Настройка безопасности отдельной группы ПК в общей сети офиса

@Leon56 · Регистрация: 14.12.2015

Студворк — интернет-сервис помощи студентам

Добрый день!
Поделитесь опытом, товарищи, ибо есть следующая ситуация:
Офисное здание, с одним роутером, от которого сетка с инетом тянется на три помещения с разными организациями. В одном из кабинетов (собственно, где мне и нужно настроить) есть вафай точка доступа с lan портами. К ней подходит провод с общим инетом и уже точка доступа раздает на ПК и Ноуты только для этой организации. В офисе один ПК с WinХР, один с Win7 и два с Win10. На ПК с ХР находится общая папка и подключено МФУ, которыми пользуются все остальные ПК.
Как правильно в данном случае настроить оборудование и сеть, чтобы исключить возможность попадания на любой из этих ПК принадлежащих данной организации с других ПК общей сети?
Спасибо!

@insect_87 · 17.02.2017, 14:54

нарисуй схему с оборудованием (+модели) и адресацией всех сетей, линками и что кому надо запретить

@Leon56 · 18.02.2017, 21:06 **[ТС]**

insect_87, Нарисовал как смог ))
Наименования оборудования и полные адреса точки доступа и пк смогу сказать только в понедельник.
Задача:сделать невозможным доступ из кабинетов 1,2 на пк в кабинет 3.
При том, что общий доступ на всех пк в кабинете 3 открыт для возможности обмена данными и печатью на общую МФУ.
Доступа в кабинет 1 и 2 для проверки того, могу ли я с их компов зайти на пк в кабинете 3 НЕТ.

Мои думки это сделать домашнюю группу и завести все пк в кабинете 3 в нее, но не знаю, как будет всё это работать, т.к. везде разные операционки.

Если необходима дополнительная информация, то предоставлю в понедельник.

@insect_87 · 21.02.2017, 12:59

модель точки доступа какая?
те 1 и 2 не могут ходить в 3 (инициатор соединения - комп из 1 или 2), так?
а 3 может ходить в 1 и 2 (инициатор соединения - комп из 3)?

@Leon56 · 21.02.2017, 13:40 **[ТС]**

insect_87,
Точка доступа D-Link DAP-1360U. Ее адрес 172.20.20.1
У рабочих станций 172.20.20.10, ...20, ... 30 и т.д.
Каждая комната - это отдельная фирма и лазить друг у друга на компах им не нужно. Я настраиваю и имею доступ к сети только для 3. Мне необходимо, чтобы 1 и 2 не смогли попасть на рабочие места к 3, в обратную сторону, пожалуй, тоже нужно исключить доступ.

@insect_87 · 21.02.2017, 16:40

сейчас точка настроена в режиме nat-роутера, верно? те ее WAN порт смотрит на роутер 192.168.0.1, так?

@Leon56 · 21.02.2017, 16:51 **[ТС]**

insect_87, Да, провод с общей сети от главного роутера подключен к порту WAN.

@insect_87 · 22.02.2017, 18:11

сейчас настроено так, что 1 и 2, инициируя соединение, не попадут к 3,
а вот 3, инициируя соединение, смогут попасть к 1 и 2.
чтобы сети вообще не видели друг друга и при этом ходили в интернет, на устройстве L3 надо терминировать интерфейсы VLAN, вешать access-list'ы.
какая модель у роутера (шлюз в интернет)?

@Leon56 · 26.02.2017, 13:03 **[ТС]**

insect_87, клиент пояснил, что отсутствие доступа из 1 и 2 к кабинету 3 его устраивают. делать обратный запрет смысла нет. Так что оставляю всё как настроил и подключил на данный момент.
Еще один маленький вопрос. Сейчас все ПК в 3 находятся в стандартной группе WORKGROUP, имеет ли смысл с точки зрения безопасности объединить их в другую с иным названием?

@insect_87 · 01.03.2017, 12:27

Сообщение от Leon56

имеет ли смысл с точки зрения безопасности объединить их в другую с иным названием?

