» блокирование выдачи IP по mac адресу

Здравствуйте!

Подскажите, как запретить выдачу ip адреса по mac адресу в windows 2003. идёт динамическая раздача адресов(dhcp). Зачем это нужно - ззвери могут прийти в организацию со своими ноутамм, подсоединиться к сетке и спокойно пользоваться инэтом. Дело в том, что у нас в организации пока нет прокси(разрешен только ISA)...

Зарезервируйте под каждый мак-адрес свой ip-адрес. А остальным айпишникам запретите выход в инет. Правда от подмены мак-адреса это не спасёт.

urodliv
Цитата:

Правда от подмены мак-адреса это не спасёт.

Так это ведь еще нужно узнать, на какой МАК поменять! А это таки 12 шеснадцатиричных цифр.

vlary
Если брать из головы, то конечно это не реально. Я же не знаю какая у них там сеть. Скорее всего у товарища по офисам растырканы свободные розетки (раз кто хочет, тот и втыкает своё оборудование). А значит решение совсем простое: уровнять количество действующих розеток с количеством компов. Просто тупо физически отключить на кроссе (или чего там есть) ненужные розетки. Про продвинутых пользюков со снифами лучше не упоминать...

Цитата:

Дело в том, что у нас в организации пока нет прокси(разрешен только ISA)...

А что? Иса не умеет авторизовывать по Login/passwd ??

Цитата:

Если брать из головы, то конечно это не реально. Я же не знаю какая у них там сеть. Скорее всего у товарища по офисам растырканы свободные розетки (раз кто хочет, тот и втыкает своё оборудование). А значит решение совсем простое: уровнять количество действующих розеток с количеством компов. Просто тупо физически отключить на кроссе (или чего там есть) ненужные розетки. Про продвинутых пользюков со снифами лучше не упоминать...

Вы совершенно правы. У нас большой завод и кухню эту предшественники работавшие до нас развалили по самое не балуйся. Сейчас прилаживается новая локальная сеть подрядными организациями. Пока не будут завершены работы нужно ведь как-то контролировать. Поэтому я и задал этот вопрос.

Добавлено:

Цитата:

А что? Иса не умеет авторизовывать по Login/passwd ??

Многоуважаемый, Вы не правильно поняли вопрос. В нашей компании есть регламент на определенный софт. Из прокси можно развернуть только ISA. Пока у нас её НЕТ. Деньги пока еще не выделили на покупку. Другое ставить НЕЛЬЗЯ, даже БЕСПЛАТНОЕ. Вот так вот, бывает и такое )

а какое активное оборудование сетевое есть?
может 802.1x зафигачить?
или на хабах всё?

Приветсвую!

А есть ли в 2003м виндозе нечто подобное Network Access Protection или это доступно только для 2008го вин-сервера ? Если есть, то надобно в этом направлении копать...

УДАЧИ !!!

разрешен только ISA
в ISA можно определить клиентов которым ты предоставляешь доступ
в чём проблема?

oler2
Цитата:

в чём проблема?

Как я понял, проблема у человека в том, что у него нету даже разрешенной ИСЫ, и будет не скоро, а блокировать хочется уже прямо сейчас.

так любой фаервол в той или иной степени сложности позволяет это делать

Цитата:

так любой фаервол в той или иной степени сложности позволяет это делать

Любой - НИЗЗЯ!

Цитата:

так любой фаервол в той или иной степени сложности позволяет это делать

в компании пользуемся антивирем Symantec Endpoint 11. По началу думал, такая извините за выражение х.. этот антивирус... а нет... отличный оказался антивирь... я имею ввиду не в плане защиты, а в плане функциональности... сейчас он у меня временно блокирует раздачу некоторым особо одарённым юзверям... и справляется хорошо... все кто заведены в домен, с ними проблем нет... их контролируем, а вот те кто, находится за пределами домены, которые подключаются к сетки со своими грёбаными ноутами ,с теми трабла...

Добавлено:

Цитата:

а какое активное оборудование сетевое есть?
может 802.1x зафигачить?
или на хабах всё?

пока плачевно - на хабах всё... хаб на хабе ) пипец! активка закуплена будет только через месяц.. ждём пока подрядчики закончат работу по прокладке новой ЛС

Цитата:

Подскажите, как запретить выдачу ip адреса по mac адресу в windows 2003. идёт динамическая раздача адресов(dhcp). Зачем это нужно - ззвери могут прийти в организацию со своими ноутамм, подсоединиться к сетке и спокойно пользоваться инэтом. Дело в том, что у нас в организации пока нет прокси(разрешен только ISA)...

как вариант:
в dhcp сделать резервирование (привязки mac-ip) и запретить раздачу динамических ip исключением.
исключения вбиваются на весь диапазон раздаваемых ip, но тем не менее резервы ip получают, т.к. резервирование имеет приоритет перед исключением


правда от статического вбивания IP или смены мака не спасет, но хотя бы чайников отсеет

Если известно какие МАС-адреса надо блокировать, то чем выдавать ВСЕМ адреса привязанные к МАС-ам, лучше просто "плохим" мас-ам давать "плохие" адреса. Какие-нить совершенно левые, которые в инет вылезти не смогут.

