Заблокировать IP по MAC-адресу
 

сервер 2к, работает раздача адресов через dhcp.

как изящно заблокировать айпишник, но не arp-ом? слышал, что 2k имеет определенный глюк, когда сетевуха с заблокированным арпом МАКом получает абсолютный новый адрес.


установку статичных адресов не предлагать ;)

Re: Заблокировать IP по MAC-адресу
 

А зачем блокировать IP. Чтобы в инет не лез? Ставь ISA и будет тебе дао!

Re: Заблокировать IP по MAC-адресу
 

нет, в инет они ходят через фрёвую проксю.

нужно, чтобы IP-адрес был закреплен только за определнным МАКом.
легче следить за появлением "левых" компов, когда умник притаскивает на работу ноут или системник и начинаются чудеса. сразу будет "звонок другу" типа у меня сетки нет :)

Re: Заблокировать IP по MAC-адресу
 

а кто помешает поменять мак?

Re: Заблокировать IP по MAC-адресу
 

Нашел интересную статью
Если тот, кто подменяет компы, эту инфу имеет, то и скрыть переподключение сможет. Не поможет контроль ни по МАС, ни по IP...
Сейчас в этой теме обсуждается прога, которая пасет имя и МАС-адрес компа, но при этом читает и состав его железа, и состав программного обеспечения. А это подменить ой как непросто, практически невозможно.
Хотя при большом желании ничего невозможного нет:cool:

Re: Заблокировать IP по MAC-адресу
 

очень полезная штука для ведения БД техники в конторе, особенно если ее дохренишча. хотя мне до сих пор в виду острого дефицита времени так и не удалось настроить тот же эверест, чтобы он опросил все машины в доменах. 10060 или 10061 ошибка, в общем отказ в доступе.

а статья интересная, но неоптимистическая :)

Re: Заблокировать IP по MAC-адресу
 

Автор топика просил стат IP не рекомендовать, так вот я просто расскажу как у меня настроено. Стоит лан2нет и он авторизует по МАК+IP , т.е. если тачка меняет IP или МАС то сетки ей не видать как своих ушей. Вот в принципе и псё. Юзеры могут сколько угодно упражнятся в изменении адресов , НО только с тем адресом который я им дал могут попасть в сетку.

Re: Заблокировать IP по MAC-адресу
 

salam, я вижу порядок действий таким:
- для каждого MAC на серверах прописать свой IP
- таблицу адресов зафиксировать arp'ом (с периодичностью запуска до 5 мин)
- выделенный диапазон для динамики (гостевой) закрыть на сквиде от выхода наружу, для остальных -- авторизация на проксях
- и отнять все привелегии как пользователя на лок.компе

конечно, при большом желании последнее можно обойти, загрузившись с помощью bartpe, но следующий шаг - это уже создание бездисковой станции, кстати, весьма соблазнительное, и дядька с карабином у каждого терминала :cool:

на этом топик можно закрыть, я услышал то что хотел.
надеялся, мож что нового успели изобрести за последнее время для виндюков...