Заблокировать доступ к локальной сети

@diman_ob_304 · Регистрация: 28.09.2016

Студворк — интернет-сервис помощи студентам

Приветствую, всех!
Дано: "сервер" с вин серв 2008, с двумя сетевухами, естесно одна смотрит в инет, другая в локалку. на серваке поднят dhcp и стоит tmeter. Тметер режет канал по каждому ip.
Задача: Определенному диапазону ip запретить доступ в локальную сеть. Пародия на гостевую сеть. Заранее спасибо.

@TheShestov · 28.09.2016, 12:43

Выносите "гостевую сеть" в другой VLAN

@diman_ob_304 · 28.09.2016, 14:04 **[ТС]**

А как нить на пальцах мне объяснить как это сделать???

@TheShestov · 28.09.2016, 14:56

diman_ob_304, На пальцах вам поможет понять только Google
т.к. если даже (что маловероятно) я распишу вам как и что - вы не сможете с этим работать, без понимания что это и как это.
я дал вам направление, в котором необходимо работать. изучайте тему и реализуйте у себя.
это не пинок в поисковик. просто данная тема не подразумевает "нажми 2 кнопки и всё заработает"

@diman_ob_304 · 28.09.2016, 15:54 **[ТС]**

TheShestov,
тогда я распишу свою задачу, а вы уже скажете поможет ли мне в этом vlan.
а задача такова:
АДСЛ инет - сервер - свитч - вифи роутер.
на сервере я поднял dhcp на 50 адресов. при помощи тметер каждому айпи урезал канал (чтоб отдельно юзер на забивал весь канал). и вот теперь надо как бы гостей на вайфае отделить от рабочей сети, чтоб гостям не было видно другие компы, а точнее их расшары, сетевые принтеры и т.п.

@TheShestov · 28.09.2016, 16:00

diman_ob_304, учитывая что гости исключительно на WiFi то и работать с VLAN необходимо с помощью WiFi-роутера. Т.е. иными словами - он должен уметь либо бить сеть на VLAN И отдавать по DHCP клиентам какие-то адреса. Либо предоставлять какую-то встроенную "услугу Гостевого доступа" (как это умеют большинство более-менее современных моделей).
Все дело в том, что если мы с вами нарежем сеть на VLAN то нам необходимо как-то ее маршрутизировать и выдавать соответсвующие разрешения. кому куда можно, а кому куда нельзя.
А в нашей ситуации необходимо это делать для WiFi клиентов. Поэтому приходим к тому, что я описал первым.

@diman_ob_304 · 28.09.2016, 16:06 **[ТС]**

TheShestov,
каким еще способом можно урезать полосу пропускания каждому юзеру?

Добавлено через 50 секунд
гостевую сеть я могу сделать. у меня вифи роутер зюхель с такой возможностью. но при этом я для гостей не могу порезать канал.

@TheShestov · 28.09.2016, 16:09

diman_ob_304, ну учитывая, что на зюкселе вы будете делать гостевую - то и шейпить вы сможете только его средствами.

@diman_ob_304 · 28.09.2016, 16:14 **[ТС]**

сейчас я в тметере прописал 50 фильтров на каждый айпи, где каждому айпи урезал канал.
но когда я делаю гостевую сеть на роутере, я роутер цепляю через ван, в гостевой сети подсеть совсем другая и получается тметер урезает канал по ВАНу. то есть на весть роутер урезанный канал по айпи ВАНа.
догадаываюсь чта язык не профессиональный. ничего не понятно?

Добавлено через 1 минуту
средства зюхеля мне не нравятся. там можно урезать только канал в общем.
а я хочу в независимости от общего канала давать КАЖДОМУ юзеру только 10% от этого канала

Добавлено через 1 минуту
если бы можно было айпи гостевой подсети как то передать на тметер. чтоб тметер видел этот гостевой айпи, то наверно у меня бы все получилось. никак нельзя это сделать?

