Xonix
|
|
« : 22 Март 2008, 22:26:39 » |
|
Ну вот например мы докатились до такого момента когда нужно банить например челов не выходя из дома... Суть проблеммы. Нужно так. Например сервер DHCP раздает IP адреса юзверям в сети по их MAC адресу .... Это все хорошо, но как сделать так что бы юзверь не мог поменять себе ip? что бы windows ему говорил,, что ip уже занят.... и не пускал бы в сеть... а пускал исключительно с его IP который ему дал dhcp. Есть софтина Layer-2 Network Guard которая вроде делает именно то что надо, но просит денег - если кто пользовал ее отпишите результаты ее работы вот сайт офф... http://l2nt.infoДа и еще сеть на раб. группе, все надо мутить на windows xp (dhcp и в xp поставить мона эт не критично) Ну вроде понятно написал... Отпишите как реализовать?!
|
|
|
Записан
|
|
|
|
notarius
|
эт называется костыли и свистелки прикручивать.... как варант сделать можно, но стоит задуматься о небольшом сервачке или из старой железяки сотворить сие чудо p.s.простите за офф. а вообщем удачи, думаю получиццо всо
|
|
|
Записан
|
Хочешь быть оригинальным? Будь добрым.
Roman aka Not@r!uS
|
|
|
Xonix
|
эт называется костыли и свистелки прикручивать.... как варант сделать можно, но стоит задуматься о небольшом сервачке или из старой железяки сотворить сие чудо p.s.простите за офф. а вообщем удачи, думаю получиццо всо Сервачок то есть, как мутить то?!
|
|
|
Записан
|
|
|
|
Fox
|
Самое нормально решение (но не для домашки бо дорого) управляемый свич с фильтрацией по макам.
|
|
|
Записан
|
Fox's server! Модератор - это человек, который молится о бесконечном терпении...а мечтает о бесконечных патронах!
|
|
|
notarius
|
на линух/уних dhcp умеет по макам раздавать IP ....
|
|
|
Записан
|
Хочешь быть оригинальным? Будь добрым.
Roman aka Not@r!uS
|
|
|
Xonix
|
Написал ведь именно на windows xp не линукс ни freebsd не катит надо ХP....... Короч никто не знает .... Плохенько.... Модер закрывай тему!
|
|
« Последнее редактирование: 25 Март 2008, 10:11:03 от xonix »
|
Записан
|
|
|
|
Fox
|
Если пользователь админ на своем компе и нет жезезок, которые делают мак фильтрацию, то никак! Пользователь всегда может постаить себе любой ИП и быть в сети с кем-то еще.
|
|
|
Записан
|
Fox's server! Модератор - это человек, который молится о бесконечном терпении...а мечтает о бесконечных патронах!
|
|
|
fergus
|
ксоня не спеши, может что нить предложат здесь. Пользователь всегда может постаить себе любой ИП и быть в сети с кем-то еще. так то оно так. только если в сети есть что то ценное, например хороший медиаконтент, инет и т.п., то те кто будут прописывать себе статический IP просто будут лишины данных прелестей.
|
|
|
Записан
|
+375 29 8669570, Сергей
|
|
|
iddqd
|
подымай винду 2003 сервер или на чем там исчо Active Directory крутиться. все будет в твоих руках - груповые политики безопасности, доступ к сетевым ресурсам и т.д. правда вариант больше подходит для предприятия, чем для домашней сети.
|
|
|
Записан
|
|
|
|
Xonix
|
Есть софтина Layer-2 Network Guard которая вроде делает именно то что надо, но просит денег - если кто пользовал ее отпишите результаты ее работы вот сайт офф... http://l2nt.info Вот посмотрите !!!!Реальная софтина.... Вопрос кто ее юзал может...
|
|
|
Записан
|
|
|
|
RTD
Гродненец
Репутация: +14/-0
Offline
Пол:
Сообщений: 81
|
подымай винду 2003 сервер или на чем там исчо Active Directory крутиться. все будет в твоих руках - груповые политики безопасности, доступ к сетевым ресурсам и т.д. правда вариант больше подходит для предприятия, чем для домашней сети. для домашней сети где каждый сам себе хозяин не подходит никак. это раз. во-вторых причем здесь AD к DHCP? Это разные вещи. по теме. как там реализовано в сторонних приложениях под хр я, чесно говоря, не знаю, но стандартный виндошный дхцп-сервер позволяет использовать reservations. в связке с exclusions может дать желаемый результат. НО, ничто не мешает исключенному пользователю вручную взять IP отсутствующего в данный момент пользователя и получить доступ к сети. Посему самый безопасный способ - использовать управляемые железки с функцией фильтрации по MAC на портах.
|
|
|
Записан
|
|
|
|
Xonix
|
Ну понятно что DHCP только раздает IP. Вот задумка: Сервак с DHCP под Windows Xp (DHCP turbo) - раздает IP по MAC. А софтина Layer-2 Network Guard смотрит что бы пользователи использовали именно свои IP если это не так, то в привязке MAC IP она говорит что данный IP занят и не дает включиться в сеть а только со своим IP + mac. Или если юзверь нарушил правила и т.п. то банит его по маку или ip.
|
|
|
Записан
|
|
|
|
RTD
Гродненец
Репутация: +14/-0
Offline
Пол:
Сообщений: 81
|
запретить пользователю изменить свой ip нельзя, к сожалению. а network guard, вероятно просто дает фейкрвый ответ на широковещательный запрос при смене ip адреса на машине. вобщем, он возможно и будет работать, но обойти можно элементарно. еще вариант - каждого пользователя в отдельный вилан и роутер для маршрутизации между ними. но опять же требует управляемого железа.
