Стоит сервер Win2000 с DHCP, адреса пользерам выдает нормально, а как теперь запретить пользерам устанавливать статические IP?
» Static IP: как запретить использовать юзерам статический IP
Nadey
Только используя ограничения прав на машине. DHCP тут не поможет.
Только используя ограничения прав на машине. DHCP тут не поможет.
Nadey
А что клиенты 98? Раз они могут ip менять?
А что клиенты 98? Раз они могут ip менять?
life_so_good
А чем отличается в плане возможности изменения адреса 98 от 2000 и хр?
А чем отличается в плане возможности изменения адреса 98 от 2000 и хр?
2000 простому юзеру ничего поменять не дасть. Особенно если АД поднята.
ОСи разные от 98 до ХР, если в классе я могу запретить, то домашние пользователи меняют как хотят. Административные меры наказания как-то не хочется.
А не может DHCP резервировать IP и говорить всем что IP занят, а как только машина с нужным MAC адресом входит, освобождать и выдавать ей IP?
А не может DHCP резервировать IP и говорить всем что IP занят, а как только машина с нужным MAC адресом входит, освобождать и выдавать ей IP?
Nadey
Цитата:
А зачем тогда запрещать статичные ip? По твоим словам выходит что у каждой машины должен быть свой, конкретный ip.
Объясни задачу конкретно!
Пока что решения для тебя не видно, кроме конечно
Цитата:
как бы ни хотелось...
Пишешь демона который трафик ловит и сверяет корректность отношения ip:MAC, а потом по попке ему по попке
Цитата:
DHCP резервировать IP и говорить всем что IP занят, а как только машина с нужным MAC адресом входит, освобождать и выдавать ей IP?
А зачем тогда запрещать статичные ip? По твоим словам выходит что у каждой машины должен быть свой, конкретный ip.
Объясни задачу конкретно!
Пока что решения для тебя не видно, кроме конечно
Цитата:
Административные меры наказания
как бы ни хотелось...
Пишешь демона который трафик ловит и сверяет корректность отношения ip:MAC, а потом по попке ему по попке
Цитата:
а потом по попке ему по попке
Дело в том, что сеть состоит из комп.классов школ + надомные сетевики (частники). Так вот DHCP присваивает всем свои по MAC, но есть умники (из домовых) которые пакостят, бегать за ними неохота, а вот запретить менять IP через сервер жуть как охота.
Цитата:
жуть как охота
но нереально ;(
только по попке...
Nadey
Прямого решения твоей проблемы нет. Но!... Как я понимаю, твои надомники имеют прямое подключение к школьной сети. Хм... А как? VPN или что? В чем проблема, создаваемая ими? Может их в другую подсеть выделить вообще? Короче, чем больше корректной информации ты дашь, тем больше вероятность, что тебе помогут.
Прямого решения твоей проблемы нет. Но!... Как я понимаю, твои надомники имеют прямое подключение к школьной сети. Хм... А как? VPN или что? В чем проблема, создаваемая ими? Может их в другую подсеть выделить вообще? Короче, чем больше корректной информации ты дашь, тем больше вероятность, что тебе помогут.
Ну с 2000 не знаю как (необходимости нет 
), а на *nix'ах - DHCP + ARP, замораживаешь таблицу, и все.
), а на *nix'ах - DHCP + ARP, замораживаешь таблицу, и все.А разморозить при коннекте можно? и есть ли аналог для Win?
Однако, это уклон в типичный PPPoE.
Задача - один-в-один больное место всех провайдеров "домашних сетей" на базе Ethernet. Именно через PPPoE решается. Т.е. идея - типа, по эзеру пускается PPP, с авторизацией и т.п. Плевать, кто какой адрес взял, давать-не давать - после авторизации.
Задача - один-в-один больное место всех провайдеров "домашних сетей" на базе Ethernet. Именно через PPPoE решается. Т.е. идея - типа, по эзеру пускается PPP, с авторизацией и т.п. Плевать, кто какой адрес взял, давать-не давать - после авторизации.
странная проблема.. зачем тогда DHTCP?
