понадобится софт?
BlooDilo вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 15.03.2006, 10:23   [включить плавающее окно]   #2
NaimaD
Мужской Опытный
 
Аватар для NaimaD
 
Регистрация: 22.10.2003
Адрес: Москва
Цитата (BlooDilo) »
Это легко - ставим вилан-рутер, в него втыкаю адсл-модем и готово, правильно?
Или лутше адсл-модем->комп->влан-рутер? Если да, то чем?
Лучше поставить комп - легче контролировать проходящий траффик. Ставишь, скажем, TMeter и ISA server - последний в первую очередь в качестве файрволла.

Цитата (BlooDilo) »
Один из компов должен будет выполнять роль сетевого диска. Т.е. там работники будут сохранять разную общую дребедень. Это тоже легко. Создаю отдельно раздел и полностью его расшариваю.
А как создать на этом компе такой раздел, что б к нему можно было получить доступ только с пароликом?
Стандартными средствами - никак (я в смысле, чтобы пароль запрашивала). Только с помощью настроек доступа NTFS (офиц. рекоммендация: чтобы не путаться, в Sharing Permissions ставишь Everyone: FULL, а все настройки доступа делаешь в NTFS).

Цитата (BlooDilo) »
К расшаренному диску (см. п.2) нужен доступ из другого оффиса, который находится черте где. Т.е. нужен VPN. Правильно? Я ничего не путаю? Будет ли это вообще работать с моей сетью (см. п.1) и какой мне для этого понадобится софт?
Да. Посмотри Server Publishing в ISA Server'еи про настройку VPN'а в нём же.
NaimaD вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 15.03.2006, 16:03   [включить плавающее окно]   #3
BlooDilo
Мужской Интересующийся
Автор темы
 
Аватар для BlooDilo
 
Регистрация: 15.03.2006
NaimaD
Спасибо бошое за ответ. уже легче. Если не сложно, ответь пожалуйста на ешо пару вопросов.
Цитата
Лучше поставить комп - легче контролировать проходящий траффик.
Это запросто.
А какую на этот комп установить ОС (я имею ввиду ставить сервер или обычной ХР хватит)?
Есть ли смысл на это место поставить мой "сетевой диск" (хорошая тачка) или лутше собрать другую?

Цитата
Стандартными средствами - никак (я в смысле, чтобы пароль запрашивала).
А не стандартными
BlooDilo вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 15.03.2006, 16:38   [включить плавающее окно]   #4
NaimaD
Мужской Опытный
 
Аватар для NaimaD
 
Регистрация: 22.10.2003
Адрес: Москва
Цитата (BlooDilo) »
А какую на этот комп установить ОС
Лучше серверную. Насколько я помню, ISA Server не встаёт на XP.

Цитата (BlooDilo) »
Есть ли смысл на это место поставить мой "сетевой диск" (хорошая тачка) или лутше собрать другую?
Я вообще лично категорически против расширения функций пограничных компьютеров. Т.е. на серверах, которые стоят на границе сети и в DMZ не должно быть никаких функций, которые будут активно использоваться юзерами изнутри сети.

Впрочем, кто-то может сказать, что я излишне заморачиваюсь Но, ИМХО, осторожность лишней не бывает.

Цитата (BlooDilo) »
А не стандартными
Хммм... А Х.З. А зачем вообще? Если можно в принципе всё решить встроенными средствами? Какая разница, когда ты вводишь пароль: при логине на комп, при присоединении к другой тачке или при попытке захода в папку? )
NaimaD вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 15.03.2006, 17:09   [включить плавающее окно]   #5
Гхост-цзы
Мужской Умудрённый
 
Аватар для Гхост-цзы
 
Регистрация: 04.06.2004
Цитата (NaimaD) »
Лучше серверную. Насколько я помню, ISA Server не встаёт на XP.
ИСА и на Win 2003 Web Edition не встанет.