|
|
|
Записан
|
|
|
|
Фальк
|
а мак кто мешает поменять?
|
|
|
Записан
|
|
|
|
RTD
Гродненец
Репутация: +14/-0
Offline
Пол:
Сообщений: 81
|
а мак кто мешает поменять? смысл?
|
|
|
Записан
|
|
|
|
fergus
|
1. никто. 2. смысл что бы попасть туда, где тебя нет.
|
|
« Последнее редактирование: 28 Март 2008, 17:32:41 от fergus »
|
Записан
|
+375 29 8669570, Сергей
|
|
|
Xonix
|
1. никто. 2. смысл что бы попасть туда, где тебя нет. Ну поменять не проблема, но если софтина скажет юзверю что IP занят, то соответственно он и не подключится.... Например забить диапазон 192.168.0.1-254 Юзверей хакеров как не странно из множества машин нету... У нас не пентагон что бы так обороняться....
|
|
|
Записан
|
|
|
|
fergus
|
не, Ксоня, ты не понял. я беру сниффер, сканю все активные МАС сети. записываю их. потом, в случае, если ты меня банишь, я беру свой списочек и пошёл подбирать по порядку. нахожу свободный МАС и получаю по нему его ИП. Какой геммор для тебя: 1) ты не можешь проконтролировать/ограничить его. 2) может привести к тому, что ты забанишь повторно не того человека.
Решение только одно - реальное отключение юзверя от сети (можно читать это как `использовать управляемые свичи/роутеры`).
|
|
|
Записан
|
+375 29 8669570, Сергей
|
|
|
Fox
|
простейший вариант доступный для домашнего использования роутер Linksys он не дорогой (конечно дороже чем просто свич, но это не cisco catalyst 2960) даже в точках linksys'а есть роутеры с мак фильтрацией (вот только не помню действует ли в них фильтрация на lan порты, но между wan & wi-fi точно работает).
Да, про смену маков под виндой всякими прогами - так вот то что вы смените для linux или freeBSD на сервере совершенно плевать, оно там видит старый мак и надуть получается только винду - проверено уже не раз. Хотя если уже перепрограммить саму железку (карту прошить) вот тут уже возможно.
|
|
« Последнее редактирование: 28 Март 2008, 21:56:10 от Fox »
|
Записан
|
Fox's server! Модератор - это человек, который молится о бесконечном терпении...а мечтает о бесконечных патронах!
|
|
|
fergus
|
Да, про смену маков под виндой всякими прогами - так вот то что вы смените для linux или freeBSD на сервере совершенно плевать, оно там видит старый мак и надуть получается только винду - проверено уже не раз. какой `прогой` меняли МАС? в линухе МАС ещё проще сменить (/etc/conf.d/net) когда-то в ООО "ГИС" проверял подмену МАС в винде (на серваке стоит что то из редхат). всё работает. не буду описывать процедуру смена МАСа, то могу сказать что никакими сторонними программами я не пользовался.
|
|
|
Записан
|
+375 29 8669570, Сергей
|
|
|
Fox
|
Не знаю чем они меняли (это студенты делали так как и по макам отключали) но сервак их все-равно не пускал так как видел старый мак. Знаю только что прога та которой меняли запускалась под виндой как резидентная.
|
|
|
Записан
|
Fox's server! Модератор - это человек, который молится о бесконечном терпении...а мечтает о бесконечных патронах!
|
|
|
Fanat ™
|
а давать доступ в сетку только определенным IP не пробовали??? сделай авторизацию на Active Directory и не дури голову... IP знать будут... логины и пароли нет..
|
|
|
Записан
|
|
|
|
RTD
Гродненец
Репутация: +14/-0
Offline
Пол:
Сообщений: 81
|
AD в домашней сетке не лучшее решение. И к сетевому уровню не имеет абсолютно никакого отношения. Фильм с сервера пользователь не скачает, а срать в чатах и плодить вирусы - пожалуйста.
|
|
« Последнее редактирование: 31 Март 2008, 15:41:31 от pulito »
|
Записан
|
|
|
|
Xonix
|
ЛАНА перешли на линукс..... бум ipsentinel юзать + DHCP
|
|
|
Записан
|
|
|
|
Фальк
|
может проще просто убить юзера
|
|
|
Записан
|
|
|
|
|
Xonix
|
НУ хз Линух + DHCP + DNS подняли с горем на пополам....
|
|
|
Записан
|
|
|
|
fergus
|
где результат?
|
|
|
Записан
|
+375 29 8669570, Сергей
|
|
|
deespater
Гродненец
Репутация: +37/-2
Offline
Пол:
Сообщений: 216
ГентушнеГ
|
НУ хз Линух + DHCP + DNS подняли с горем на пополам.... Что значит поднял и? И слова то какие - "с горем на пополам.....". Нормально поднял, довольно быстро...
|
|
|
Записан
|
А на меньшее я не согласен...
|
|
|
Xonix
|
НУ хз Линух + DHCP + DNS подняли с горем на пополам.... Что значит поднял и? И слова то какие - "с горем на пополам.....". Нормально поднял, довольно быстро... Я там был и даже не пил пиво в отличие от некоторых! С горем на пополам - долго мля.... ПОДНЯЛИ ЛИНУКС НА ПАРУ С ДИСПАТЕРОМ о да он бог ............
|
|
|
Записан
|
|
|
|
|