В разных.
До школ идут кабеля через свичи которые стоят в домах, к ним и подключены.
До школ идут кабеля через свичи которые стоят в домах, к ним и подключены.
» Static IP: как запретить использовать юзерам статический IP
Ну, тогда я не вижу другого выхода, кроме как эти кабеля подключать (в школах) не напрямую, а каждый к своему шлюзу. А будет на этом шлюзе еще и NAT или firewall -- дело третье. Т.е. смысл в том, что все надомники будут сидеть в разных сетях (по числу их физических подключений к школьной сети) и уж конечно будут не в состоянии занять чужие адреса из этой самой школьной сети. В качестве шлюза лучше всего использовать компьютеры (цена/возможности), но можно и простые аппаратные бриджи, но в последнем случае, конечно, надо забыть про NAT, DHCP и т.д. Да, Linux'а бояться не надо, сейчас есть такие дистрибутивы, которые предназначены как раз на ту роль, которая тебе нужна, т.е. тебе настраивать почти ничего не придется. Причем одному из этих дистрибутивов даже не нужен жесткий диск -- он грузится с 1 дискеты. Линки я тебе давал.
а кто подскажет программку которая тихо сидела бы в трее - сканила в заданный интревал времени диапазон адресов на соотвествие mac-ip полученному в результате предыдущего сканирования - вела лог - и сообщала о смене ip ?
p/s/ под виндами
p/s/ под виндами
столкнулся с подобной проблемой, только у меня всё проще:
На сервре две сетевухи, одна смотрит в сеть, а другая на ADSL модем. Стоит win2k SP4 + DHCP, инет надо давать не всем! Есть люди, которые вручную ставят рабочие IP и у них интернет рабаотет, как это можно отключить? Я так понял что в 98 никак... а как в NT (XP, 2000) ?
На сервре две сетевухи, одна смотрит в сеть, а другая на ADSL модем. Стоит win2k SP4 + DHCP, инет надо давать не всем! Есть люди, которые вручную ставят рабочие IP и у них интернет рабаотет, как это можно отключить? Я так понял что в 98 никак... а как в NT (XP, 2000) ?
Ejik88
DHCP - привязка по MAC-адресу, аутентификация ( Винрут )
DHCP - привязка по MAC-адресу, аутентификация ( Винрут )
monkkey
Люди, по словам Ejik88, ставят IP адреса вручную - DHCP + привязка по MAC адресу не подходит...
Люди, по словам Ejik88, ставят IP адреса вручную - DHCP + привязка по MAC адресу не подходит...
А не лучше ли былобы тогда отойти от ДШСП и поставить всем статический АйПишник с привязкой на МАК адреса, а всю незанятую область прописать несуществующими МАК адресами? Админ в сети ты, или не админ?
Это то не каждый умник уже прошибет. Хотя...
Это то не каждый умник уже прошибет. Хотя...
Уважаемые админы шоб не создавать новую тему написал сюда.
Вопрос: есть ли способ удаленно изменить статический адрес на динамическое получение от дхсп-сервера? спасибо.
Вопрос: есть ли способ удаленно изменить статический адрес на динамическое получение от дхсп-сервера? спасибо.
Согласен с Nadey. Сам решаю такую же проблему.
Многие предложения, прочитанные мной здесь, говорят о том, что авторы не понимают проблему и некоторые принципы работы сети.
У меня сейчас пока решено так.
Для всей подсети в параметре шлюза по умолчанию стоит адрес не шлюза.
А для резервированных по Макам IP для каждого прописан правильный шлюз.
В итоге мы получаем, если некто нехороший придет со своим компом и включит его в сеть, то в локальной сети он будет, но интернет для него будет работать.
Конечно, это не спасает меня от его умения посмотреть на уже работающей машине адрес шлюза и прописать его статично. Но чаще всего моим пользователям достаточно работы в локальной сети.
Под NT4.0 у меня была программа, которая регистировала в сети для указанного диапазона IP адресов один МАК адрес. При любой попытке входа в сеть с одним из этих IP работа была невозможной, я получал сообщение.