Цитата
Я вообще лично категорически против расширения функций пограничных компьютеров. Т.е. на серверах, которые стоят на границе сети и в DMZ не должно быть никаких функций, которые будут активно использоваться юзерами изнутри сети.
Впрочем, кто-то может сказать, что я излишне заморачиваюсь Но, ИМХО, осторожность лишней не бывает.
Я тоже страдаю паранойей , но ничего страшного в "функциях, которые будут активно использоваться юзерами изнутри сети" не вижу.
__________________
Крылья знаний меня от людей отлучили,
Я увидел, что люди - подобие пыли.
Гхост-цзы вне форума  
Ответить с цитированием
Непрочитано 15.03.2006, 18:18   [включить плавающее окно]   #6
NaimaD
Мужской Опытный
 
Аватар для NaimaD
 
Регистрация: 22.10.2003
Адрес: Москва
Цитата (Гхост-цзы) »
ИСА и на Win 2003 Web Edition не встанет.
Блин, я даже не знал, что такая есть ))

Цитата (Гхост-цзы) »
но ничего страшного в "функциях, которые будут активно использоваться юзерами изнутри сети" не вижу.
Была ситуация, когда на FreeBSD'шном сервере, который выполнял роль NAT'а в организации, хранили SQL'ную БД по клиентам (CRM). Ломанули машину, а там и потеряли БД с клиентами...

Вот и спрашивается, нафига было ставить конфеденциальную информацию на комп, который будет стоять первым на линии обороны (читай, первым в очереди на взлом)?
NaimaD вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 15.03.2006, 19:17   [включить плавающее окно]   #7
Гхост-цзы
Мужской Умудрённый
 
Аватар для Гхост-цзы
 
Регистрация: 04.06.2004
Цитата (NaimaD) »
Была ситуация, когда на FreeBSD'шном сервере, который выполнял роль NAT'а в организации, хранили SQL'ную БД по клиентам (CRM). Ломанули машину, а там и потеряли БД с клиентами...
сильно подозреваю, что ломанули его как раз через открытый наружу субэдэшный порт + в самой СУБД ничего для повышения безопасности не настраивалось
__________________
Крылья знаний меня от людей отлучили,
Я увидел, что люди - подобие пыли.
Гхост-цзы вне форума  
Ответить с цитированием
Непрочитано 15.03.2006, 19:36   [включить плавающее окно]   #8
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Цитата (Гхост-цзы) »
Цитата (NaimaD) »
Т.е. на серверах, которые стоят на границе сети и в DMZ не должно быть никаких функций, которые будут активно использоваться юзерами изнутри сети.
Я тоже страдаю паранойей , но ничего страшного в "функциях, которые будут активно использоваться юзерами изнутри сети" не вижу.
Вот в этом вопросе мне всё же точка зрения NaimaD кажется более разумной.
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 15.03.2006, 20:23   [включить плавающее окно]   #9
NaimaD
Мужской Опытный
 
Аватар для NaimaD
 
Регистрация: 22.10.2003
Адрес: Москва
Цитата (Гхост-цзы) »
сильно подозреваю, что ломанули его как раз через открытый наружу субэдэшный порт + в самой СУБД ничего для повышения безопасности не настраивалось
Не знаю, я в НИКСах вообще ничего не смыслю. Но, когда по моему запросу на хосте была проведена удалённая атака (в целях аудита), был найден руткит, который работал в обход ipfw (я так понимаю, это никсовый файр?). В любом случае, зачем рисковать?
NaimaD вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 15.03.2006, 20:51   [включить плавающее окно]   #10
FooBar
Заслуженный
 
Регистрация: 28.03.2004
Никаких компов, только железный раутер. В нем и фаервол и NAT и VPN. Всех сотрудников конторы проинструктировать как перезапустить этот раутер если вдруг интернет перестал работать.

Комп с кэширующим прокси хорош для большой контроры с постоянным админом. Для маленькой конторы с приходящим админом это последний вариант - админа будут доставать с проблемами на этом самом компе, владельцы сети будут недовольны. Тебе оно надо?
FooBar вне форума  
Ответить с цитированием
Непрочитано 15.03.2006, 22:55   [включить плавающее окно]   #11
Гхост-цзы
Мужской Умудрённый
 
Аватар для Гхост-цзы
 
Регистрация: 04.06.2004
Цитата (NaimaD) »
.... ipfw (я так понимаю, это никсовый файр?)
не совсем; ipfw - это FreeBSD'шный фаер

Цитата (Smirnoff) »
Вот в этом вопросе мне всё же точка зрения NaimaD кажется более разумной.
Цитата (NaimaD) »
В любом случае, зачем рисковать?
Во всём нужно знать меру.
__________________
Крылья знаний меня от людей отлучили,
Я увидел, что люди - подобие пыли.
Гхост-цзы вне форума  
Ответить с цитированием
Непрочитано 16.03.2006, 11:26   [включить плавающее окно]   #12
NaimaD
Мужской Опытный
 
Аватар для NaimaD
 
Регистрация: 22.10.2003
Адрес: Москва
Цитата (FooBar) »
Никаких компов, только железный раутер. В нем и фаервол и NAT и VPN. Всех сотрудников конторы проинструктировать как перезапустить этот раутер если вдруг интернет перестал работать.

