[janekman]

tahaks ühele masnale võrgus (ca 1000 masinat võrgus) anda pääs netile, aga mitte kybetki näidata sisevõrku, koik on tulemyyri taga, serverite kallale ei tahaks minna, sest neid on selleks liga palju, kuidas saaks lokaalmasinat seadistada nii (opsysteem w2k) et võrku ei näeks absoluutselt mitte

[Dapro]

Pane sellel eraldi masinal teine workgroup. Sul sellel peamisel workgroupil on asjad jagatud ikka passiga mitte guestiga exju?

[nuhk]

Jätad võrguseadetest alles ainult TCP/IP. MS network'i ja file sharingu eest linnukesed maha, NetBIOS over TCP/IP ka ("advanced" alt) maha - sellest aitab.
Internetil ei ole Billi võrguga mingit pistmist - ei töögruppide, share ega muu sarnase saastaga.

[Karzum]

Veebi proxy on ka üks võimalus.

[myragaru]

sõltub osist ka. NT-l on koht kus saad terve VõrguNaabrite süsteemi ära keelata või siis sisu mitte lasta kuvada. Aga wini puhul on jah parim variant ainult TCP/IP protokoll jätta. Ise mingi 98 ajasin ka seda asja kunagi taga, see viimane tundus kõige lihtsam.

[udumees]

[janekman]

vot see ongi, et osad masinad on domeenis, osad mitte, on ka üks ylemine domeen, aga sinna konkreetset autentimist ei toimu, ja kui tead miskit ip void vabalt ju masinatele ligi saada, paljud ressursid on võrgus jagatud ka guestidele, sest nii on vaja, aga sellel masinal ei tohiks neilegi accessi olla, oleks vaja masin seadistada nii, et absoluutselt miskit võrku ei oleks, ainult internet, proovisin winsi ära keelata, aga kuna winsi serverid on iga sekstiooni jaoks eraldi, siis ei onnestunud ka see
yhesonaga tundub suht voimatu, kudagi ikka saab nagu võrgule ligi...

[jossi]

Kui NetBIOS over TCP/IP on kinni keeratud, siis otsivad win2k/xp masinad teisi üle 445 pordi. Keera see 445 kinni tulemüüriga.

[nuhk]

[a1]

küsin vahele:

kas mingi eraldi seebikarbist ruuteri vahelepanek ei aitaks?

[Markos]

Aitab ainult dumbi vastu, st otse jah võrku näha ei ole, ei network neigborhoodis, ega ka findiga, küll aga on võimalik teisele poole seebikarpi vaadata piisava koguse teadmiste korral. Üks võimalus, mida sellisel puhul kasutatakse, on nn pearuuteri teise interface kasutuselevõtt, mis tähendab kahe võrgu füüsilist lahutamist ja ruuteris sisemiste interfacede omavahelise forwardi keelamist. Enamasti on sellised asjad lahendatud VLAN switchidega, mis on ka üks võimalustest.

[Karzum]

Kas proksi või transparent proksi poleks lahendus? Kui proksit etendaks suvaline masin võrgus, siis ei tuleks eriti midagi konfida peale proxy (IE konfimine oleks kasutajale keelatud). Kasutajale oleks policy'ga pandud veel ainult wordi, outlooki ja IE ikoonid ning igasugu häkiprogedele (telnet, run, võrgukettad jne) sellisel juhul ligi ei pääseks. Masin oleks ilusti domeenis ja täielikult administreeritav võrreldes tulemüüriga.

[plugger]

1000 masinat võrgus , hmm, no sselliste võrkude administraatoriteks on tavaliset inimesed, kellele selline ülesanne mingit probleemi ei valmista, küsi adminni käest.

[janekman]

kokku on suuresti veel yhe 1000 masina, koik on eraldi sektsioonides ja privadorid, netscreenid vahel,mina haldan aint yhte seda sektsiooni, mujale administreerima ei saa päseda ega tohigi, aga kui tead kindlat mõnda masina ip-d voi skännid millegagi, siis ikka leiad masinad ja pääsed ligi, eelenevatest asjadest ükski pole piisavalt aidanuud, kuidagi saab ikka ligi, tundub, et ainus lahendus on masinat mitte võrku panna....dns antakse sama masina pealt, mis tulemyyr, gatewayna pean kasutama privadori ip-d, kui ma ka saan oma sektsioonis kolamise ära keelata, saab mujale ikka ligi, sest peale privadori on jälle koik sama, saab igale poole ligi....ah keeruline võrk on yldse...yhesonaga tähh kes yritasid aidata, lähen lihtsama vastupanu teed ja ei anna masianle miskit netti...kasutagu dial-uppi

[jeesus450]

ainult tulemüür aitab ... paned veel ühe tulemüüri oma sektsiooni vahele, mis keelab sellel masinal ära mujale pääseda

JuSS