Вот это то, что мне нужно сейчас, только под платформу Win2k, 2003.
Многие предложения, прочитанные мной здесь, говорят о том, что авторы не понимают проблему и некоторые принципы работы сети.
У меня сейчас пока решено так.
Для всей подсети в параметре шлюза по умолчанию стоит адрес не шлюза.
А для резервированных по Макам IP для каждого прописан правильный шлюз.
В итоге мы получаем, если некто нехороший придет со своим компом и включит его в сеть, то в локальной сети он будет, но интернет для него будет работать.
Конечно, это не спасает меня от его умения посмотреть на уже работающей машине адрес шлюза и прописать его статично. Но чаще всего моим пользователям достаточно работы в локальной сети.
Под NT4.0 у меня была программа, которая регистировала в сети для указанного диапазона IP адресов один МАК адрес. При любой попытке входа в сеть с одним из этих IP работа была невозможной, я получал сообщение.
Вот это то, что мне нужно сейчас, только под платформу Win2k, 2003.
Меняют это ихние проблемы!!! Зачем спрашиваеться менять!???? Работает работает !Не!т надо полезть!!! От юзвери уже!!
Что то я не пойму зачем тут сыр бор! Просто делаешь пул адресов на все возможные (типа 10.0.0.0 до 10.254.254.254), потом их же запрещаешь к выдаче. Юзверям резервируешь по MAC. Как только он сменил IP ему меседж вылетает - адрес зарезервирован. Так же его резервацию блокируешь и его как ни бывало в сети (типа штрафных отключений)
To fuzik
Можно поподробней про запрет? Не нашел где это можно сделать в Win2k Server.
Можно поподробней про запрет? Не нашел где это можно сделать в Win2k Server.
dostalo
В настройках DHCP сервера
В настройках DHCP сервера
To Alan Mon
Излазил всю остнастку настройки DHCP. Куда смотреть? Ну туплю немного вы уж простите.
Излазил всю остнастку настройки DHCP. Куда смотреть? Ну туплю немного вы уж простите.
dostalo
Это я туплю. Невнимательно прочел. Не решается это через виндовый dhcp. Зарезервировать можно, запретить к выдаче можно, но если клиент ставит себе статический IP, он просто не обращается к DHCP-серверу и все это резервирование идет куда подальше.
Это я туплю. Невнимательно прочел. Не решается это через виндовый dhcp. Зарезервировать можно, запретить к выдаче можно, но если клиент ставит себе статический IP, он просто не обращается к DHCP-серверу и все это резервирование идет куда подальше.
All
В чем проблема ?
Простой юзер В ПРИНЦИПЕ не может менять настройки сети. (2000, XP)
Прав для этого мало.
В чем проблема ?
Простой юзер В ПРИНЦИПЕ не может менять настройки сети. (2000, XP)
Прав для этого мало.
Jovanotti
В домене - да, а если сеть типа районной локалки или что-то в этом роде ?
В домене - да, а если сеть типа районной локалки или что-то в этом роде ?
Простые юзеры не имеют. Но вот сотрудники отдела техподдержки имеют права локальных админов. И иногда они меняют таки IP задавая его вручную.
При этом забывая вернуть как было. ПРиходится боротся с этим так.
logoff script
echo off
rem сначала переименуем подключение чтобы по "русски называлось"
netsh interface set interface name="Подключение по локальной сети" newname="LocalNet"
netsh interface ip set address name ="LocalNet" source = dhcp
netsh interface ip set dns name ="LocalNet" source = dhcp
netsh interface ip set wins name ="LocalNet" source = dhcp
через GP распространяю это на пользователей имеющих права локальных админов
При этом забывая вернуть как было. ПРиходится боротся с этим так.
logoff script
echo off
rem сначала переименуем подключение чтобы по "русски называлось"
netsh interface set interface name="Подключение по локальной сети" newname="LocalNet"
netsh interface ip set address name ="LocalNet" source = dhcp
netsh interface ip set dns name ="LocalNet" source = dhcp
netsh interface ip set wins name ="LocalNet" source = dhcp
через GP распространяю это на пользователей имеющих права локальных админов
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Network Connections\\NC_RasChangeProperties
Ограничения сетевых подключений. Свойства RAS подключений. Запретить изменять свойства удаленного доступа.