нет, имеет смысл настроить дополнительные параметры общего доступа (если ОС выше XP) - вкл/откл сетевое обнаружение, вкл/откл общий доступ к файлам и принтерам и тд

@Leon56 · 02.03.2017, 09:24 **[ТС]**

insect_87, сбросил точку доступа, заново всё настроил. Приходящий инет на точке доступа подключил к WAN (до этого было подключено в обычный порт, и давая пояснение ранее я ошибся) Теперь из 1, 2 не видят 3 и не могут зайти к ним на ПК. Такая же ситуация и в обратную сторону, ПК в сети не видны.

К слову сказать, до сброса и использования WAN порта из 1,2 в 3 можно было спокойно зайти, что проверил собственноручно.

Сейчас всё работает как нужно.
Спасибо за помощь!

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Идентификация объектов на Box2D v3 - использование userData и событий коллизий 8Observer8 02.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-collision-events-sdl3-c. zip https:/ / www. cyberforum. ru/ blog_attachment. php?attachmentid=11680&d=1772460536 Одним из. . .	Реалии Hrethgir 01.03.2026 Нет, я не закончил до сих пор симулятор. Эта задача сложнее. Не получилось уйти в плавсостав, но оно и к лучшему, возможно. Точнее получалось - но сварщиком в палубную команду, а это значит, в моём. . .	Ритм жизни kumehtar 27.02.2026 Иногда приходится жить в ритме, где дел становится всё больше, а вовлечения в происходящее — всё меньше. Плотный график не даёт вниманию закрепиться ни на одном событии. Утро начинается с быстрых,. . .	SDL3 для Web (WebAssembly): Сборка библиотек: SDL3, Box2D, FreeType, SDL3_ttf, SDL3_mixer и SDL3_image из исходников с помощью CMake и Emscripten 8Observer8 27.02.2026 Недавно вышла версия 3. 4. 2 библиотеки SDL3. На странице официальной релиза доступны исходники, готовые DLL (для x86, x64, arm64), а также библиотеки для разработки под Android, MinGW и Visual Studio. . . .
SDL3 для Web (WebAssembly): Реализация движения на Box2D v3 - трение и коллизии с повёрнутыми стенами 8Observer8 20.02.2026 Содержание блога Box2D позволяет легко создать главного героя, который не проходит сквозь стены и перемещается с заданным трением о препятствия, которые можно располагать под углом, как верхнее. . .	Конвертировать закладки radiotray-ng в m3u-плейлист damix 19.02.2026 Это можно сделать скриптом для PowerShell. Использование . \СonvertRadiotrayToM3U. ps1 <path_to_bookmarks. json> Рядом с файлом bookmarks. json появится файл bookmarks. m3u с результатом. # Check if. . .	Семь CDC на одном интерфейсе: 5 U[S]ARTов, 1 CAN и 1 SSI Eddy_Em 18.02.2026 Постепенно допиливаю свою "многоинтерфейсную плату". Выглядит вот так: https:/ / www. cyberforum. ru/ blog_attachment. php?attachmentid=11617&stc=1&d=1771445347 Основана на STM32F303RBT6. На борту пять. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .

@Leon56 90 / 11 / 5 Регистрация: 14.12.2015 Сообщений: 120

	Настройка безопасности отдельной группы ПК в общей сети офиса 17.02.2017, 13:35. Показов 1370. Ответов 10 Метки нет (Все метки) Добрый день! Поделитесь опытом, товарищи, ибо есть следующая ситуация: Офисное здание, с одним роутером, от которого сетка с инетом тянется на три помещения с разными организациями. В одном из кабинетов (собственно, где мне и нужно настроить) есть вафай точка доступа с lan портами. К ней подходит провод с общим инетом и уже точка доступа раздает на ПК и Ноуты только для этой организации. В офисе один ПК с WinХР, один с Win7 и два с Win10. На ПК с ХР находится общая папка и подключено МФУ, которыми пользуются все остальные ПК. Как правильно в данном случае настроить оборудование и сеть, чтобы исключить возможность попадания на любой из этих ПК принадлежащих данной организации с других ПК общей сети? Спасибо! 0

@insect_87 11438 / 7007 / 1903 Регистрация: 25.12.2012 Сообщений: 29,402
	17.02.2017, 14:54
	нарисуй схему с оборудованием (+модели) и адресацией всех сетей, линками и что кому надо запретить 0