@TheShestov · 28.09.2016, 16:18

diman_ob_304, нет. все понятно.
у меня кажется был в распоряжении зюксель кинект гига2 и там была возможность резать не канал целиком, а "Привязанные" IP . т.е. когда клиент имеет привязку на роутере в виде MAC И IP - тогда можно насиловать их трафик.
в ином случае, с вашей реализацией - ничего умнее (возможно!) не придумать.
т.к. "регулировка трафика тметром" не увидит просто те адреса, что дает ваша "гостевая" с зюкселя.
вопрос офтопом: а в каких случаях, сейчас, в 2016 - приходится резать канал гостям до 10% ? просто большинство гостей как правило - гаджеты. а с гаджетов торенты не качают. в то же время если качают торенты - то можно решитьна зюкселе этот вопрос с помощью QoS

@diman_ob_304 · 28.09.2016, 16:25 **[ТС]**

10% это я условно.
при 5Мбит АДСЛ я отдаю каждому по 1Мбит.
в НЕбольших городах, да, еще есть АДСЛ и ничего кроме. ну либо очень дорого.
ну и получается, грубо говоря, тупо ютуб уже хорошо нагружает

Добавлено через 3 минуты
ну или от обратного, паролить рабочие компы и быть с гостями в одной сети????

@TheShestov · 28.09.2016, 16:31

diman_ob_304, тогда выход - поиграться с QoS. не знаю что у вас за модель (не во всех есть, а в некоторых, как в моем например, при версии v2 ее вроде отключили.. в общем, смотреть надо)
второй момент - на зюксели есть "доп приложения", которые можно запускать с флешки. почитайте о возможностях - возможно реализовали то, что было вам необходимо.
Например тут: https://code.google.com/archiv... -packages/

@diman_ob_304 · 28.09.2016, 16:36 **[ТС]**

TheShestov,
не про мой зюхель. он у меня Старт, как я понимаю самая легкая версия

Добавлено через 29 секунд
версия v2

@TheShestov · 28.09.2016, 16:45

diman_ob_304, а я так понимаю "запустить гостей" мешает то, что сеть не доменная, а воркгруп?

@diman_ob_304 · 28.09.2016, 16:48 **[ТС]**

TheShestov,
все верно, НЕ доменная.
доменная сеть решит эти вопросы?
да, я совсем нуб.

@TheShestov · 28.09.2016, 17:03

diman_ob_304, ну, скажем, в доменной сети вам будет немного проще ограничить доступ к ресурсам.
условно:
имеется у вас File-Share к которой должен иметь доступ каждый, на запись. (помойка) - вы в рабочей группе открыли шару и дали доступ олл-фо олл. получается, что ваши "гости" находясь в одной сети и вашей рабочей группе (workgroup) смогут заглянуть в эту шару.
в доменном случае - вы можете указать полный доступ ТОЛЬКО для доменных пользователей.
Простым языком - ваши гости смогут "постучаться" на вашу шару, но не смогут туда заглянуть без логин-пароля, имеющего туда доступ.
Таким образом выходит, что доменная сеть - даст вам более комфортный уровень защиты, нежели открытый Workgroup.
Однако конечно, необходимо учитывать многое. В т.ч. и наличие компьютеров в сети и серверных возможностей. ведь вам придется поднять AD DS как минимум. хоть это и не ресурсоемкая тема, но все же вам "это надо где-ть размещать"... в общем взвешивайте.

@diman_ob_304 · 28.09.2016, 17:16 **[ТС]**

TheShestov,
тогда такой вопрос, такие вещи как сетевые принтеры, видеорегистраторы и т.п. каким образом можно скрыть в доменной сети???

@TheShestov · 28.09.2016, 17:25

diman_ob_304, если коротко, то аналогично схеме, которую я описал выше, о файловой шаре.

@diman_ob_304 · 28.09.2016, 17:26 **[ТС]**

TheShestov,
спасибо. подумаю.

@romsan · 29.09.2016, 14:44

вопрос: а Wi-Fi гостей много? Просто из Вашего 5Мбит канала (ADSL более 8 не даст) выделить 1Мбит для Wi-Fi и пусть себе там потребляют.
Или если предположить, что из существующего канала для гостей, еще нужно шейпить скорость, то Ваш роутер не позволит это сделать. Нужно помощней (посовременней/пофункциональней) железку.
Либо, в самом роутере систематически резать скорость клиентам гостевой сети. Но, если они не постоянны... то естественно устанете это делать.