Комп с кэширующим прокси хорош для большой контроры с постоянным админом. Для маленькой конторы с приходящим админом это последний вариант - админа будут доставать с проблемами на этом самом компе, владельцы сети будут недовольны. Тебе оно надо?
Да, лано! Я в сети на 150 машин после настройки компа с ИСОй не трогал его полгода - залезал только логи почитать... Никаких нареканий вообще.
NaimaD вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 17.03.2006, 09:22   [включить плавающее окно]   #13
BlooDilo
Мужской Интересующийся
Автор темы
 
Аватар для BlooDilo
 
Регистрация: 15.03.2006
FooBar
Цитата
Никаких компов, только железный раутер
Какой посоветуете? Насколько они надежны? Чтоб я глянул, подумал.

NaimaD
офф: Считаю что надо рассмотреть все предложения, просто что б в дураках не остаться. Ведь рано или поздно придет какой-нибуть "умник" и спросит начальника: "У нас подругому.....А почему вы так как у нас не сделали?"
Теперь по делу:
Вы предлагаете поставить один комп с сервер2003 на входе в сеть и ещо один комп с сервер2003 в роли сетевого диска?
Цитата
нафига было ставить конфеденциальную информацию на комп, который будет стоять первым на линии обороны
Это конечно очень весомый аргумент, но первый вопрос который мне зададут будет - это выгодно (имеются ввиду денги)? и здесь железный роутер может победить.

All
Можете человеческим языком объяснить, что такое DMZ, а то понимаю а сказать не могу (как собака, типа )
BlooDilo вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 17.03.2006, 09:57   [включить плавающее окно]   #14
Гхост-цзы
Мужской Умудрённый
 
Аватар для Гхост-цзы
 
Регистрация: 04.06.2004
Цитата (BlooDilo) »
All
Можете человеческим языком объяснить, что такое DMZ, а то понимаю а сказать не могу (как собака, типа )
"демилитаризованная зона" - или сеть внешнего периметра, в которую выносятся серваки, доступные из интернета
То есть в этом случае разделяются внутренняя сеть конторы и сеть с ресурсами, доступными извне. Реализаций такого разделения может быть немало; но это удел крупных контор. В мелких, где " но первый вопрос который мне зададут будет - это выгодно (имеются ввиду денги)" это не актуально. да мелкие конторы и не имеют серваков, раздающие ресурсы вовне
__________________
Крылья знаний меня от людей отлучили,
Я увидел, что люди - подобие пыли.
Гхост-цзы вне форума  
Ответить с цитированием
Непрочитано 17.03.2006, 10:23   [включить плавающее окно]   #15
NaimaD
Мужской Опытный
 
Аватар для NaimaD
 
Регистрация: 22.10.2003
Адрес: Москва
От себя, к сказанному Гхост-цзы, добавлю, что в ДМЗ ещё вешают корпоративные почтовые серверы часто. Ту же задачу можно решить публикацей сервера (считай, PAT).

Цитата (BlooDilo) »
и здесь железный роутер может победить.
Так, о том-то и речь: пусть будет и то, и другое. Простенькие роутеры нынче не так дорого стоят. Да и комп мощный не понадобится.

Цитата (BlooDilo) »
Вы предлагаете поставить один комп с сервер2003 на входе в сеть и ещо один комп с сервер2003 в роли сетевого диска?
Как вариант - да. Если речь идёт о лицензионном софте - то имеет смысл посмотреть на Win2000:Server в целях экономии. А расшарить папку, строго говоря, можно на любом компе Правда, тогда встаёт вопрос о производительности дисковой подсистемы при частых обращениях (скажем, если на обыкновенный комп повесить БД 1С и покдлючить к ней десяток юзеров, лаги будут заметны). Но и это решаемо с помощью RAID.