Однако не ясно зачем это вообще надо. Ну слазит человек со своего компа в инет. Ну и что? Если очень хочется, то прописывается документ, регламентирующий работу в Сети и за нарушения выписывается предупреждение/штраф/ит.д. В общем, решать надо административными методами, а не техническими. IMHO

Техническими один раз сделал и забыл, а административные требуют контроля.

Цитата:

Если известно какие МАС-адреса надо блокировать, то чем выдавать ВСЕМ адреса привязанные к МАС-ам, лучше просто "плохим" мас-ам давать "плохие" адреса. Какие-нить совершенно левые, которые в инет вылезти не смогут.

не поняла
вам на территорию периодически вносятся чужие ноуты, которые подключают к сети..например, приехали какие нить подрядчики из какой нить тьмутаракани..
объясните, как вы определите где чужой где свой не имея списка своих маков..
и почему бы список своих маков не "хранить" в dhcp?

Цитата:

как вы определите где чужой где свой не имея списка своих маков..  

Ну, его создание -это уже ваша забота .

Цитата:

и почему бы список своих маков не "хранить" в dhcp?

Ну дык, вам о том и говорили, предлагая создать в DHCP сервере резервирование адресов. После того, как вы всё это проделаете, кто не в резерве, значит чужой .

или я туплю или одно из двух ))


Цитата:

чем выдавать ВСЕМ адреса привязанные к МАС-ам, лучше просто "плохим" мас-ам давать "плохие" адреса

вот хоть убейте - не поняла эту часть

можно подробнее описать что здесь имелось в виду? и главное - как это реализовать

Я так понимаю, что МАС-ам из резерва выдавать правильные ИП, с доступом в инет, а чужим -из другой подсети, например, для которой выхода в инет нет. Можно и иначе, но решать как именно - вам.

Yulia Плохие адреса могут быть не совсем плохие, а просто с определенными ограничениями (ширина полосы, без доступа к остальной локалке, разрешен только 80 порт, и т.д.)

На этом форуме нашел решение - Callout DLL
Видеоурок.

Цитата:

Подскажите, как запретить выдачу ip адреса по mac адресу в windows 2003. идёт динамическая раздача адресов(dhcp). Зачем это нужно - ззвери могут прийти в организацию со своими ноутамм, подсоединиться к сетке и спокойно пользоваться инэтом. Дело в том, что у нас в организации пока нет прокси(разрешен только ISA)...

перепиши все маки машин и добавь в список. сделай правило запрещающее другие маки. вуаля!

beglec777
а что это за такое правило запрещающее "другие маки"?

Забавно вы тут развели в теме трёхлетней давности.
Если по существу, то только для того чтобы не выдавать IP всем, кроме. Достаточно не добавлять на DHCP-сервер пул адресов. А для новых разрешённых устройств заводить резервацию. Ну и как бы всё, новые устройства IP получать не будут, а уже занесённые - будут нормально работать. Только вот если человек с каким-нибудь ноутом банально введёт себе подоный Вашим настройкам IP, то будет у него всё что есть у разрешённых клиентов. Чтобы ограничить и эту возможност нужно настраивать дальше.

Prophion
да думал может я чего не знаю о дхцп.. правила какието, запрещающие маки

golychev
Ну может и есть... Я вот уверен что конфигурировал не все существующие DHCP-сервера. Вопрос только в другом, даже если и есть такое где-то, то почему beglec777 не указывает где именно можно(нужно) создавать правила, а говорит о такой конфигурации как о чём-то естественном, так если бы это было принято для всех серверов DHCP. Скорее всего вышеупомянутый автор о администрировании пока что только слышал, но ещё толком с реализацией каких-либо задачь не сталкивался. Но это всего-лишь предположение, как и предположение о том, что у него может быть кране своеобразная манера речи, а на самом деле он админ от бога и сказав:
Цитата:

сделай правило запрещающее другие маки

он имел ввиду имеено удаление пула адресов из конфигурации, а не создание каких-то правил, но это, вряд ли

Yulia

Цитата:

правда от статического вбивания IP или смены мака не спасет, но хотя бы чайников отсеет

Подскажите чайнику как вбить нужный IP? Вот я прихожу с ноутом, подключаюсь к розетке, DHCP-сервер меня игнорирует. Как определить какие адреса в сетке? Сниферы? Или может есть попроще софт?

dzekka
Цитата:

Вот я прихожу с ноутом, подключаюсь к розетке, DHCP-сервер меня игнорирует. Как определить какие адреса в сетке?

Я полагаю, что нужно в первую очередь обратиться к системному администратору той сети.
Либо, если такового нет, посмотреть настройки у того человека, который тебя пригласил.
Это же не Гуляй-поле все-таки.
А за остальным - в Андеграунд.