Reti locali
 

suddividere rete o cosa? come?
1 | 2 | 3 |

kane 7 Feb 2016 20:33
ho un quesito per voi

al momento ho una rete del tipo 192.168.0.*
netmask 255.255.255.0

ho pero' un problema
tutti vedono tutti
tutti i pc della rete si vedono tra loro e tutti possono comunicare con
tutti

invece quello che vorrei fare e' che ogni pc della rete puo' vedere solo
uno dei router (per uscire su internet) e una delle stampanti (per stampare)

i pc non devono vedersi tra loro

al momento la rete e' fatta cosi:
ci sono 2 switch a 24 porte, 6 router, e 4 stampanti di rete
Andrea D'Amore 8 Feb 2016 08:40
On 2016-02-07 19:33:27 +0000, kane said:

> al momento la rete e' fatta cosi:
> ci sono 2 switch a 24 porte, 6 router, e 4 stampanti di rete

Il candidato unisca i puntini dall'uno al cinquantatré e commenti
brevemente la figura che appare.

--
Andrea
writethem 8 Feb 2016 09:32
Il 07/02/2016 20:33, kane ha scritto:

> tutti i pc della rete si vedono tra loro e tutti possono comunicare con
> tutti

Con switch in grado di supportare tale funzionalità, in ambito
alberghiero di usano le Private VLAN, ovvero l'isolation tra le porte.

Vanno definiti però molto attentamente gli scenari, rischi di creare
problemi su servizi invece indispensabili.

Un'altra strada è concentrarsi sugli host con sistemi di
endpoint/personal firewalling distribuito e così via.
Allen 8 Feb 2016 09:35
Andrea D'Amore <anddam+NOSPAM@brapi.net> wrote in news:n99goi$mc2$1
@virtdiesel.mng.cu.mi.it:

> Il candidato unisca i puntini dall'uno al cinquantatrè e commenti
> brevemente la figura che appare.

LOL! Bella lì, grande. :-D
Andrea D'Amore 8 Feb 2016 09:39
On 2016-02-08 08:32:00 +0000, writethem said:

> rischi di creare problemi su servizi invece indispensabili.

Per curiosità, quali?
A parte il fatto di voler accedere alle 4 stampanti da tutte le
postazioni mi sembra che l'OP voglia proprio isolare tutti gli host,
quindi non ci sono servizi locali da usare.


--
Andrea
writethem 8 Feb 2016 10:12
>> rischi di creare problemi su servizi invece indispensabili.
>
> Per curiosità, quali?
> A parte il fatto di voler accedere alle 4 stampanti da tutte le
> postazioni mi sembra che l'OP voglia proprio isolare tutti gli host,
> quindi non ci sono servizi locali da usare.


Tanto per iniziare le private vlan isolano tutto il traffico, anche
quello broadcast, sia a livello 2 sia a livello 3 (è come se fosse una
vlan per porta). Da qui è facile intuire che, tanto per citarne una, i
Gratuitous ARP non avranno quasi alcun effetto (inteso come traffico ARP
"in genere"), il traffico multicast (mi viene in mente parte dei servizi
in VOIP) sarà difficoltoso e se non opportunamente configurato, il DHCP
discovery e release potrebbe esserne inficiato.

Ovviamente, quindi, non basta solo isolare, ma va anche compreso cosa si
vuol far funzionare e preservare. La rete è in dominio? Kerberos deve
autenticarsi? I DNS dove risiedono? Una volta mappato tutto allora si
possono usare le private vlan.

Personalmente le consiglierei solo in ambito alberghiero e campus. Per
il resto gli endpoint ed i firewall distribuiti riescono ad evitare la
promisquità.
Lorenz 8 Feb 2016 11:02
kane ha pensato forte :
> ho un quesito per voi
>
> al momento ho una rete del tipo 192.168.0.*
> netmask 255.255.255.0
>
> ho pero' un problema
> tutti vedono tutti
> tutti i pc della rete si vedono tra loro e tutti possono comunicare con tutti
>
> invece quello che vorrei fare e' che ogni pc della rete puo' vedere solo uno
> dei router (per uscire su internet) e una delle stampanti (per stampare)
>
> i pc non devono vedersi tra loro
>
> al momento la rete e' fatta cosi:
> ci sono 2 switch a 24 porte, 6 router, e 4 stampanti di rete

E che ci fate con 6 router?
kane 8 Feb 2016 11:51
> E che ci fate con 6 router?

