[ mmix @ 31.10.2012. 16:39 ] @
|
| Ok, imam dve multi-homed masine, A i B, jedan port na svakoj je vezan na LAN1 (192.168.1.0/24) i preko njega na ruter i internet; na tom lanu je jos desetak masina. Drugi, nazovi LAN, je 10.10.0.0/16 i na njemu su samo te dve masine.
imam potrebu da i jedna i druga masina sharuju rootove svojih diskova jedna drugoj. medjutim ako otvorim share \\A\C i \\B\C oni ce biti vidljivi preko LAN1, a to nije dopusteno iz sijaset razloga, pocev od toga da ostalih desetak masina ne trebaju da vide te diskove i da ACL pristup nije moguc, a zakljucno sa time da masine A i B imaju sharove koje treba da vide svi tako da ne mogu da ukinem server/client komponente u adapter settings.
Da li je na windozu moguce napraviti share tako da on bude dostupan samo preko odredjenog eth porta? Deluje mi kao da ne moze, ali ko pita ne skita. |
[ Shadowed @ 31.10.2012. 20:42 ] @
Nisu u domenu?
[ mmix @ 31.10.2012. 22:19 ] @
ne, problem je vrlo specifican
[ someone_bl @ 01.11.2012. 09:02 ] @
Vrslo specificno..
Nisi napisao koji je OS ali generalno pogledaj Adapter Settings, pa imas Advanced, pa onda imas Advanced Settings, tu mozes da slozis Interface-e kako hoces, odnosno kojim redom da se koriste, pa pokusaj sa tim da nesto napravis.
[ maksvel @ 01.11.2012. 09:15 ] @
Hm, a da probaš sa "security by obscurity"? Administrativni share ionako nije vidljiv bez znaka $, valjda sa tih 10 mašina neće isprobavati to :)
Znam - totalno loša praksa, ali ne pada mi na pamet da drukčije može da se tunuje file sharing - na nivou share - kad već ne možeš da zabraniš preko permissions.
[ mmix @ 01.11.2012. 09:16 ] @
jedan je Win7, drugi 2008r2 Standard. inace, ne vidim te opcije.
[ tpetrovic411 @ 02.11.2012. 08:18 ] @
1. način: Najjednostavnije ti je da u Host fajl uneseš "nadograđeno ime" drugog računara sa njegovom adresom iz opsega 10.10.0.0/16. npr. na hostu A ćeš uneti admin-B 10.10.0.x (adresa interfejsa B), a na hostu B admin-A 10.10.0.x (adresa interfejsa A). Host fajl se nalazi na lokaciji c:\windows\system32\drivers\etc\host
Kada ovo završiš pristupaćeš šerovanim C diskovima preko putanja \\admin-A\C i \\admin-B\C.
2. način: Ako imaš podignut DNS server, možeš na njemu uneti navedene A rekorde. Rezultat je isti, razlika je samo u načinu održavanja.
DNS koristi ako imaš iskustva, u suprotnom će ti prvo predloženo rešenje završiti posao.
[ mld @ 02.11.2012. 08:31 ] @
Nisam siguran ali čini mi se da imaš opcije za podešavanje portova na samoj Lan konekciji pri podešavanju TCP/IP protokola.
Recimo za tu konekciju za ta dva računara idi na: Property->TCP/Ip (Properties)->Advanced->Options->TCP/IP Filtering->Properties i tu podesi filtriranje na portove.
Mislim da je to ok.
[ mmix @ 02.11.2012. 08:43 ] @
Citat: mld: Nisam siguran ali čini mi se da imaš opcije za podešavanje portova na samoj Lan konekciji pri podešavanju TCP/IP
Ček sad si me zbunio, tcp/ip se ionako podešava na nivou eth porta (svaki ima svoje), meni je potrbno da se share ne vidi na svakom portu, sto je funkcionalnost na višem layeru
Citat: tpetrovic411: suprotnom će ti prvo predloženo rešenje završiti posao.
Vidljivost nije ni bila problem, samo to sto si iskrcao i dalje ne sprečava lan1 korisnike da se konektuju na share preko net kosa ili direktno preko 192. adrese [ mld @ 02.11.2012. 08:56 ] @
Pa proveri na tom podešavanju filtriranja portova, pretpostavljam da ti je postavljana opcija na "Permit all" , a tu imaš mogućnosti da za odredjenu konekciju filtriraš odredjeni port.
[ mmix @ 02.11.2012. 09:14 ] @
Kao sto rekoh te masine imaju i druge sharove koji moraju da budu dostupni na 192., mogu ja da blokiram winclient konekcije i na internom firewallu ali onda blokiram sve sharove.
[ mld @ 02.11.2012. 09:30 ] @
Sorry. Prevideo sam da blokira sve, ne može selektivno.
A preko opcija Routing table da li je tu moguće nešto uraditi?
[ mld @ 02.11.2012. 09:42 ] @
[ someone_bl @ 03.11.2012. 14:46 ] @
Citat: mmix: jedan je Win7, drugi 2008r2 Standard. inace, ne vidim te opcije.
Kad otvoris Adapter Setting pritisni tipku "Alt" da se pojavi Toolbar a onda izaberi Advance. [ tpetrovic411 @ 18.11.2012. 17:41 ] @
Da li si probao ovo? Posao od 10 min. Za drugi predlog i manje, ako imaš iskustva sa DNS-om.
Citat: tpetrovic411:
1. način: Najjednostavnije ti je da u Host fajl uneseš "nadograđeno ime" drugog računara sa njegovom adresom iz opsega 10.10.0.0/16. npr. na hostu A ćeš uneti admin-B 10.10.0.x (adresa interfejsa B), a na hostu B admin-A 10.10.0.x (adresa interfejsa A). Host fajl se nalazi na lokaciji c:\windows\system32\drivers\etc\host
Kada ovo završiš pristupaćeš šerovanim C diskovima preko putanja \\admin-A\C i \\admin-B\C.
2. način: Ako imaš podignut DNS server, možeš na njemu uneti navedene A rekorde. Rezultat je isti, razlika je samo u načinu održavanja.
DNS koristi ako imaš iskustva, u suprotnom će ti prvo predloženo rešenje završiti posao.
[ bachi @ 18.11.2012. 18:28 ] @
Mašina a i b treba da imaju administratorske naloge sa kojima će moći da pristupaju \\a\c$ i \\b\c$ shareu... Na maKini a i b definišeš user naloge koje koriste ostali kompovi u mreži i kada sharuješ to što treba da vide, pod share permissions staviš te user naloge.
Naravno, korisnici ostalih mašina ne smeju da znaju admin naloge od mašine A i B.
Na ovaj način ostali korisnici ako bi kucali \\a\c$ i \\b\c$ dobili bi access denied, dok bi ostale sharove videli, jer za to imaju prava.
[ citizenx @ 18.11.2012. 21:39 ] @
Postoji ABE, odnosno Access Based Enumeration koji se koristi na Windows Serveru 2008, a sluzi upravo za to sto tebi treba. Ukratko namenjen je tome da folderi koji su shareovani budu vidjlivi samo onima kome su shareovani. Svi ostali bezbednosni subjekti (korisnici, grupe, racunari) koji nisu u ACL-u foldera ne vide ga kad pristupaju serveru. E sad ako se ne varam ta opcija moze da se koristi samo u Aktivnom direktorijumu, a koliko sam skontao ti imas radnu grupu... Sve u svemu googlaj Windows ABE, mozda ti pomogne. pozzz
Copyright (C) 2001-2024 by www.elitesecurity.org. All rights reserved.
|