Настройка безопасности отдельной группы ПК в общей сети офиса

@Leon56 · Регистрация: 14.12.2015

Студворк — интернет-сервис помощи студентам

Добрый день!
Поделитесь опытом, товарищи, ибо есть следующая ситуация:
Офисное здание, с одним роутером, от которого сетка с инетом тянется на три помещения с разными организациями. В одном из кабинетов (собственно, где мне и нужно настроить) есть вафай точка доступа с lan портами. К ней подходит провод с общим инетом и уже точка доступа раздает на ПК и Ноуты только для этой организации. В офисе один ПК с WinХР, один с Win7 и два с Win10. На ПК с ХР находится общая папка и подключено МФУ, которыми пользуются все остальные ПК.
Как правильно в данном случае настроить оборудование и сеть, чтобы исключить возможность попадания на любой из этих ПК принадлежащих данной организации с других ПК общей сети?
Спасибо!

@insect_87 · 17.02.2017, 14:54

нарисуй схему с оборудованием (+модели) и адресацией всех сетей, линками и что кому надо запретить

@Leon56 · 18.02.2017, 21:06 **[ТС]**

insect_87, Нарисовал как смог ))
Наименования оборудования и полные адреса точки доступа и пк смогу сказать только в понедельник.
Задача:сделать невозможным доступ из кабинетов 1,2 на пк в кабинет 3.
При том, что общий доступ на всех пк в кабинете 3 открыт для возможности обмена данными и печатью на общую МФУ.
Доступа в кабинет 1 и 2 для проверки того, могу ли я с их компов зайти на пк в кабинете 3 НЕТ.

Мои думки это сделать домашнюю группу и завести все пк в кабинете 3 в нее, но не знаю, как будет всё это работать, т.к. везде разные операционки.

Если необходима дополнительная информация, то предоставлю в понедельник.

@insect_87 · 21.02.2017, 12:59

модель точки доступа какая?
те 1 и 2 не могут ходить в 3 (инициатор соединения - комп из 1 или 2), так?
а 3 может ходить в 1 и 2 (инициатор соединения - комп из 3)?

@Leon56 · 21.02.2017, 13:40 **[ТС]**

insect_87,
Точка доступа D-Link DAP-1360U. Ее адрес 172.20.20.1
У рабочих станций 172.20.20.10, ...20, ... 30 и т.д.
Каждая комната - это отдельная фирма и лазить друг у друга на компах им не нужно. Я настраиваю и имею доступ к сети только для 3. Мне необходимо, чтобы 1 и 2 не смогли попасть на рабочие места к 3, в обратную сторону, пожалуй, тоже нужно исключить доступ.

@insect_87 · 21.02.2017, 16:40

сейчас точка настроена в режиме nat-роутера, верно? те ее WAN порт смотрит на роутер 192.168.0.1, так?

@Leon56 · 21.02.2017, 16:51 **[ТС]**

insect_87, Да, провод с общей сети от главного роутера подключен к порту WAN.

@insect_87 · 22.02.2017, 18:11

сейчас настроено так, что 1 и 2, инициируя соединение, не попадут к 3,
а вот 3, инициируя соединение, смогут попасть к 1 и 2.
чтобы сети вообще не видели друг друга и при этом ходили в интернет, на устройстве L3 надо терминировать интерфейсы VLAN, вешать access-list'ы.
какая модель у роутера (шлюз в интернет)?

@Leon56 · 26.02.2017, 13:03 **[ТС]**

insect_87, клиент пояснил, что отсутствие доступа из 1 и 2 к кабинету 3 его устраивают. делать обратный запрет смысла нет. Так что оставляю всё как настроил и подключил на данный момент.
Еще один маленький вопрос. Сейчас все ПК в 3 находятся в стандартной группе WORKGROUP, имеет ли смысл с точки зрения безопасности объединить их в другую с иным названием?

@insect_87 · 01.03.2017, 12:27

Сообщение от Leon56

имеет ли смысл с точки зрения безопасности объединить их в другую с иным названием?