6 abbonamenti a internet diversi
kane 8 Feb 2016 11:55
> Ovviamente, quindi, non basta solo isolare, ma va anche compreso cosa si
> vuol far funzionare e preservare. La rete è in dominio?

no niente dominio
semplicemente ogni pc ha un ip statico/ netamsk/gateway e dns impostati
a mano
punto

> Kerberos deve autenticarsi?

niente

I DNS dove risiedono?
sono quelli dell'isp
non ci sono dns interni

> Una volta mappato tutto allora si possono usare le private vlan.

i due switch supportano le vlan
pero' non le ho mai usato perche' non mi e' chiara una cosa:

da quello che ho capito per ogni porta si puo' stabilire a quale vlan
appartiene

ora se per esempio una stampante si imposta sulla vlan 3 per fare un
esempio, verra' vista solamente dai pc che si trovano sulla stessa vlan,
giusto?

e se volessi che le stampanti siano viste da tutti i pc??
kane 8 Feb 2016 11:56
> Un'altra strada è concentrarsi sugli host con sistemi di
> endpoint/personal firewalling distribuito e così via.


configurare i singoli pc con regole di firewall apposta per ogni pc e'
un suici*****
ci sono troppi sistemi diversi
da xp a win7 a linux a freebsd ecc ecc ecc

ci vuole qualche sistema indipendente dai vari sistemi operativi usati
kane 8 Feb 2016 11:58
> A parte il fatto di voler accedere alle 4 stampanti da tutte le
> postazioni mi sembra che l'OP voglia proprio isolare tutti gli host,
> quindi non ci sono servizi locali da usare.

praticamente i pc normali devono solo poter stampare e collegarsi a internet
non devono vedere gli altri pc
Andrea B. 8 Feb 2016 12:40
Il 08/02/2016 11.58, kane ha scritto:
>> A parte il fatto di voler accedere alle 4 stampanti da tutte le
>> postazioni mi sembra che l'OP voglia proprio isolare tutti gli host,
>> quindi non ci sono servizi locali da usare.
>
> praticamente i pc normali devono solo poter stampare e collegarsi a
> internet
> non devono vedere gli altri pc
>
Cosa intendi per "vedere"?
Non devono poter accedere alle risorse condivise?
Non devono poter determinare se un indirizzo IP è in uso?
kane 8 Feb 2016 13:47
> Cosa intendi per "vedere"?
> Non devono poter accedere alle risorse condivise?
> Non devono poter determinare se un indirizzo IP è in uso?

non devono proprio vederli..
cioe' ammesso che qualcuno faccia ping ip di un altro pc deve rispondere
come se fosse irragiungibile

l'altro giorno e' successo un ******* perche' qualcuno ha preso un virus
e il virus e' passato tramite rete su altri pc
allora per evitare che possa succedere di nuovo voglio tenere separati i
computer

quello che non capisco e' se e' possibile o no


cioe' se una stampante deve essere accessibile da piu' computer, cio'
comporta necessariamente che anche i computer possano vedersi tra loro?
Andrea D'Amore 8 Feb 2016 14:01
On 2016-02-08 12:47:02 +0000, kane said:

> l'altro giorno e' successo un ******* perche' qualcuno ha preso un virus
> e il virus e' passato tramite rete su altri pc

Cryptolocker?


--
Andrea
kane 8 Feb 2016 15:43
On 02/08/2016 02:01 PM, Andrea D'Amore wrote:
> On 2016-02-08 12:47:02 +0000, kane said:
>
>> l'altro giorno e' successo un ******* perche' qualcuno ha preso un
>> virus e il virus e' passato tramite rete su altri pc
>
> Cryptolocker?
>
>

yes
writethem 8 Feb 2016 16:51
Il 08/02/2016 11:55, kane ha scritto:

> i due switch supportano le vlan
> pero' non le ho mai usato perche' non mi e' chiara una cosa:
>
> da quello che ho capito per ogni porta si puo' stabilire a quale vlan
> appartiene
>
> ora se per esempio una stampante si imposta sulla vlan 3 per fare un
> esempio, verra' vista solamente dai pc che si trovano sulla stessa vlan,
> giusto?
>
> e se volessi che le stampanti siano viste da tutti i pc??