В общем, всё зависит от поставленных задач.
NaimaD вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 17.03.2006, 15:06   [включить плавающее окно]   #16
BlooDilo
Мужской Интересующийся
Автор темы
 
Аватар для BlooDilo
 
Регистрация: 15.03.2006
NaimaD
Люди будте снисходительны, я железячник, ничего сложней ХР и Сусы в жизни не ставил. Самая огромная сеть - 3 компа, один хаб. А вы меня тут роутерами с серверами завалили Хотя я не против, довно хотел научиться, но негде было.
Цитата
пусть будет и то, и другое. Простенькие роутеры нынче не так дорого стоят.
Все, хана. Я запутался:
В начале вы одобрили схему адсл-модем-> комп-> влан-рутер.
Потом FooBar предложил заменить комп на роутер.
А теперь вы говорите пусть и то и гругое будет. как? смысл то в чём?
Цитата
Да и комп мощный не понадобится.
Из отходов могу целик 1200 собрать с 512 рамы, хватит для DMZ?
Цитата
Если речь идёт о лицензионном софте
О нём Я предложил в целях экономии вначале варезом попользоваться, а потом заплатить или на линух линять. Шеф долго мучился, раз двадцать спросил:"а нас не поймают?", но все-таки согласился. Европа, блин
Я понимаю, что для моих целей (расшарить папку, 2 впн, а траф особо и контролировать не надо) хватит и 2000сервера, только как у него дело со стабильностью, скоростью, безапасностью? Ну ведь не за просто так один дороже другого?
Цитата
Но и это решаемо с помощью RAID.
стоит зеркало
BlooDilo вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 17.03.2006, 15:51   [включить плавающее окно]   #17
NaimaD
Мужской Опытный
 
Аватар для NaimaD
 
Регистрация: 22.10.2003
Адрес: Москва
Цитата (BlooDilo) »
Все, хана. Я запутался:
В начале вы одобрили схему адсл-модем-> комп-> влан-рутер.
Потом FooBar предложил заменить комп на роутер.
А теперь вы говорите пусть и то и гругое будет. как? смысл то в чём?
В железном файре... Хотя, вам наверное всё таки такую сложную топологию незачем разворачивать, забей...

Цитата (BlooDilo) »
Из отходов могу целик 1200 собрать с 512 рамы, хватит для DMZ?
С ДМЗ тоже можно не заморачиваться - почитай про Server Publishing, я ж говорил А компа, я думаю, хватит. Только надо будет докупить ОЗУ хотя бы до гига. Лучше даже парочки гигов

Цитата (BlooDilo) »
Я понимаю, что для моих целей (расшарить папку, 2 впн, а траф особо и контролировать не надо) хватит и 2000сервера, только как у него дело со стабильностью, скоростью, безапасностью? Ну ведь не за просто так один дороже другого?
Разницу вряд ли заметишь Ну, выглядит поскромнее, да и только С остальным дела нормально вполне.
NaimaD вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 17.03.2006, 15:59   [включить плавающее окно]   #18
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Цитата (BlooDilo) »
хватит и 2000сервера, только как у него дело со стабильностью, скоростью, безапасностью? Ну ведь не за просто так один дороже другого?
За дополнительные возможности, которые твоей конторе на данном этапе, скорее всего, нужны, как собаке пятая нога...
У Win200 "со стабильностью, скоростью, безапасностью" всё почти (винда всё же ) в полном порядке.
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 17.03.2006, 20:18   [включить плавающее окно]   #19
FooBar
Заслуженный
 
Регистрация: 28.03.2004
Тебе нужно что то вроде этого:

http://www.dlink.ru/products/prodvie...type=23&id=559

или этого:

http://www.dlink.ru/products/prodvie...type=15&id=385

Первый имеет встоенный АDSL модем. Оба поддерживают VPN для твоего удаленного юсера(ов).

Файлики держи на любом компьютере внутри сетки.
FooBar вне форума  
Ответить с цитированием
Непрочитано 18.03.2006, 14:36   [включить плавающее окно]   #20
Ак-Янзен
Интересующийся
 
Регистрация: 19.01.2004
2Блудило
Используй железную коробочку как роутер , а для общего диска просто поставь в один из компьютеров дополнительный хард и расшарь его.И никаких новых компьютеров будет ненадо.

2Гхост-цзы
Замечание про FreeBSD свидетельствует о том , что у неё плохой firevall?
Ак-Янзен вне форума  
Ответить с цитированием
Ответ Создать новую тему

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 19:22. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.4
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot
Copyright © 2000-2017 3DNews. All Rights Reserved.
Администрация 3DNews требует соблюдения на форуме правил и законов РФ
Серверы размещены в Hostkey