Isolare un pc dalla rete è possibile ?

[vichi66]

Ciao a tutti !
Vi pongo un quesito :
vi sono 4 pc ( A-B-C-D) con installato winXP, tutti sono in rete tramite un router adsl e tramite questo navigano in internet, tutti e 4 i pc hanno indirizzi ip con gateway es. 192.168.1.1 . e relativi DNS.
Oggi vi è l'esigenza di isolare dalla rete il "pc A" in modo che non veda gli altri pc in rete e quindi le varie cartelle condivise, ma nello stesso tempo deve avere la possibilità di navigare in iternet .
La mia domanda è:
è possibile senza installare un firewall isolare il pc A ma permettendo ad esso di navigare in internet ?
Grazie

[BTS]

potresti impostargli un ip comaptibile dal router ma non compatibile dagli altri pc:

es:

router 192.168.0.1 / 255.255.255.0

PC B-C-D 192.168.0.2-3-4 / 255.255.255.128

PC A 192.168.0.150 / 255.255.255.128

[eve]

Quote:

Originariamente inviato da vichi66

Ciao a tutti !
Vi pongo un quesito :
vi sono 4 pc ( A-B-C-D) con installato winXP, tutti sono in rete tramite un router adsl e tramite questo navigano in internet, tutti e 4 i pc hanno indirizzi ip con gateway es. 192.168.1.1 . e relativi DNS.
Oggi vi è l'esigenza di isolare dalla rete il "pc A" in modo che non veda gli altri pc in rete e quindi le varie cartelle condivise, ma nello stesso tempo deve avere la possibilità di navigare in iternet .
La mia domanda è:
è possibile senza installare un firewall isolare il pc A ma permettendo ad esso di navigare in internet ?
Grazie

basta inserire una regola nel router che scarta tutti i pacchetti di A verso la lan !
devi vedere come si configura il tuo router.
ciao

[Harry_Callahan]

con XP Pro toglierei i permessi alle cartelle condivise, cioè togli la voce "Everyone" e metti semplicemente gli utenti delle macchine B, C, e D(sulle cartelle condivise).

il discorso non dovrebbe cambiare se si lavoro con un dominio al posto di gruppo di lavoro

[vichi66]

1) Togliere i permessi alle cartelle tramite Everyone è un casino perchè ci sono tantissime cartelle e sottocartelle e dovrei dare successivamente reimpostare i permessi a tutti

2) Sul router non posso entrare perchè è quello fornito dalla albacom che fisicamente non lo vedo (nel senso che non è presente in azienda) anche se il gateway è ipostato su 192.168.1.1

3) Forse potrei optare per la soluzione di BTS ma non credo che possa funzionare
come è impostata !

Altre soluzioni........?

[BTS]

perchè non dovrebbe funzionare?
il PC A rimane nella rete del router, ma non in quella degli altri host

[vichi66]

Tu nell'esempio hai inserito un ip con la stessa classe....

Quote:

router 192.168.0.1 / 255.255.255.0

PC B-C-D 192.168.0.2-3-4 / 255.255.255.128

PC A 192.168.0.150 / 255.255.255.128

Ho provato a dare al pc A come subnet mask l'indirizzo 255.255.0.0
IP 192.168.0.150 e sembra che funziona però è strano i pc B-C-D vedono A ma non viceversa

[BTS]

hai letto male... quarda le subnet:

Quote:

Ho provato a dare al pc A come subnet mask l'indirizzo 255.255.0.0
IP 192.168.0.150 e sembra che funziona però è strano i pc B-C-D vedono A ma non viceversa

mentre io dicevo

Quote:

PC B-C-D 192.168.0.2-3-4 / 255.255.255.128

PC A 192.168.0.150 / 255.255.255.128

[vichi66]

Ma indichi come classe la stessa...

Quote:

PC B-C-D 192.168.0.2-3-4 / 255.255.255.128

PC A 192.168.0.150 / 255.255.255.128

Per i pc B,C,D, mi suggerisci:

B= 192.168.0.2 subnet 255.255.255.128
C= 192.168.0.3 subnet 255.255.255.128 ecc...

per il pc A mi suggerisci

A= 192.168.0.150 subnet 255.255.255.128

come vedi la classe è la stessa e cioè 192.168.0 e anche la subnet 255.255.255.128

[Harry_Callahan]

domanda: l'utente sulla macchina A ha un account limitato oppure da amministratore?