il supporto alle vlan non include il supporto alle private vlan. sono
comunque due cose differenti pur basandosi sull'802.1q
writethem 8 Feb 2016 16:52
Il 08/02/2016 15:43, kane ha scritto:
> On 02/08/2016 02:01 PM, Andrea D'Amore wrote:
>> On 2016-02-08 12:47:02 +0000, kane said:
>>
>>> l'altro giorno e' successo un ******* perche' qualcuno ha preso un
>>> virus e il virus e' passato tramite rete su altri pc
>>
>> Cryptolocker?
>>
>>
>
> yes
>

io direi teslacrypt 3, visto che è passato dalle ******* di rete. però
comunque direi che qui alla base c'è un problema di fondo... perchè le
******* erano pubbliche?
writethem 8 Feb 2016 16:52
Il 08/02/2016 11:51, kane ha scritto:
>> E che ci fate con 6 router?
>
> 6 abbonamenti a internet diversi

allora hai un punto di routing, tipo un firewall? in quel caso fai fare
a lui le eccezioni alle vlan
kane 8 Feb 2016 16:53
> il supporto alle vlan non include il supporto alle private vlan. sono
> comunque due cose differenti pur basandosi sull'802.1q

sono due switch hp 1810g-24 j9450a
kane 8 Feb 2016 16:55
> io direi teslacrypt 3, visto che è passato dalle ******* di rete. però
> comunque direi che qui alla base c'è un problema di fondo... perchè le
> ******* erano pubbliche?

in che senso pubbliche?
su un pc con windows c'era lanciato un server ftp per condividere una
directory piena di documenti con cui si accede con nome utente e password
e tutti i ******* sono stati criptati
kane 8 Feb 2016 16:56
> allora hai un punto di routing, tipo un firewall? in quel caso fai fare
> a lui le eccezioni alle vlan

no non c'e' un firewall dove passa tutto il traffico
ogni pc ha impostato un router e esce su internet
non viene filtrato niente
Andrea B. 9 Feb 2016 00:14
Il 08/02/2016 16:55, kane ha scritto:
>> io direi teslacrypt 3, visto che è passato dalle ******* di rete. però
>> comunque direi che qui alla base c'è un problema di fondo... perchè le
>> ******* erano pubbliche?
>
> in che senso pubbliche?
> su un pc con windows c'era lanciato un server ftp per condividere una
> directory piena di documenti con cui si accede con nome utente e password
> e tutti i ******* sono stati criptati

Il problema è proprio questo: evidentemente ciascun utente aveva il
diritto di scrivere su tutti i ******* Cosa c'entra separare i singoli PC
se poi tutti devono andare a leggere e scrivere in una ******* condivisa?

Alcune azioni utili a ridurre i danni potrebbero essere:

- una solida politica di backup;
- formazione degli utenti (vabbé);
- separare se possibile i ******* di ciascun utente dagli altri.
kane 9 Feb 2016 00:49
On 02/09/2016 12:14 AM, Andrea B. wrote:
> Il 08/02/2016 16:55, kane ha scritto:
>>> io direi teslacrypt 3, visto che è passato dalle ******* di rete. però
>>> comunque direi che qui alla base c'è un problema di fondo... perchè le
>>> ******* erano pubbliche?
>>
>> in che senso pubbliche?
>> su un pc con windows c'era lanciato un server ftp per condividere una
>> directory piena di documenti con cui si accede con nome utente e password
>> e tutti i ******* sono stati criptati
>
> Il problema è proprio questo: evidentemente ciascun utente aveva il
> diritto di scrivere su tutti i ******* Cosa c'entra separare i singoli PC
> se poi tutti devono andare a leggere e scrivere in una ******* condivisa?


nooo
ognuno salva i propri documenti sul proprio computer
solo che uno aveva condiviso una directory per fatti suoi per poter
accedere da un altro pc...
cmq se i pc sono separati si vive meglio..

come si puo' fare?
writethem 9 Feb 2016 08:01
Il 09/02/2016 00:49, kane ha scritto:

> nooo
> ognuno salva i propri documenti sul proprio computer
> solo che uno aveva condiviso una directory per fatti suoi per poter
> accedere da un altro pc...
> cmq se i pc sono separati si vive meglio..
>
> come si puo' fare?
>

Prima di andare sulle private vlan, io inizierei da un dominio AD e
dall'abbassamento delle autorizzazioni da admin a user per gli utenti.

Se "ognuno salva su di se", il karma informatico è bene che ti abbia
colpito con teslacrypt. Scherzi a parte, salvare su di un server comune
di migliora di molto:
- l'affidabilità *****ware
- le politiche di backup
- il ripristino temporale dei ******* (sante shadow copy, a patto di
gestire correttamente il server)


Su un'auto non puoi pensare a mettere il filtro dell'aria sportivo se
sotto hai il telaio con la ruggine.
meddix on WINSETTETE 9 Feb 2016 08:23
Il 08/02/2016 11:55, kane ha scritto:
> e se volessi che le stampanti siano viste da tutti i pc??
includi in ogni Vlan le porte dello switch a cui ono collegate le
stampanti....
Arne Saknussemm 9 Feb 2016 09:18
On Mon, 8 Feb 2016 11:55:07 +0100
"kane" wrote in it.comp.reti.locali <n99s6a$tna$1@gioia.aioe.org>:

>
>> Ovviamente, quindi, non basta solo isolare, ma va anche compreso
>> cosa si vuol far funzionare e preservare. La rete è in dominio?
>
> no niente dominio
> semplicemente ogni pc ha un ip statico/ netamsk/gateway e dns
> impostati a mano
> punto

beh, non c'entra nulla con l'isolamento, ma potresti usare DHCP e
reservation, in questo modo i clients aquisiranno le impostazioni IP
dal server DHCP pur ottenendo sempre lo stesso IP; il vantaggio di una
tale configurazione è la possibilità di variare rapidamente le varie
impostazioni IP senza dover intervenire sui vari hosts

> da quello che ho capito per ogni porta si puo' stabilire a quale vlan
> appartiene

si, anche per gruppi di porte

> ora se per esempio una stampante si imposta sulla vlan 3 per fare un
> esempio, verra' vista solamente dai pc che si trovano sulla stessa
> vlan, giusto?

corretto, sempre che la stampante sia attestata su una porta taggata;
altrimenti sarebbe possibile fare in modo che la stampante venga vista
da più PC e/o vlan multiple
Mirko Borsari 9 Feb 2016 09:26
Il Tue, 9 Feb 2016 00:49:03 +0100, kane ha scritto:


> cmq se i pc sono separati si vive meglio..
>
> come si puo' fare?

se non puoi usare le pvlan come ti è già stato suggerito, io penserei
di fare n vlan e gestirei la comunicazione (o la non comunicazione)
tra loro tramite un router/firewall.





--
MirkoB. news@bsi-net.it
Motoretta BMW R1200R Lightgrey

L'indirizzo ema@il non è da considerarsi pubblico,
ma utilizzabile solo per temi inerenti il NG corrente
writethem 9 Feb 2016 09:38
Il 09/02/2016 08:23, meddix on WINSETTETE ha scritto:
> Il 08/02/2016 11:55, kane ha scritto:
>> e se volessi che le stampanti siano viste da tutti i pc??
> includi in ogni Vlan le porte dello switch a cui ono collegate le
> stampanti....

e secondo te
1) le stampanti leggono i tag vlan?
2) le stampanti consentono l'attribuizione di 40 ip diversi?

maddai... forse quelle del cern.
writethem 9 Feb 2016 09:40
Il 09/02/2016 09:18, Arne Saknussemm ha scritto:

> beh, non c'entra nulla con l'isolamento, ma potresti usare DHCP e
> reservation,

se l'utente ha permessi di amministrazione, la dhcp reservation serve a
ben poco. e comunque non risolve il problema.
Arne Saknussemm 9 Feb 2016 10:01
On Tue, 9 Feb 2016 09:40:06 +0100
"writethem" wrote in it.comp.reti.locali <n9c8l5$lbk$2@gioia.aioe.org>:

> Il 09/02/2016 09:18, Arne Saknussemm ha scritto:
>
>> beh, non c'entra nulla con l'isolamento, ma potresti usare DHCP e
>> reservation,

> se l'utente ha permessi di amministrazione, la dhcp reservation serve
> a ben poco. e comunque non risolve il problema.

infatti ho scritto che non c'entra nulla con l'isolamento, ho citato la
cosa solo "en passant"

--
If you're not part of the solution, you're part of the precipitate.
Andrea B. 9 Feb 2016 11:42
Il 09/02/2016 0.49, kane ha scritto:
> On 02/09/2016 12:14 AM, Andrea B. wrote:

>> Il problema è proprio questo: evidentemente ciascun utente aveva il
>> diritto di scrivere su tutti i ******* Cosa c'entra separare i singoli PC
>> se poi tutti devono andare a leggere e scrivere in una ******* condivisa?
>
>
> nooo
> ognuno salva i propri documenti sul proprio computer
> solo che uno aveva condiviso una directory per fatti suoi per poter
> accedere da un altro pc...
> cmq se i pc sono separati si vive meglio..
>
> come si puo' fare?
>

Come ti hanno detto creare un dominio e gestire più strettamente quello
che ciascuno può fare.
Secondo me risolvere con le vlan potrebbe anche essere possibile ma è
piuttosto complicato.

Links
Giochi online
Dizionario sinonimi
Leggi e codici
Ricette
Testi
Webmatica
Hosting gratis
   
 

Reti locali | Tutti i gruppi | it.comp.reti.locali | Notizie e discussioni reti locali | Reti locali Mobile | Servizio di consultazione news.