staford83 Опубликовано 14 августа, 2010 · Жалоба Есть сеть состоит из 100 пользователей, подключенных через свитчи. Есть сервер с инфой куда народ цепляется,. некоторых одаренных приходиться отключать из сети по IP kerio WF. Эти сво-чи берут чужие ip и входят на сервер. Как отрубить человека по MAC адресу из сети вообще, чтобы кроме себя, больше не кого пингануть даже не смог? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 14 августа, 2010 · Жалоба Используя управляемые свитчи. Остальное - полумеры, которые можно обойти. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 14 августа, 2010 · Жалоба Используя управляемые свитчи.особенно в которых есть функционал IP Source Guard или IP-MAC-BindingКаждого пользователя очень желательно подключить в отдельный порт такого свича Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
staford83 Опубликовано 14 августа, 2010 · Жалоба Используя управляемые свитчи.Остальное - полумеры, которые можно обойти. А есть вариант програмный??? Типа UserGate ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 15 августа, 2010 · Жалоба Используя управляемые свитчи.Остальное - полумеры, которые можно обойти. А есть вариант програмный??? Типа UserGate ? Аппаратно, как написано выше. Остальное - дрочь вприсядку.Станете привязывать MAC+IP - станут вместе с IP менять и MAC. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 15 августа, 2010 · Жалоба Port Security на коммутаторах, чтобы клиенты не могли менять MAC-адрес. ARP Monitor на сервере, чтобы видеть смену IP-адреса. Static ARP на сервере. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Giga-Byte Опубликовано 15 августа, 2010 (изменено) · Жалоба для *nix есть arpwatch ip-sentinel года четыре назад видел в действии, просто тупо не давала работать машине в сети, много времени утекло, может ещё чего дописали... Изменено 15 августа, 2010 пользователем Giga-Byte Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martin74 Опубликовано 15 августа, 2010 · Жалоба не arpwatch, который просто следит за arp таблицей машины, а ip-sentinel. Который и умеет блокировать левых клиентов. Но все равно, лучше чем управляемый порт на абонента - ничего не придумать... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
disappointed Опубликовано 15 августа, 2010 · Жалоба А может дешевле заменить все свитчи на дешёвые с изоляцией портов, а клиентов терминировать по PPPoE? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cosmonaut Опубликовано 15 августа, 2010 · Жалоба disappointed У нас так работает нехилый оператор размера города - Иркнет. Дешево и сердито. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
disappointed Опубликовано 15 августа, 2010 · Жалоба Ага, 100 клиентов на дохлом писюке можно протерминировать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 17 августа, 2010 · Жалоба Есть сервер с инфой куда народ цепляется,. некоторых одаренных приходиться отключать из сети по IP kerio WF. Эти сво-чи берут чужие ip и входят на сервер.Ваш только сервер с непонятно чем или вся сеть? Как отрубить человека по MAC адресу из сети вообще, чтобы кроме себя, больше не кого пингануть даже не смог?Порезать провод и замкнуть, чтобы был линк. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
staford83 Опубликовано 20 августа, 2010 · Жалоба Ваш только сервер с непонятно чем или вся сеть? мене нужно отрубить его из сети не физически а програмно!! Порезать провод и замкнуть, чтобы был линк. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
S_E_V Опубликовано 20 августа, 2010 · Жалоба мене нужно отрубить его из сети не физически а програмно!! порезать провод, поставить управляемое железо, варианты закончились. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
staford83 Опубликовано 20 августа, 2010 · Жалоба мене нужно отрубить его из сети не физически а програмно!!порезать провод, поставить управляемое железо, варианты закончились. Вот вариант http://l2nt.info/ только автора найти не могу Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tygra Опубликовано 20 августа, 2010 · Жалоба ip-sentinel в конфигурации "всех оставить кроме любого ip с мак адресом таким то " , но винда в попытке "подобрать" не занятый айпи адрес вам и всем абонентам , чей айпи попытается занять атакуемая винда , мозг высушит . Зачем отключать его програмно , если вы хотите ограничить его во всем , отключите от сети и все , зачем такие полумеры ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
staford83 Опубликовано 21 августа, 2010 · Жалоба ip-sentinel в конфигурации "всех оставить кроме любого ip с мак адресом таким то " , но винда в попытке "подобрать" не занятый айпи адрес вам и всем абонентам , чей айпи попытается занять атакуемая винда , мозг высушит . Зачем отключать его програмно , если вы хотите ограничить его во всем , отключите от сети и все , зачем такие полумеры ? Я администрирую сеть из другого города удаленно и ездить за 150 км отключать и включать его в сеть нет возможности и времени!! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
m0xf Опубликовано 21 августа, 2010 · Жалоба Ставить управляемый коммутатор. Точка. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
staford83 Опубликовано 21 августа, 2010 · Жалоба Ставить управляемый коммутатор. Точка. Посоветуй не дорогой и хороший управляемый коммутатор минимум 16 портов!!! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sherwood Опубликовано 21 августа, 2010 · Жалоба PS2216 этого достаточно, чтобы заблокировать хождение трафика между портами (клиентами) и удаленно отключить порт юному хакеру или за не уплату... если что то еще нужно, то тогда наверное на доступ более дорогое решение DES3526... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 21 августа, 2010 · Жалоба более дорогое решение DES3526 http://forum.nag.ru/forum/index.php?showtopic=59631http://forum.nag.ru/forum/index.php?showtopic=59511 http://b-u-switch.ru/ishop/product/395 не сказал бы, что это дорого Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nic_stav Опубликовано 21 августа, 2010 · Жалоба 1228 еще доступнее вроде бы Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sherwood Опубликовано 21 августа, 2010 · Жалоба не сказал бы, что это дороговсе в мире относительно, относительно PS2216 дорого, а относительно поставить на домгде 24 клиента - нет.... :) как то так.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mit Опубликовано 21 августа, 2010 (изменено) · Жалоба staford83 Ваш вариант только поднимать сервер доступа(NAS) на линухе или фре, и авторизовывать всех по PPPoE. Все остальное потом! Почему не надо менять свичи доступа на сети из 100клиентов , сами поймете, когда посчитаете во что это обойдется! Вот когда заработаете много денег тогда и стройте идеальную сеть, а пока вместо революции используйте эволюцию, решайте проблемы по мере их поступления. ваша первая задача всех посадить на PPPoE, а дальше модернизируйте постепенно доступ, чтобы клиенты не могли обходить PPPoE-сервер. Изменено 21 августа, 2010 пользователем mit Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 21 августа, 2010 · Жалоба pppoe-сервер - не панацея. Например, если злоумышленник соберёт MAC-адреса других клиентов и поднимет ещё один pppoe-сервер для этих MAC-адресов, он узнает все логины-пароли, а провайдер этого даже не заподозрит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...