Ti chiedo questo perchè se fosse un account da admin, l'utente potrebbe ripristinare tranquillamente le impostazione TCP/IP, quindi per me la soluzione migliore è lavorare sui permessi delle cartelle condivise come avevo suggerito prima. Se non vuoi fare modifiche complesse, basta negare l'accesso ad un determinato utente e buonanotte, lasci utente configurato sulle cartelle ma con la spunta "nega accesso"

[BTS]

Quote:

Originariamente inviato da vichi66

Per i pc B,C,D, mi suggerisci:

B= 192.168.0.2 subnet 255.255.255.128
C= 192.168.0.3 subnet 255.255.255.128 ecc...

per il pc A mi suggerisci

A= 192.168.0.150 subnet 255.255.255.128

come vedi la classe è la stessa e cioè 192.168.0 e anche la subnet 255.255.255.128

si evince che tu non conosci il subnetting.
sarebbero stati nella stessa rete se il pc A avesse avuto un ip fino a 127, dopo è un'altra rete.
E' del tutto uguale a 192.168.0.0 e 192.168.1.0, sono 2 reti diverse, ok?
stesso discorso con 192.168.0.0 e 192.168.0.128 se prendiamo come subnet 255.255.255.128

Allora tu potevi dire, come mai non mi hai consigliato di mettere A su 192.168.0.0 e gli altri su 192.168.1.0? così le reti sono disgiunte, ma il router non le vede entrambe.
A dire il vero le vedrebbe se gli dessi come ip 192.168.0.1 / 255.255.0.0, ad esempio.

non è così banale l'indirizzamento ip da dire 192.168.0.0 è una rete e basta, bisogna considerare anche la subnet.

resta il fatto... ma tu, hai provato a mettere gli ip che ti ho consigliato prima di dire che non funziona?

[robtol II]

Questa cosa si può fare anche con le VLAN per porta.
Ti compri un Router che le supporte e fai 2 gruppi.
Ad esempio 1,2,3 assieme e poi 4.
Se sulle porte 1,2,3 quelli che attacchi si vedono (se metti uno switch sulla porta 2 tutti i PC ad esso collegato ereditano le proprietà, coiè si vedono tra loro con 1 e 3). Sul 4 metti quello isolato.
Tutti vanno in Internet.
Ci sono router da pochi soldi che fanno questo od anche switch.
Esiste poi anche il VLAN tag ma è più complesso e richiede che la scheda di rete marchi il pacchetto IP.
Ciao, Roberto.

[vichi66]

Certo BTS che ho provato, ho messo in pratica i tuoi consigli

Quote:

router 192.168.0.1 / 255.255.255.0

PC B-C-D 192.168.0.2-3-4 / 255.255.255.128

PC A 192.168.0.150 / 255.255.255.128

e la rete viene vista ugualmente da tutti i pc, mentre in questo modo

Quote:

PC A IP 192.168.0.150
subnet mask=255.255.0.0
PC B-C-D IP = 192.168.0.2/3/4
subnet =255.255.255.0 funziona

però come ti accennavo è strano che i pc B-C-D vedono A ma non viceversa

[Harry_Callahan]

@BTS un consiglio: volevo approfondire il discorso del subnetting, è già da qualche mese che volevo frequentare uno di questi corsi gratuiti finanziati dalla regione. Ieri sera ho trovato questo: http://www.ralphb.net/IPSubnet/ipaddr.html , cosa ne pensi in merito? Per caso potresti consigliarmi altra documentazione? Thanks

[BTS]

@Harry, il subnetting l'ho imparato ad ingegneria... quindi al massimo vai in cerca di slide di corsi di reti di telecomunicazioni.


@vichi66, in effetti non vorrei che il router di default facesse da bridge, comunque ho un'altra idea: installa un semplice firewall software ed abilita la LAN solo al router (nel pc A) e negli altri computer disabilita SOLO il pc A. OK?
ovviamente potresti farlo da firewall del router, ma se non hai l'accesso...