ну у нас , чтобы народ не менял IP-адреса, на сервере поднят демон-АРП (кажись он так называется, это линух) - если мак-адрес не совпадает с ip-адресом, то человек не может подключиться к этой машине, т.е к серверу , т.е. у него нет интернета. Плюс еще на сервере сразу лог пишется , что такой-то Мак-адрес имел не правильный IP. На первый раз идет беседа - ну не знал человек , интересно ему было , на второй - неделя без инета , третьего раза еще ни разу не было :)))
ну у нас , чтобы народ не менял IP-адреса, на сервере поднят демон-АРП (кажись он так называется, это линух) - если мак-адрес не совпадает с ip-адресом, то человек не может подключиться к этой машине, т.е к серверу , т.е. у него нет интернета. Плюс еще на сервере сразу лог пишется , что такой-то Мак-адрес имел не правильный IP. На первый раз идет беседа - ну не знал человек , интересно ему было , на второй - неделя без инета , третьего раза еще ни разу не было :)))
Гдето вител прожку, которая IP-адрес дает только за пароль. Один пароль - один IP. Она была придумана для защиты от подделки MAC-адресов, но, вроде, и тут подойдет.
Если надо - постараюсь по сусекам поскрести, может и найдется, хотя гдето с полгда назад на нее натыкался на каждом форуме.
Если надо - постараюсь по сусекам поскрести, может и найдется, хотя гдето с полгда назад на нее натыкался на каждом форуме.
A_Crow,
Было бы ктуто если бы без пароля просто соответствие IP и MAC, если нет - не пускать и в лог.
andyvokhm, а про PPPoE где можно подробнее узнать?
tankistua, у меня Win2K
Было бы ктуто если бы без пароля просто соответствие IP и MAC, если нет - не пускать и в лог.
andyvokhm, а про PPPoE где можно подробнее узнать?
tankistua, у меня Win2K
Nadey
Существуют программы, котрые меняют реальный MAC, поэтому продвинутых пользователей соответствие MAC - IP не остановит.
Но если тебя утраивает соответствие MAC - IP, почему не зарезервируеш все что нужно в DHCP, а остальные не закроеш?
Существуют программы, котрые меняют реальный MAC, поэтому продвинутых пользователей соответствие MAC - IP не остановит.
Но если тебя утраивает соответствие MAC - IP, почему не зарезервируеш все что нужно в DHCP, а остальные не закроеш?
A_Crow
Зарезервировал IP определенным MAC в DHCP, но ничто не мешает в момент когда IP свободен, занять его указав вручную. Это меня и не устраивает
И как закрыть остальные?
Зарезервировал IP определенным MAC в DHCP, но ничто не мешает в момент когда IP свободен, занять его указав вручную. Это меня и не устраивает
И как закрыть остальные?
Nadey
А продление DHCP аренды до полугода
IP адреса случайно не займет?
А продление DHCP аренды до полугода
IP адреса случайно не займет?не займет
imho в таих случая самое оптимальное - серпом по яйцам нарушителям , чтобы не размножались
imho в таих случая самое оптимальное - серпом по яйцам нарушителям , чтобы не размножались
To: Nadey -
Про PPPoE - http://user.cs.tu-berlin.de/~normanb/#Download
Про домашние ethernet-сети: http://www.nag.ru
Про PPPoE - http://user.cs.tu-berlin.de/~normanb/#Download
Про домашние ethernet-сети: http://www.nag.ru
Вот упорный человек... Тебе ж сказали, что техническими способами запретить нельзя, а только административными. Ты так и оставил без внимания мои вопросы, которые я тебе задавал в моем прошлом сообщении. А именно: как надомники входят в твою сеть? Они же не физически к ней присоединены, верно? Или все-таки физически? Ответ на эти вопросы может помочь найти немного другое решение твоей проблемы, но в итоге ты получишь, что хотел -- надомники будут иметь определенные тобой IP. Конечно, ты можешь проигнорировать и это сообщение и продолжать искать то, чего нет.
ooptimum
Sorry за игнор
Простая локалка, все через свичи, и школы и между школами и домовые там же.
Сервер стоит в центре, на нем еще и модемы висят, для тех кто не может сеть кинуть.
Всего около 200 компов.
Добавлено
Sorry за игнор
Простая локалка, все через свичи, и школы и между школами и домовые там же.
Сервер стоит в центре, на нем еще и модемы висят, для тех кто не может сеть кинуть.
Всего около 200 компов.