нет, имеет смысл настроить дополнительные параметры общего доступа (если ОС выше XP) - вкл/откл сетевое обнаружение, вкл/откл общий доступ к файлам и принтерам и тд

@Leon56 · 02.03.2017, 09:24 **[ТС]**

insect_87, сбросил точку доступа, заново всё настроил. Приходящий инет на точке доступа подключил к WAN (до этого было подключено в обычный порт, и давая пояснение ранее я ошибся) Теперь из 1, 2 не видят 3 и не могут зайти к ним на ПК. Такая же ситуация и в обратную сторону, ПК в сети не видны.

К слову сказать, до сброса и использования WAN порта из 1,2 в 3 можно было спокойно зайти, что проверил собственноручно.

Сейчас всё работает как нужно.
Спасибо за помощь!

Новые блоги и статьи Все статьи Все блоги /
Отчёт о затраченных материалах за определенный период с макетом печатной формы Maks 21.04.2026 Отчёт из решения ниже размещён в конфигурации КА2. Задача: разработка отчёта по затраченным материалам за определённый период, с возможностью вывода печатной формы отчёта с шапкой и подвалом. В. . .	Отчёт о спецтехнике находящейся в ремонте Maks 20.04.2026 Отчёт из решения ниже размещен в конфигурации КА2. Задача: отобразить спецтехнику, которая на данный момент находится в ремонте. Есть нетиповой документ "Заявка на ремонт спецтехники" который. . .	Памятка для бота и "визитка" для читателей "Semantic Universe Layer (Слой семантической вселенной)" Hrethgir 19.04.2026 Сгенерировано для краткого описания по случаю сборки и компиляции скелета серверного приложения. И пусть после этого скажут, что статьи сгенерированные AI - туфта и не интересно. И это не реклама -. . .	Запрет удаления строк ТЧ документа при определённом условии Maks 19.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "Аккумуляторы", разработанного в конфигурации КА2. У данного документа есть ТЧ, в которой в зависимости от прав доступа. . .
Модель заражения группы наркоманов alhaos 17.04.2026 Условия задачи сформулированы тут Суть: - Группа наркоманов из 10 человек. - Только один инфицирован ВИЧ. - Колются одной иглой. - Колются раз в день. - Колются последовательно через. . .	Мысли в слух. Про "навсегда". kumehtar 16.04.2026 Подумалось тут, что наверное очень глупо использовать во всяких своих установках понятие "навсегда". Это очень сильное понятие, и я только начинаю понимать край его смысла, не смотря на то что давно. . .	My Business CRM MaGz GoLd 16.04.2026 Всем привет, недавно возникла потребность создать CRM, для личных нужд. Собственно программа предоставляет из себя базу данных клиентов, в которой можно фиксировать звонки, стадии сделки, а также. . .	Знаешь почему 90% людей редко бывают счастливыми? kumehtar 14.04.2026 Потому что они ждут. Ждут выходных, ждут отпуска, ждут удачного момента. . . а удачный момент так и не приходит.

@Leon56 90 / 11 / 5 Регистрация: 14.12.2015 Сообщений: 120

	Настройка безопасности отдельной группы ПК в общей сети офиса 17.02.2017, 13:35. Показов 1407. Ответов 10 Метки нет (Все метки) Добрый день! Поделитесь опытом, товарищи, ибо есть следующая ситуация: Офисное здание, с одним роутером, от которого сетка с инетом тянется на три помещения с разными организациями. В одном из кабинетов (собственно, где мне и нужно настроить) есть вафай точка доступа с lan портами. К ней подходит провод с общим инетом и уже точка доступа раздает на ПК и Ноуты только для этой организации. В офисе один ПК с WinХР, один с Win7 и два с Win10. На ПК с ХР находится общая папка и подключено МФУ, которыми пользуются все остальные ПК. Как правильно в данном случае настроить оборудование и сеть, чтобы исключить возможность попадания на любой из этих ПК принадлежащих данной организации с других ПК общей сети? Спасибо! 0

@insect_87 11439 / 7008 / 1903 Регистрация: 25.12.2012 Сообщений: 29,402
	17.02.2017, 14:54
	нарисуй схему с оборудованием (+модели) и адресацией всех сетей, линками и что кому надо запретить 0