@Leon56 90 / 11 / 5 Регистрация: 14.12.2015 Сообщений: 120
	18.02.2017, 21:06 [ТС]
	insect_87, Нарисовал как смог )) Наименования оборудования и полные адреса точки доступа и пк смогу сказать только в понедельник. Задача:сделать невозможным доступ из кабинетов 1,2 на пк в кабинет 3. При том, что общий доступ на всех пк в кабинете 3 открыт для возможности обмена данными и печатью на общую МФУ. Доступа в кабинет 1 и 2 для проверки того, могу ли я с их компов зайти на пк в кабинете 3 НЕТ. Мои думки это сделать домашнюю группу и завести все пк в кабинете 3 в нее, но не знаю, как будет всё это работать, т.к. везде разные операционки. Если необходима дополнительная информация, то предоставлю в понедельник. Миниатюры 0

@insect_87 11438 / 7007 / 1903 Регистрация: 25.12.2012 Сообщений: 29,402
	21.02.2017, 12:59
	модель точки доступа какая? те 1 и 2 не могут ходить в 3 (инициатор соединения - комп из 1 или 2), так? а 3 может ходить в 1 и 2 (инициатор соединения - комп из 3)? 0

@Leon56 90 / 11 / 5 Регистрация: 14.12.2015 Сообщений: 120
	21.02.2017, 13:40 [ТС]
	insect_87, Точка доступа D-Link DAP-1360U. Ее адрес 172.20.20.1 У рабочих станций 172.20.20.10, ...20, ... 30 и т.д. Каждая комната - это отдельная фирма и лазить друг у друга на компах им не нужно. Я настраиваю и имею доступ к сети только для 3. Мне необходимо, чтобы 1 и 2 не смогли попасть на рабочие места к 3, в обратную сторону, пожалуй, тоже нужно исключить доступ. 0

@insect_87 11438 / 7007 / 1903 Регистрация: 25.12.2012 Сообщений: 29,402
	21.02.2017, 16:40
	сейчас точка настроена в режиме nat-роутера, верно? те ее WAN порт смотрит на роутер 192.168.0.1, так? 0

@Leon56 90 / 11 / 5 Регистрация: 14.12.2015 Сообщений: 120
	21.02.2017, 16:51 [ТС]
	insect_87, Да, провод с общей сети от главного роутера подключен к порту WAN. 0

@insect_87 11438 / 7007 / 1903 Регистрация: 25.12.2012 Сообщений: 29,402
	22.02.2017, 18:11
	Сообщение было отмечено Leon56 как решение Решение сейчас настроено так, что 1 и 2, инициируя соединение, не попадут к 3, а вот 3, инициируя соединение, смогут попасть к 1 и 2. чтобы сети вообще не видели друг друга и при этом ходили в интернет, на устройстве L3 надо терминировать интерфейсы VLAN, вешать access-list'ы. какая модель у роутера (шлюз в интернет)? 1

@Leon56 90 / 11 / 5 Регистрация: 14.12.2015 Сообщений: 120
	26.02.2017, 13:03 [ТС]
	insect_87, клиент пояснил, что отсутствие доступа из 1 и 2 к кабинету 3 его устраивают. делать обратный запрет смысла нет. Так что оставляю всё как настроил и подключил на данный момент. Еще один маленький вопрос. Сейчас все ПК в 3 находятся в стандартной группе WORKGROUP, имеет ли смысл с точки зрения безопасности объединить их в другую с иным названием? 0

@Leon56 90 / 11 / 5 Регистрация: 14.12.2015 Сообщений: 120
	02.03.2017, 09:24 [ТС]
	insect_87, сбросил точку доступа, заново всё настроил. Приходящий инет на точке доступа подключил к WAN (до этого было подключено в обычный порт, и давая пояснение ранее я ошибся) Теперь из 1, 2 не видят 3 и не могут зайти к ним на ПК. Такая же ситуация и в обратную сторону, ПК в сети не видны. К слову сказать, до сброса и использования WAN порта из 1,2 в 3 можно было спокойно зайти, что проверил собственноручно. Сейчас всё работает как нужно. Спасибо за помощь! 0

Настройка безопасности отдельной группы ПК в общей сети офиса

Решение