Можно ли ограничить луюой доступ к компьютеру
- по MAC - адресу?
- по какому нибудь ключу?
- по MAC - адресу?
- по какому нибудь ключу?
» Win2003, закрыть доступ по MAC или по ключам.
jdjfhsdhfjs arp /?
Создаешь батник с ip адресами и нулевыми маками, для тех айпи, которые не хочешь пускать. Батник в автозагрузку
в батнике:
arp -s 192.168.0.2 00-00-00-00-00-00
arp -s 192.168.0.3 00-00-00-00-00-00
... и так далее
Создаешь батник с ip адресами и нулевыми маками, для тех айпи, которые не хочешь пускать. Батник в автозагрузку
в батнике:
arp -s 192.168.0.2 00-00-00-00-00-00
arp -s 192.168.0.3 00-00-00-00-00-00
... и так далее
jdjfhsdhfjs
на исходящие соединения или входящие (инициироваться подключения будут с какой стороны) ? если исходящие, то какая OS ? для некоторых сработает способ предложенный ipmanyak (только для некоторых, т.к. для предложенного способа могут прислать arp ответ без запроса - и операционка изменит свою статичную запись в arp таблице на корректную и трафик снова пойдёт). Если для входящего - ставить сторонний файрвол оперирующий mac-адресами или блокировать на уровне промежуточного сетевого оборудования (тут уже зависит от наличия оборудования и его возможности создавать ACL - если поддерживает ACL для исходящего трафика через конкретный порт, то создавать правила для трафика на порт сервера, если поддерживает ACL только для входящего трафика - создавать правила для всех портов через которые могут придти пакеты для сервера).
на исходящие соединения или входящие (инициироваться подключения будут с какой стороны) ? если исходящие, то какая OS ? для некоторых сработает способ предложенный ipmanyak (только для некоторых, т.к. для предложенного способа могут прислать arp ответ без запроса - и операционка изменит свою статичную запись в arp таблице на корректную и трафик снова пойдёт). Если для входящего - ставить сторонний файрвол оперирующий mac-адресами или блокировать на уровне промежуточного сетевого оборудования (тут уже зависит от наличия оборудования и его возможности создавать ACL - если поддерживает ACL для исходящего трафика через конкретный порт, то создавать правила для трафика на порт сервера, если поддерживает ACL только для входящего трафика - создавать правила для всех портов через которые могут придти пакеты для сервера).
Цитата:
jdjfhsdhfjs arp /?
Создаешь батник с ip адресами и нулевыми маками, для тех айпи, которые не хочешь пускать. Батник в автозагрузку
в батнике:
arp -s 192.168.0.2 00-00-00-00-00-00
arp -s 192.168.0.3 00-00-00-00-00-00
... и так далее
И так далее 200 раз, многовато. Может есть подобный способ, но только указать кому можно, а остальным нельзя?
Цитата:
на исходящие соединения или входящие (инициироваться подключения будут с какой стороны) ?
На входящие соединения
А какая ос?
В виде можно же на интерфейсе закрыть в ip филтре, нежелательные адреса.
В виде можно же на интерфейсе закрыть в ip филтре, нежелательные адреса.
mostodont2006
IP-то можно, но человеку явно нужно по MAC-адресам.
jdjfhsdhfjs
если на входящие (тут способ с ARP сработает 50/50 - например, он не сработает при приёме от "запрещённых" адресов UDP пакетов не требующих подтверждения - сервер их всё равно примет), то наверное два варианта:
1) (по-моему менее правильный вариант) извращаться с файрволом поддерживающим правила на основе mac-адресов
2) использовать управляемый коммутатор с соответствующими правилами (если самый дешевый типа des-3526 от dlink, то он фильтрует только входящий трафик в сторону коммутатора: надо будет прописывать на каждый порт по паре правил - в первом разрешение от таких-то mac-адресов на mac-адрес сервера, второе - запретить со всех адресов на mac-адрес сервера чтобы блокировать неразрешенные).
если будет делаться без помощи управляемого оборудования, а запрещённые и разрешенные адреса в пределах одного сегмента - никто не помешает на запрещенных узлах в настройках сетевушек изменить MAC-адреса на разрешенные и получить доступ к серверу. Вобщем лучше подумать нужно ли вообще это "низкоуровневое и малоэффективное извращение"
IP-то можно, но человеку явно нужно по MAC-адресам.
jdjfhsdhfjs
если на входящие (тут способ с ARP сработает 50/50 - например, он не сработает при приёме от "запрещённых" адресов UDP пакетов не требующих подтверждения - сервер их всё равно примет), то наверное два варианта:
1) (по-моему менее правильный вариант) извращаться с файрволом поддерживающим правила на основе mac-адресов
2) использовать управляемый коммутатор с соответствующими правилами (если самый дешевый типа des-3526 от dlink, то он фильтрует только входящий трафик в сторону коммутатора: надо будет прописывать на каждый порт по паре правил - в первом разрешение от таких-то mac-адресов на mac-адрес сервера, второе - запретить со всех адресов на mac-адрес сервера чтобы блокировать неразрешенные).
если будет делаться без помощи управляемого оборудования, а запрещённые и разрешенные адреса в пределах одного сегмента - никто не помешает на запрещенных узлах в настройках сетевушек изменить MAC-адреса на разрешенные и получить доступ к серверу. Вобщем лучше подумать нужно ли вообще это "низкоуровневое и малоэффективное извращение"
Страницы: 1
Предыдущая тема: svchost.exe - ошибка приложения
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.