Новые блоги и статьи Все статьи Все блоги /
Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .	SDL3 для Web (WebAssembly): Вывод текста со шрифтом TTF с помощью SDL3_ttf 8Observer8 01.02.2026 Содержание блога В этой пошаговой инструкции создадим с нуля веб-приложение, которое выводит текст в окне браузера. Запустим на Android на локальном сервере. Загрузим Release на бесплатный. . .	SDL3 для Web (WebAssembly): Сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .	SDL3 для Web (WebAssembly): Установка Emscripten SDK (emsdk) и CMake для сборки C и C++ приложений в Wasm 8Observer8 30.01.2026 Содержание блога Для того чтобы скачать Emscripten SDK (emsdk) необходимо сначало скачать и уставить Git: Install for Windows. Следуйте стандартной процедуре установки Git через установщик. . . .
SDL3 для Android: Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .	Инструменты COM: Сохранение данный из VARIANT в файл и загрузка из файла в VARIANT bedvit 28.01.2026 Сохранение базовых типов COM и массивов (одномерных или двухмерных) любой вложенности (деревья) в файл, с возможностью выбора алгоритмов сжатия и шифрования. Часть библиотеки BedvitCOM Использованы. . .	SDL3 для Android: Загрузка PNG с альфа-каналом с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 28.01.2026 Содержание блога SDL3 имеет собственные средства для загрузки и отображения PNG-файлов с альфа-каналом и базовой работы с ними. В этой инструкции используется функция SDL_LoadPNG(), которая. . .	SDL3 для Android: Загрузка PNG с альфа-каналом с помощью SDL3_image 8Observer8 27.01.2026 Содержание блога SDL3_image - это библиотека для загрузки и работы с изображениями. Эта пошаговая инструкция покажет, как загрузить и вывести на экран смартфона картинку с альфа-каналом, то есть с. . .

@diman_ob_304 0 / 0 / 0 Регистрация: 28.09.2016 Сообщений: 26

	Server 2008 Заблокировать доступ к локальной сети 28.09.2016, 09:33. Показов 4522. Ответов 29 Метки нет (Все метки) Приветствую, всех! Дано: "сервер" с вин серв 2008, с двумя сетевухами, естесно одна смотрит в инет, другая в локалку. на серваке поднят dhcp и стоит tmeter. Тметер режет канал по каждому ip. Задача: Определенному диапазону ip запретить доступ в локальную сеть. Пародия на гостевую сеть. Заранее спасибо. 0

@TheShestov 68 / 68 / 19 Регистрация: 06.07.2011 Сообщений: 221
	28.09.2016, 12:43
	Выносите "гостевую сеть" в другой VLAN 1

@diman_ob_304 0 / 0 / 0 Регистрация: 28.09.2016 Сообщений: 26
	28.09.2016, 14:04 [ТС]
	А как нить на пальцах мне объяснить как это сделать??? 0

@TheShestov 68 / 68 / 19 Регистрация: 06.07.2011 Сообщений: 221
	28.09.2016, 14:56
	diman_ob_304, На пальцах вам поможет понять только Google т.к. если даже (что маловероятно) я распишу вам как и что - вы не сможете с этим работать, без понимания что это и как это. я дал вам направление, в котором необходимо работать. изучайте тему и реализуйте у себя. это не пинок в поисковик. просто данная тема не подразумевает "нажми 2 кнопки и всё заработает" 1

@diman_ob_304 0 / 0 / 0 Регистрация: 28.09.2016 Сообщений: 26
	28.09.2016, 15:54 [ТС]
	TheShestov, тогда я распишу свою задачу, а вы уже скажете поможет ли мне в этом vlan. а задача такова: АДСЛ инет - сервер - свитч - вифи роутер. на сервере я поднял dhcp на 50 адресов. при помощи тметер каждому айпи урезал канал (чтоб отдельно юзер на забивал весь канал). и вот теперь надо как бы гостей на вайфае отделить от рабочей сети, чтоб гостям не было видно другие компы, а точнее их расшары, сетевые принтеры и т.п. 0