@Leon56 90 / 11 / 5 Регистрация: 14.12.2015 Сообщений: 120
	18.02.2017, 21:06 [ТС]
	insect_87, Нарисовал как смог )) Наименования оборудования и полные адреса точки доступа и пк смогу сказать только в понедельник. Задача:сделать невозможным доступ из кабинетов 1,2 на пк в кабинет 3. При том, что общий доступ на всех пк в кабинете 3 открыт для возможности обмена данными и печатью на общую МФУ. Доступа в кабинет 1 и 2 для проверки того, могу ли я с их компов зайти на пк в кабинете 3 НЕТ. Мои думки это сделать домашнюю группу и завести все пк в кабинете 3 в нее, но не знаю, как будет всё это работать, т.к. везде разные операционки. Если необходима дополнительная информация, то предоставлю в понедельник. Миниатюры 0

@insect_87 11439 / 7008 / 1903 Регистрация: 25.12.2012 Сообщений: 29,402
	21.02.2017, 12:59
	модель точки доступа какая? те 1 и 2 не могут ходить в 3 (инициатор соединения - комп из 1 или 2), так? а 3 может ходить в 1 и 2 (инициатор соединения - комп из 3)? 0

@Leon56 90 / 11 / 5 Регистрация: 14.12.2015 Сообщений: 120
	21.02.2017, 13:40 [ТС]
	insect_87, Точка доступа D-Link DAP-1360U. Ее адрес 172.20.20.1 У рабочих станций 172.20.20.10, ...20, ... 30 и т.д. Каждая комната - это отдельная фирма и лазить друг у друга на компах им не нужно. Я настраиваю и имею доступ к сети только для 3. Мне необходимо, чтобы 1 и 2 не смогли попасть на рабочие места к 3, в обратную сторону, пожалуй, тоже нужно исключить доступ. 0

@insect_87 11439 / 7008 / 1903 Регистрация: 25.12.2012 Сообщений: 29,402
	21.02.2017, 16:40
	сейчас точка настроена в режиме nat-роутера, верно? те ее WAN порт смотрит на роутер 192.168.0.1, так? 0

@Leon56 90 / 11 / 5 Регистрация: 14.12.2015 Сообщений: 120
	21.02.2017, 16:51 [ТС]
	insect_87, Да, провод с общей сети от главного роутера подключен к порту WAN. 0

@insect_87 11439 / 7008 / 1903 Регистрация: 25.12.2012 Сообщений: 29,402
	22.02.2017, 18:11
	Сообщение было отмечено Leon56 как решение Решение сейчас настроено так, что 1 и 2, инициируя соединение, не попадут к 3, а вот 3, инициируя соединение, смогут попасть к 1 и 2. чтобы сети вообще не видели друг друга и при этом ходили в интернет, на устройстве L3 надо терминировать интерфейсы VLAN, вешать access-list'ы. какая модель у роутера (шлюз в интернет)? 1

@Leon56 90 / 11 / 5 Регистрация: 14.12.2015 Сообщений: 120
	26.02.2017, 13:03 [ТС]
	insect_87, клиент пояснил, что отсутствие доступа из 1 и 2 к кабинету 3 его устраивают. делать обратный запрет смысла нет. Так что оставляю всё как настроил и подключил на данный момент. Еще один маленький вопрос. Сейчас все ПК в 3 находятся в стандартной группе WORKGROUP, имеет ли смысл с точки зрения безопасности объединить их в другую с иным названием? 0

@Leon56 90 / 11 / 5 Регистрация: 14.12.2015 Сообщений: 120
	02.03.2017, 09:24 [ТС]
	insect_87, сбросил точку доступа, заново всё настроил. Приходящий инет на точке доступа подключил к WAN (до этого было подключено в обычный порт, и давая пояснение ранее я ошибся) Теперь из 1, 2 не видят 3 и не могут зайти к ним на ПК. Такая же ситуация и в обратную сторону, ПК в сети не видны. К слову сказать, до сброса и использования WAN порта из 1,2 в 3 можно было спокойно зайти, что проверил собственноручно. Сейчас всё работает как нужно. Спасибо за помощь! 0

Опции темы

Настройка безопасности отдельной группы ПК в общей сети офиса

Решение