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 1 = запретить) Групповая политика. ссылка
--------------------------------------------------------------------------------
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Network Connections\\NC_AllowAdvancedTCPIPConfig
Ограничения сетевых подключений. Настройки TCPIP конфигурации.
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 1 = запретить) Групповая политика. ссылка
--------------------------------------------------------------------------------
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Network Connections\\NC_AdvancedSettings
Ограничения сетевых подключений. Расширенные параметры настройки.
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 1 = запретить) Групповая политика.
Вот так и делай. Поставь всем таие настройки, которые хочешь, а потом заблокируй изменения.
Ограничения сетевых подключений. Свойства RAS подключений. Запретить изменять свойства удаленного доступа.
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 1 = запретить) Групповая политика. ссылка
--------------------------------------------------------------------------------
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Network Connections\\NC_AllowAdvancedTCPIPConfig
Ограничения сетевых подключений. Настройки TCPIP конфигурации.
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 1 = запретить) Групповая политика. ссылка
--------------------------------------------------------------------------------
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Network Connections\\NC_AdvancedSettings
Ограничения сетевых подключений. Расширенные параметры настройки.
Тип: REGDWORD;
Значение: (по умолчанию параметра нет; 1 = запретить) Групповая политика.
Вот так и делай. Поставь всем таие настройки, которые хочешь, а потом заблокируй изменения.
Если все в одном Ethernet сегменте то самое простое привязать ip к MAC-у через arp -s. Сетевухи не каждый день меняются. Конечно IP они могут менять - но к серверу доступа не будет. Правда и MAC поменять много ума не надо.
Если свичи умные - то можно привязать MAC к порту.
Ну а если отделишь надомников линуховым роутером то ваще вариантов туча.
Если свичи умные - то можно привязать MAC к порту.
Ну а если отделишь надомников линуховым роутером то ваще вариантов туча.
Кароче решение одно
берем какой нить чермет ставим линух
туда ставим IP-Sentinel
Программа для предотвращения факта самовольного присвоения IP-адресов пользователями в локальной сети. Программа периодически посылает ARP-запросы, и сохраняет MAC-адреса машин во внутренней базе, если обнаружен ответ с несовпадающим MAC-адресом, самовольное присвоение IP блокируется.
берем здесь http://www.nongnu.org/ip-sentinel/
мона еще ftp dhcp итд прикрутить чтоб зря не простаивал линух
у меня так работает четко первое что защищает от любителей подключится на шарика к сетке
для профилактики время от времени меняю в дшсп связку айпи +мак выборочно ну и в проге сответственно
а вобще нужно подобное под винду
мож встречал кто то
есть несколко ну они все пасивные только фиксируют смену айпи
а синтел при неправильной связке IP<->MAC отправлялся АРП ответ что Ип используется в сети.
что нам и нуна
берем какой нить чермет ставим линух
туда ставим IP-Sentinel
Программа для предотвращения факта самовольного присвоения IP-адресов пользователями в локальной сети. Программа периодически посылает ARP-запросы, и сохраняет MAC-адреса машин во внутренней базе, если обнаружен ответ с несовпадающим MAC-адресом, самовольное присвоение IP блокируется.
берем здесь http://www.nongnu.org/ip-sentinel/
мона еще ftp dhcp итд прикрутить чтоб зря не простаивал линух
у меня так работает четко первое что защищает от любителей подключится на шарика к сетке
для профилактики время от времени меняю в дшсп связку айпи +мак выборочно ну и в проге сответственно
а вобще нужно подобное под винду
мож встречал кто то
есть несколко ну они все пасивные только фиксируют смену айпи
а синтел при неправильной связке IP<->MAC отправлялся АРП ответ что Ип используется в сети.
что нам и нуна
Предыдущая тема: Народ помогайте! У нас ЧП.
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.