@TheShestov 68 / 68 / 19 Регистрация: 06.07.2011 Сообщений: 221
	28.09.2016, 16:00
	diman_ob_304, учитывая что гости исключительно на WiFi то и работать с VLAN необходимо с помощью WiFi-роутера. Т.е. иными словами - он должен уметь либо бить сеть на VLAN И отдавать по DHCP клиентам какие-то адреса. Либо предоставлять какую-то встроенную "услугу Гостевого доступа" (как это умеют большинство более-менее современных моделей). Все дело в том, что если мы с вами нарежем сеть на VLAN то нам необходимо как-то ее маршрутизировать и выдавать соответсвующие разрешения. кому куда можно, а кому куда нельзя. А в нашей ситуации необходимо это делать для WiFi клиентов. Поэтому приходим к тому, что я описал первым. 1

@diman_ob_304 0 / 0 / 0 Регистрация: 28.09.2016 Сообщений: 26
	28.09.2016, 16:06 [ТС]
	TheShestov, каким еще способом можно урезать полосу пропускания каждому юзеру? Добавлено через 50 секунд гостевую сеть я могу сделать. у меня вифи роутер зюхель с такой возможностью. но при этом я для гостей не могу порезать канал. 0

@TheShestov 68 / 68 / 19 Регистрация: 06.07.2011 Сообщений: 221
	28.09.2016, 16:09
	diman_ob_304, ну учитывая, что на зюкселе вы будете делать гостевую - то и шейпить вы сможете только его средствами. 1

@diman_ob_304 0 / 0 / 0 Регистрация: 28.09.2016 Сообщений: 26
	28.09.2016, 16:14 [ТС]
	сейчас я в тметере прописал 50 фильтров на каждый айпи, где каждому айпи урезал канал. но когда я делаю гостевую сеть на роутере, я роутер цепляю через ван, в гостевой сети подсеть совсем другая и получается тметер урезает канал по ВАНу. то есть на весть роутер урезанный канал по айпи ВАНа. догадаываюсь чта язык не профессиональный. ничего не понятно? Добавлено через 1 минуту средства зюхеля мне не нравятся. там можно урезать только канал в общем. а я хочу в независимости от общего канала давать КАЖДОМУ юзеру только 10% от этого канала Добавлено через 1 минуту если бы можно было айпи гостевой подсети как то передать на тметер. чтоб тметер видел этот гостевой айпи, то наверно у меня бы все получилось. никак нельзя это сделать? 0

@TheShestov 68 / 68 / 19 Регистрация: 06.07.2011 Сообщений: 221
	28.09.2016, 16:18
	diman_ob_304, нет. все понятно. у меня кажется был в распоряжении зюксель кинект гига2 и там была возможность резать не канал целиком, а "Привязанные" IP . т.е. когда клиент имеет привязку на роутере в виде MAC И IP - тогда можно насиловать их трафик. в ином случае, с вашей реализацией - ничего умнее (возможно!) не придумать. т.к. "регулировка трафика тметром" не увидит просто те адреса, что дает ваша "гостевая" с зюкселя. вопрос офтопом: а в каких случаях, сейчас, в 2016 - приходится резать канал гостям до 10% ? просто большинство гостей как правило - гаджеты. а с гаджетов торенты не качают. в то же время если качают торенты - то можно решитьна зюкселе этот вопрос с помощью QoS 1

@diman_ob_304 0 / 0 / 0 Регистрация: 28.09.2016 Сообщений: 26
	28.09.2016, 16:25 [ТС]
	10% это я условно. при 5Мбит АДСЛ я отдаю каждому по 1Мбит. в НЕбольших городах, да, еще есть АДСЛ и ничего кроме. ну либо очень дорого. ну и получается, грубо говоря, тупо ютуб уже хорошо нагружает Добавлено через 3 минуты ну или от обратного, паролить рабочие компы и быть с гостями в одной сети???? 0