Добавлено
Nadey
В данном случае я предлягаю тебе поставить firewall между школьной сетью и надомниками. Минус -- нужен еще один комп, хотя подойдет и 386. Значит, на компе ставишь 2 сетевушки: одна смотрит в твою школьную сеть, а вторая подключена, ну скажем, к свичу, куда же подключены и все надомники. Для надомников делаешь NAT "наоборот", т.е. они видны в школьной сети под адресом того интерфейса на firewall'е, который смотрит в эту же сеть. Само-собой, что на firewall'е можно для всех надомников указывать любые правила доступа, какие хочется. Там же можно проверять соответствие MAC<->IP и т.д. На firewall'е лучше установить Linux. Например, SmootWall или LinuxRouter. Если хочешь ставить форточки, то требования к железу, конечно, серьезно ужесточаются.
В данном случае я предлягаю тебе поставить firewall между школьной сетью и надомниками. Минус -- нужен еще один комп, хотя подойдет и 386. Значит, на компе ставишь 2 сетевушки: одна смотрит в твою школьную сеть, а вторая подключена, ну скажем, к свичу, куда же подключены и все надомники. Для надомников делаешь NAT "наоборот", т.е. они видны в школьной сети под адресом того интерфейса на firewall'е, который смотрит в эту же сеть. Само-собой, что на firewall'е можно для всех надомников указывать любые правила доступа, какие хочется. Там же можно проверять соответствие MAC<->IP и т.д. На firewall'е лучше установить Linux. Например, SmootWall или LinuxRouter. Если хочешь ставить форточки, то требования к железу, конечно, серьезно ужесточаются.
Хм...
Дело в том, что в сети 7 школ (3 по радиоEthernet) + центр информатизации и еще всякие управления, город маленький, поэтому все в одной сетке.
Безопасность школ - дело их компьютерщиков, меня волнует основной сервер (в центре), все через него работают, если на него поставить firewall, прокатит? есть такой для Win2K. сервер не слабый (Dual P3 1.4Gz, SCSI, гигабит).
Дело в том, что в сети 7 школ (3 по радиоEthernet) + центр информатизации и еще всякие управления, город маленький, поэтому все в одной сетке.
Безопасность школ - дело их компьютерщиков, меня волнует основной сервер (в центре), все через него работают, если на него поставить firewall, прокатит? есть такой для Win2K. сервер не слабый (Dual P3 1.4Gz, SCSI, гигабит).
Ну, можно поставить и на сервер. Я бы тогда поставил WinRoute. Но тут другая проблема -- дело в том, что firewall по-определению отделяет что-то от чего-то. Обычно локальную сеть (интранет) от всеобщей Сети (Интернет). В твоем случае "локальная" сеть должна отделяться от надомников. Т.е. чтобы установка firewall'а на центральном сервере имела смысл, необходимо, чтобы все надомники были отделены от остальной сети тем же сервером с firewall'ом (и были сохранены все рекомендации, данные мной в предыдущем посте -- 2 интерфейса и т.д.). Мне кажется, что это будет проблематично сделать, если, конечно, все надомники не живут рядом с центральным сервером. Т.е. все наизнанку -- ваша "локалка" и является по-сути той самой "наружой", от которой надо защищаться. Н-да... Может тогда не париться с адресами и построить секьюрити на основе VPN? Это единственный реальный выход, который приходит мне на ум. Кстати, какие сервисы используется "локалкой" на сервере? WWW, FTP, файл-сервер и т.д.? Есть ли домен? В общем, опять же нехватка информации...
ooptimum
На сервере стоит WEB, mail, FTP, сервер чата, вроде все.
Домен сделали, но смысла в нем не вижу, не такая уж серьезная сеть, видимо уберем.
На сервере стоит WEB, mail, FTP, сервер чата, вроде все.
Домен сделали, но смысла в нем не вижу, не такая уж серьезная сеть, видимо уберем.
Но если на сервере нет разделяемых ресурсов (диски, принтеры), а только общедоступные по определению, то зачем этот сервер защищать от этих пресловутых надомников? Что они такого могут сделать с этим сервером-то?
ooptimum
Порядок должен быть, а то бывает включают компьютер в школе, а его IP занят
Порядок должен быть, а то бывает включают компьютер в школе, а его IP занят
Надомники подключены с сети в одной точке или в разных?
Предыдущая тема: Народ помогайте! У нас ЧП.
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.