@TheShestov 68 / 68 / 19 Регистрация: 06.07.2011 Сообщений: 221
	28.09.2016, 16:31
	diman_ob_304, тогда выход - поиграться с QoS. не знаю что у вас за модель (не во всех есть, а в некоторых, как в моем например, при версии v2 ее вроде отключили.. в общем, смотреть надо) второй момент - на зюксели есть "доп приложения", которые можно запускать с флешки. почитайте о возможностях - возможно реализовали то, что было вам необходимо. Например тут: https://code.google.com/archiv... -packages/ 1

@diman_ob_304 0 / 0 / 0 Регистрация: 28.09.2016 Сообщений: 26
	28.09.2016, 16:36 [ТС]
	TheShestov, не про мой зюхель. он у меня Старт, как я понимаю самая легкая версия Добавлено через 29 секунд версия v2 0

@TheShestov 68 / 68 / 19 Регистрация: 06.07.2011 Сообщений: 221
	28.09.2016, 16:45
	diman_ob_304, а я так понимаю "запустить гостей" мешает то, что сеть не доменная, а воркгруп? 1

@diman_ob_304 0 / 0 / 0 Регистрация: 28.09.2016 Сообщений: 26
	28.09.2016, 16:48 [ТС]
	TheShestov, все верно, НЕ доменная. доменная сеть решит эти вопросы? да, я совсем нуб. 0

@TheShestov 68 / 68 / 19 Регистрация: 06.07.2011 Сообщений: 221
	28.09.2016, 17:03
	diman_ob_304, ну, скажем, в доменной сети вам будет немного проще ограничить доступ к ресурсам. условно: имеется у вас File-Share к которой должен иметь доступ каждый, на запись. (помойка) - вы в рабочей группе открыли шару и дали доступ олл-фо олл. получается, что ваши "гости" находясь в одной сети и вашей рабочей группе (workgroup) смогут заглянуть в эту шару. в доменном случае - вы можете указать полный доступ ТОЛЬКО для доменных пользователей. Простым языком - ваши гости смогут "постучаться" на вашу шару, но не смогут туда заглянуть без логин-пароля, имеющего туда доступ. Таким образом выходит, что доменная сеть - даст вам более комфортный уровень защиты, нежели открытый Workgroup. Однако конечно, необходимо учитывать многое. В т.ч. и наличие компьютеров в сети и серверных возможностей. ведь вам придется поднять AD DS как минимум. хоть это и не ресурсоемкая тема, но все же вам "это надо где-ть размещать"... в общем взвешивайте. 1

@diman_ob_304 0 / 0 / 0 Регистрация: 28.09.2016 Сообщений: 26
	28.09.2016, 17:16 [ТС]
	TheShestov, тогда такой вопрос, такие вещи как сетевые принтеры, видеорегистраторы и т.п. каким образом можно скрыть в доменной сети??? 0

@TheShestov 68 / 68 / 19 Регистрация: 06.07.2011 Сообщений: 221
	28.09.2016, 17:25
	diman_ob_304, если коротко, то аналогично схеме, которую я описал выше, о файловой шаре. 1

@diman_ob_304 0 / 0 / 0 Регистрация: 28.09.2016 Сообщений: 26
	28.09.2016, 17:26 [ТС]
	TheShestov, спасибо. подумаю. 0

@romsan 5605 / 2215 / 474 Регистрация: 17.10.2015 Сообщений: 9,403
	29.09.2016, 14:44
	вопрос: а Wi-Fi гостей много? Просто из Вашего 5Мбит канала (ADSL более 8 не даст) выделить 1Мбит для Wi-Fi и пусть себе там потребляют. Или если предположить, что из существующего канала для гостей, еще нужно шейпить скорость, то Ваш роутер не позволит это сделать. Нужно помощней (посовременней/пофункциональней) железку. Либо, в самом роутере систематически резать скорость клиентам гостевой сети. Но, если они не постоянны... то естественно устанете это делать. 1